RGPD et recrutement : ce que vous avez le droit de collecter (ou pas)
Recruter, c'est par nature collecter des données personnelles : CV, coordonnées, parcours, parfois bien plus. Mais tout n'est pas permis. Entre le RGPD et le Code du travail, le cadre est précis — et le méconnaître expose à des sanctions et à des plaintes. Voici, concrètement, ce que vous pouvez demander, ce qui est interdit, et combien de temps vous pouvez conserver les données.
Le principe de base : la pertinence avant tout
La règle d'or tient en un mot : pertinence. Le RGPD impose la minimisation des données (article 5) — vous ne collectez que ce qui est strictement nécessaire à la finalité. Et le Code du travail va dans le même sens : selon l'article L.1221-6, les informations demandées à un candidat « ne peuvent avoir comme finalité que d'apprécier sa capacité à occuper l'emploi proposé ou ses aptitudes professionnelles » et doivent présenter un lien direct et nécessaire avec l'emploi.
Autrement dit : avant de demander une information, posez-vous une seule question — « est-ce vraiment nécessaire pour évaluer la capacité à faire ce travail ? » Si la réponse est non, vous n'avez pas le droit de la collecter.
Ce que vous POUVEZ collecter
Tout ce qui sert directement à évaluer l'adéquation au poste :
- Identité et coordonnées (nom, email, téléphone) ;
- Parcours professionnel, expériences, missions réalisées ;
- Diplômes, formations, certifications ;
- Compétences, langues, permis si le poste l'exige ;
- Prétentions salariales, disponibilité, mobilité géographique si pertinentes.
Ce que vous NE devez PAS demander
L'article 9 du RGPD interdit, sauf exceptions très encadrées, la collecte de données dites « sensibles » :
- Origine raciale ou ethnique ;
- Opinions politiques, convictions religieuses ou philosophiques ;
- Appartenance syndicale ;
- Données de santé, vie ou orientation sexuelle ;
- Données génétiques ou biométriques.
S'y ajoutent les informations sans lien avec l'emploi, sources classiques de discrimination : situation familiale, grossesse ou projet d'enfant, âge hors cadre légal, état de santé. Une photo, la nationalité ou la date de naissance ne devraient pas conditionner une candidature.
À retenir : ce n'est pas parce qu'un candidat peut mentionner une information (sur son CV, spontanément) que vous avez le droit de la demander ou de l'utiliser dans votre décision.
Vos obligations envers le candidat
Dès que vous collectez des données, le candidat a des droits, et vous avez des devoirs :
1. L'information
Le candidat doit savoir qui collecte ses données, pourquoi (la finalité), sur quelle base légale, combien de temps elles seront conservées, et quels sont ses droits. C'est typiquement le rôle d'une mention d'information sur votre formulaire de candidature.
2. Les droits d'accès, de rectification et d'effacement
Le candidat peut demander à consulter ses données, les corriger, ou en demander la suppression. Vous devez pouvoir répondre à ces demandes.
3. Le registre des traitements
La fonction RH traite des données personnelles à grande échelle : un registre des traitements documentant vos activités de recrutement est attendu.
Combien de temps conserver les données ?
Pour un candidat non retenu, la CNIL recommande une conservation maximale de 2 ans après le dernier contact. Au-delà, les données doivent être supprimées ou anonymisées — sauf si le candidat a consenti à rester dans votre vivier pour de futures opportunités. Nous détaillons ce point dans notre article dédié à la durée de conservation des CV.
Le cas des outils digitaux et de l'IA
Tri automatique de CV, matching, entretien mené par IA : ces outils traitent des données personnelles, parfois de façon automatisée. Trois points de vigilance :
- Pas de décision 100 % automatisée produisant des effets significatifs sans intervention humaine (article 22 du RGPD) : un humain doit garder la main.
- Transparence renforcée : le candidat doit être informé qu'un traitement automatisé intervient.
- Anti-discrimination : l'outil ne doit pas reproduire de biais. C'est aussi ce qu'impose désormais l'EU AI Act, qui classe le recrutement en « haut risque ».
Où sont hébergées vos données ? Le lieu d'hébergement compte : une solution hébergée en Europe simplifie la conformité et rassure les candidats. C'est l'un des piliers de l'approche de R.V. — découvrez notre conformité.
La checklist RGPD du recruteur
- ☐ Je ne collecte que des données utiles à évaluer le poste.
- ☐ Je ne demande jamais de données sensibles (art. 9).
- ☐ Mon formulaire affiche une mention d'information claire.
- ☐ Je sais répondre aux demandes d'accès / suppression.
- ☐ Je supprime les candidatures non retenues après 2 ans (sauf consentement vivier).
- ☐ Mes outils IA gardent une supervision humaine et sont documentés.
Sources
- Règlement (UE) 2016/679 (RGPD), notamment art. 5 (minimisation), art. 9 (données sensibles), art. 22 (décision automatisée) — EUR-Lex
- Code du travail, art. L.1221-6 (informations demandées au candidat) — Légifrance
- CNIL — Le recrutement et la gestion du personnel (durées de conservation, données collectées) — cnil.fr
Cet article est fourni à titre d'information générale et ne constitue pas un conseil juridique. Pour évaluer votre situation, rapprochez-vous d'un conseil spécialisé (avocat, DPO). Dernière vérification des sources : 15 juin 2026.
Un recrutement par IA, conçu pour la conformité
R.V. réunit ATS, matching et entretien automatisé — dans le respect du RGPD et de l'EU AI Act, avec hébergement en Europe.
Voir R.V. en démo