RGPD et recrutement : guide de conformité pour les ATS en 2026
Tout savoir sur la conformité RGPD dans le recrutement : conservation des données, consentement candidat, hébergement et obligations légales.
Pourquoi la RGPD est cruciale dans le recrutement
Le recrutement est l'un des domaines où les données personnelles sont les plus sensibles. Chaque candidature contient des informations privées : CV, coordonnées, parcours professionnel, prétentions salariales, parfois des données de santé. En 2026, la CNIL place le recrutement parmi ses priorités de contrôle, ce qui rend la conformité RGPD indispensable pour toute entreprise ou cabinet utilisant un ATS.
Un ATS non conforme expose votre organisation à des sanctions financières lourdes, mais aussi à une perte de confiance des candidats. À l'heure où la marque employeur est un levier stratégique, respecter la vie privée des candidats n'est pas seulement une obligation légale : c'est un avantage concurrentiel.
Les 5 obligations clés du RGPD dans le recrutement
1. Le consentement éclairé du candidat
Chaque candidat doit donner son consentement explicite avant que ses données ne soient traitées. Cela signifie que votre ATS doit inclure une case à cocher (non pré-cochée) lors du dépôt de candidature, avec un lien vers votre politique de confidentialité. Le candidat doit savoir exactement quelles données sont collectées et dans quel but.
2. La conservation limitée à 2 ans maximum
La CNIL recommande une durée maximale de 24 mois pour la conservation des données de candidats non retenus (source : CNIL, guide des durées de conservation). Votre ATS doit permettre la suppression automatique ou au minimum vous alerter lorsque cette durée est atteinte. Au-delà de 2 ans, vous devez obtenir un nouveau consentement ou supprimer les données.
3. Le droit à l'oubli et la portabilité
Tout candidat peut demander la suppression intégrale de ses données à tout moment. Votre ATS doit permettre d'effectuer cette opération rapidement et de manière vérifiable. Le candidat peut également demander à recevoir ses données dans un format lisible (portabilité).
4. La minimisation des données
Vous ne devez collecter que les informations strictement nécessaires au processus de recrutement. Les questions sur la situation familiale, l'origine ethnique, les opinions politiques ou la religion sont interdites. Votre formulaire de candidature doit être épuré et pertinent.
5. Le registre des traitements
Votre entreprise doit tenir un registre documentant tous les traitements de données liés au recrutement : quelles données, pour quelle finalité, combien de temps, qui y accède. Ce registre doit être tenu à jour et disponible en cas de contrôle CNIL.
Comment vérifier qu'un ATS est conforme RGPD
Avant de choisir un ATS, vérifiez ces critères essentiels de conformité. Un logiciel conforme vous protège juridiquement et simplifie vos obligations quotidiennes.
- Hébergement en France ou dans l'UE : les données ne doivent pas transiter par des serveurs hors Union européenne. Privilégiez les solutions hébergées en France (OVH, Scaleway) pour une sécurité maximale.
- Certifications et audits : recherchez les certifications ISO 27001, SOC 2 ou HDS. Elles garantissent un niveau de sécurité éprouvé.
- DPO (Délégué à la Protection des Données) : l'éditeur de l'ATS doit avoir désigné un DPO et pouvoir vous fournir ses coordonnées.
- Chiffrement des données : les données doivent être chiffrées au repos et en transit (protocole HTTPS, chiffrement AES-256 minimum).
- Gestion du consentement intégrée : l'ATS doit proposer nativement la collecte et le suivi du consentement candidat.
Checklist pratique pour les recruteurs
Voici une liste d'actions concrètes à mettre en place dès aujourd'hui pour assurer votre conformité RGPD en recrutement.
- Vérifier que votre ATS propose la suppression automatique des candidatures de plus de 24 mois
- Ajouter une mention RGPD claire sur toutes vos offres d'emploi et formulaires de candidature
- Mettre à jour votre politique de confidentialité avec une section dédiée au recrutement
- Former vos équipes aux bonnes pratiques (ne pas stocker de CV sur le bureau, ne pas partager de fiches candidats par email non sécurisé)
- Réaliser un audit annuel de votre base candidats pour purger les données obsolètes
- Documenter chaque demande de suppression et la traiter sous 30 jours maximum
- Vérifier les sous-traitants de votre ATS (hébergeur, outils tiers intégrés) et leurs propres engagements RGPD
Les sanctions en cas de non-conformité
Les sanctions prévues par le RGPD sont dissuasives. En cas de manquement, la CNIL peut infliger une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (source : RGPD, article 83). En 2025, plusieurs entreprises françaises ont été sanctionnées pour des manquements liés au recrutement (voir les décisions de la CNIL).
Au-delà des amendes, les conséquences incluent :
- Mise en demeure publique : la CNIL peut publier ses décisions, causant un préjudice d'image considérable
- Suspension du traitement : interdiction temporaire d'utiliser votre base candidats, paralysant vos recrutements
- Plaintes individuelles : chaque candidat peut saisir la CNIL ou engager une action en justice pour obtenir réparation
Les ATS conformes RGPD en France
Plusieurs solutions françaises se distinguent par leur conformité native. Taleez, Flatchr, Beetween, Softy et We Recruit hébergent toutes leurs données en France et intègrent la gestion du consentement. Les solutions internationales comme Workable ou Greenhouse proposent aussi des fonctionnalités RGPD, mais vérifiez systématiquement la localisation de l'hébergement et les clauses contractuelles.
En choisissant un ATS conforme dès le départ, vous évitez les coûts de mise en conformité ultérieure et vous offrez une expérience respectueuse à vos candidats. C'est un investissement qui protège votre entreprise et renforce votre attractivité employeur.
Need a detailed comparison?
Explore our directory of 30+ ATS with filters, ratings and comparisons.
See all ATS software