Les entreprises françaises s’appuient désormais massivement sur les ATS, ces plateformes qui centralisent les candidatures, automatisent la diffusion d’offres et accélèrent la sélection de talents. Mais dès qu’un outil manipule des CV, des lettres de motivation, des données personnelles ou des informations sensibles sur les candidats, une question se pose très vite : est-il réellement conforme au RGPD ?
Ce contrôle est loin d’être facultatif. En cas de manquement, la responsabilité repose sur l’entreprise utilisatrice, et pas uniquement sur l’éditeur du logiciel. Il est donc indispensable d’examiner plusieurs volets techniques, juridiques et opérationnels avant de signer un contrat ou de migrer ses données.
Entretien d'embauche : connaissez-vous le test du sel et poivre ?
Lors d’un entretien d’embauche, chaque détail compte, même du sel ou du poivre posé sur la table. On vous explique en quoi ça consiste, et comment le réussir.
Lire l'articleLe point souvent ignoré qui révèle immédiatement la fiabilité RGPD d’un ATS
La première question à examiner est très simple mais décisive : où sont hébergées les données des candidats ?
Beaucoup d’entreprises ne creusent pas assez cette information, alors qu’elle conditionne toute la conformité.
Un ATS sérieux doit indiquer clairement l’emplacement géographique de ses serveurs, les certifications de son hébergeur, ainsi que l’existence (ou non) de transferts vers des pays extérieurs à l’Union européenne.
Pourquoi ce point est-il si déterminant ?
Parce que tout transfert en dehors de l’Europe nécessite des garanties contractuelles spécifiques, souvent complexes à vérifier. Certains prestataires disent “hébergement en Europe” mais utilisent des infrastructures liées à des sociétés américaines, ce qui peut poser problème en cas de demande d’accès gouvernementale étrangère.
À examiner immédiatement :
• serveurs situés physiquement en Europe
• hébergement chez un fournisseur disposant d’une structure juridique européenne indépendante
• documentation technique publique ou fournie sur demande
• absence de transferts vers les États-Unis sans clauses adéquates
Si ce bloc est flou ou volontairement ambigu : c’est un signal d’alerte à ne jamais négliger.
Les éléments juridiques que tout ATS doit afficher sans que vous ayez à insister
Un éditeur vraiment aligné avec les exigences françaises fournit tous les documents contractuels sans résistance et sans demande répétée.
Avant même de tester la plateforme, vous devez pouvoir obtenir :
• un DPA (accord de traitement des données) clair et complet
• la liste des sous-traitants pouvant accéder aux données
• les durées de conservation appliquées automatiquement
• les procédures internes en cas d’incident de sécurité
• la politique de confidentialité complète
Ces documents doivent être précis, à jour, datés et signés.
S’ils se limitent à quelques paragraphes marketing, s’ils manquent de détails techniques, ou s’ils ne mentionnent aucune procédure de contrôle interne, il faut s’inquiéter. Un bon éditeur n’a aucune raison de cacher ces éléments.
À vérifier ligne par ligne :
• durée de conservation des candidatures après inactivité
• modalités d’effacement définitif
• accès limité aux équipes de l’éditeur
• mesures prévues en cas de faille (délais, notification, actions)
Un ATS incapable de fournir ces documents avec exactitude ne peut pas être considéré comme fiable.
Le test simple à faire pour vérifier la gestion des droits des candidats
Le RGPD repose sur des droits fondamentaux : suppression, rectification, récupération des données, opposition, restriction de traitement.
Un ATS conforme doit offrir des options qui permettent d’exécuter ces demandes rapidement et sans manipulation manuelle compliquée.
Voici ce qu’un utilisateur doit pouvoir réaliser sans contacter le support technique :
• supprimer définitivement un profil et toutes ses pièces jointes
• extraire l’intégralité des données d’un candidat dans un fichier exploitable
• corriger les informations sur demande
• gérer automatiquement les demandes d’opposition
• suivre les échéances d’expiration des données pour éviter une conservation prolongée
Le meilleur moyen de vérifier ces points est d’effectuer un test réel : créer un faux profil, déposer un CV, puis tenter d’utiliser les options d’export et d’effacement.
Si vous devez envoyer un message à l’éditeur pour supprimer un candidat, l’outil ne respecte pas les obligations.
Si l’export de données est incomplet ou illisible : même chose.
Ce test pratique détecte en quelques minutes les ATS qui ne respectent le RGPD que sur le papier.
Les détails techniques qui montrent immédiatement si un ATS prend la sécurité au sérieux
Au-delà des documents juridiques, la robustesse de la plateforme dépend des mesures techniques mises en œuvre.
Un ATS doit être capable de garantir :
• un chiffrement des données au repos
• un chiffrement des échanges
• des journaux d’accès permettant d’identifier toute activité
• un cloisonnement strict entre les comptes clients
• une authentification moderne (MFA, SSO, OAuth selon les besoins)
Demandez également si l’éditeur effectue :
• des audits externes
• des tests d’intrusion réguliers
• des analyses internes documentées
Certains ATS se contentent de sécurisation basique. D’autres affichent des certifications type ISO 27001, ou des audits effectués par des cabinets reconnus. Ces points font une différence énorme lors d’un contrôle CNIL ou en cas d’incident.
Le piège dans lequel beaucoup d’entreprises tombent lorsqu’elles choisissent un ATS soi-disant “RGPD ready”
Beaucoup de plateformes affichent une mention rassurante dans leur argumentaire commercial, du type “100 % conforme RGPD”, souvent sans preuve concrète.
Cette promesse est marketing, et rien ne garantit qu’elle soit justifiée.
Pour éviter cette confusion, il faut vérifier :
• si le paramétrage par défaut respecte réellement la réglementation
• si l’entreprise peut adapter les durées de conservation
• si les formulaires candidats incluent des mentions obligatoires déjà intégrées
• si des reçus automatiques informent les candidats de leurs droits
• si les recrutements internes sont traités différemment des candidatures externes
Un ATS peut être techniquement performant tout en étant mal configuré pour le marché français.
Le paramétrage initial est un point déterminant et pourtant rarement évalué au moment du choix.
Les vérifications finales à faire avant de signer un contrat avec un éditeur ATS
Avant de valider l’outil, il reste quelques actions incontournables :
- Analyser la gestion des archives : un ATS doit pouvoir purger automatiquement les données arrivées à échéance.
- Examiner les logs d’accès : un responsable RH doit pouvoir vérifier qui consulte les dossiers sensibles.
- Valider la réversibilité : l’entreprise doit récupérer l’intégralité des données en cas de changement de logiciel.
- Observer le fonctionnement mobile : certaines failles proviennent d’applications mal sécurisées.
- Étudier la granularité des permissions : accès recruteur, manager, admin… chaque rôle doit être parfaitement défini.
Si un seul de ces points est insuffisant, mieux vaut reconsidérer le choix, car les audits de la CNIL deviennent de plus en plus précis sur la gestion des données candidats.
A LIRE AUSSI HubSpot CRM pour un cabinet de conseil : l’outil parfait au quotidien ?
Ce que votre entreprise gagne en sélectionnant un ATS réellement conforme
Une plateforme respectueuse du RGPD ne sert pas uniquement à éviter des sanctions.
Elle permet aussi d’obtenir :
• une meilleure qualité de données
• une gestion plus claire des recrutements
• une image professionnelle renforcée auprès des candidats
• une réduction importante des risques internes
• une traçabilité complète en cas de litige
En d’autres termes, la conformité n’est pas une contrainte mais une garantie de sérieux et de maîtrise.