La collecte de CV est au cœur du recrutement, mais elle est désormais encadrée par le RGPD. Pour les équipes RH, il ne suffit pas de recevoir un CV et de le stocker sur un serveur interne. Chaque étape doit assurer la confidentialité des données, protéger les informations personnelles et respecter la législation.
Les risques sont réels : le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel, selon le montant le plus élevé. Adopter une méthode conforme pour gérer les CV est donc un impératif.
Entretien d'embauche : connaissez-vous le test du sel et poivre ?
Lors d’un entretien d’embauche, chaque détail compte, même du sel ou du poivre posé sur la table. On vous explique en quoi ça consiste, et comment le réussir.
Lire l'articleCe que le RGPD impose à la collecte de CV
Les CV contiennent des données personnelles sensibles : nom, coordonnées, parcours professionnel, formations et parfois même des informations sur l’état de santé ou l’origine.
Pour respecter le RGPD :
- chaque collecte doit être justifiée par l’objectif de recrutement
- l’usage des données doit être clairement communiqué au candidat
- toute donnée sensible requiert un traitement spécifique
Ignorer ces règles expose l’entreprise à des sanctions financières et à un risque de réputation.
Informer les candidats dès le dépôt
La transparence est obligatoire. Chaque candidat doit savoir :
- Pourquoi ses données sont collectées
- Combien de temps elles seront conservées
- Qui peut y accéder
- Comment modifier ou supprimer ses informations
Ces informations peuvent figurer directement sur le formulaire de candidature ou dans la politique de confidentialité du site carrière.
Exemple : un site RH peut préciser que les CV seront utilisés uniquement pour les recrutements sur les 12 prochains mois.
Obtenir un consentement explicite
Le consentement du candidat n’est pas optionnel. Pour être valide, il doit être :
- exprimé clairement via une case à cocher
- séparé si certaines données sensibles sont collectées
- rétractable à tout moment
Une enquête CNIL de 2023 montre que 40 % des entreprises interrogées ne respectaient pas correctement ce point, ce qui constitue un risque immédiat.
Sécuriser le stockage des CV
Le stockage est un point critique de la conformité. Les pratiques à adopter :
- Chiffrement des fichiers pour éviter les fuites
- Contrôle des accès limité aux recruteurs et responsables autorisés
- Archivage limité dans le temps, conforme à l’objectif annoncé
- Suppression automatique ou anonymisation des CV après la période définie
Les solutions cloud spécialisées en RH permettent aujourd’hui de gérer ces critères de manière sécurisée et traçable.
Collecter uniquement ce qui est nécessaire
Le principe de minimisation impose de réduire la collecte aux informations indispensables :
- compétences et expériences pertinentes pour le poste
- coordonnées pour contacter le candidat
- éléments strictement liés au recrutement
Par exemple, demander l’âge ou l’état de santé n’est pas autorisé sauf justification claire.
A LIRE AUSSI LinkedIn Talent Insights : comment trouver des talents rares que vos concurrents ignorent
Gérer l’accès et le partage des CV
Le partage des CV doit être encadré :
- éviter l’envoi par email non sécurisé
- limiter l’accès aux équipes directement impliquées dans le recrutement
- documenter les accès pour assurer la traçabilité
Un audit interne régulier permet de détecter les écarts et de corriger les pratiques non conformes.
Répondre aux droits des candidats
Le RGPD offre aux candidats plusieurs droits :
- Accéder aux informations stockées
- Rectifier les erreurs
- Supprimer les données
- Porter les informations vers un autre recruteur
Mettre en place un processus clair pour traiter ces demandes est indispensable pour rester en conformité.