CNIL : le recrutement dans le viseur des contrôles 2026 — IA, information des candidats, conservation des données
RGPD & Conformité

CNIL : le recrutement dans le viseur des contrôles 2026 — IA, information des candidats, conservation des données

Par Gérald Gaillard17 juillet 2026RGPD & Conformité

La CNIL inscrit le recrutement parmi ses thématiques prioritaires de contrôle 2026 : décision automatisée (IA de tri), information des candidats et durées de conservation. Qui est visé, ce qui sera vérifié, et la checklist pour être prêt.

Partager cet article

Le 3 avril 2026, la CNIL a publié ses thématiques prioritaires de contrôle pour l'année — et le recrutement en fait partie. Concrètement : si vous recevez et triez des candidatures, vos pratiques de traitement des données candidats peuvent être auditées. Trois axes sont annoncés noir sur blanc : les systèmes de décision automatisée (dont l'IA de tri de CV), l'information des candidats et les durées de conservation. Voici ce que cela signifie, qui est visé, et la checklist pour être prêt — plutôt que de courir après la conformité une fois le courrier de la CNIL reçu.

Ce que la CNIL a annoncé exactement

Chaque année, la CNIL choisit quelques thématiques sur lesquelles elle concentre une partie de ses contrôles. Pour 2026, le recrutement rejoint cette liste. L'autorité précise que ses vérifications porteront sur « les systèmes de prise de décision automatisée », « l'information des candidats » et « les durées de conservation ».

Sur les cibles, le texte est tout aussi explicite : les contrôles viseront prioritairement les grandes entreprises et les cabinets de recrutement, « compte tenu de la multiplicité des candidatures qu'ils reçoivent et des sélections qu'ils opèrent ». Les TPE et PME ne sont pas exemptées pour autant : les règles s'appliquent à tout employeur qui recrute.

Un détail qui n'en est pas un : la CNIL indique que cette campagne « préfigurera l'exercice de ses futures attributions en tant qu'autorité de surveillance de marché dans le champ travail » au titre du règlement européen sur l'intelligence artificielle (AI Act). Traduction : le contrôle RGPD d'aujourd'hui prépare le contrôle IA de demain — et les systèmes d'IA utilisés pour le recrutement sont classés « à haut risque » par l'AI Act. Les deux réglementations vont converger sur votre processus de recrutement.

Ces contrôles s'appuieront sur un référentiel que la CNIL a déjà posé : son guide du recrutement, publié en janvier 2023. Autrement dit, les règles du jeu sont connues depuis trois ans. Plus personne ne pourra plaider la surprise.

Axe 1 — La décision automatisée : l'IA de tri sous surveillance

C'est le sujet le plus sensible, et le plus nouveau dans les pratiques. Tri automatique de CV, scoring de candidatures, matching algorithmique, analyse vidéo d'entretiens différés : ces outils se sont installés dans les ATS et les jobboards, souvent sans que personne ne se demande ce que dit le droit.

Or le RGPD est clair (article 22) : un candidat ne peut pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé qui produit des effets significatifs le concernant — et être écarté d'un recrutement en est un. En pratique, cela impose :

  • Une intervention humaine réelle dans la décision : un recruteur qui se contente de valider en masse ce que l'algorithme a rejeté n'est pas une « intervention humaine significative » ;
  • La transparence sur l'usage d'un outil algorithmique : le candidat doit savoir qu'une IA intervient dans le traitement de sa candidature, et selon quelle logique générale ;
  • La possibilité de contester et d'obtenir un réexamen par un humain ;
  • La traçabilité : pouvoir démontrer, dossier par dossier, qui a pris la décision, quand, et sur quels critères.

Si votre ATS ou votre prestataire « pré-classe » les candidatures et que personne ne regarde jamais le bas de la pile, vous êtes exactement dans la situation que la CNIL vient chercher.

Axe 2 — L'information des candidats : la transparence dès le premier contact

Deuxième axe : ce que vous dites aux candidats sur l'usage de leurs données. La règle est simple à énoncer, rarement bien appliquée : le candidat doit être informé dès la collecte — c'est-à-dire dès le formulaire de candidature ou l'annonce — de :

  • Qui traite ses données (l'employeur, le cabinet, les sous-traitants comme votre ATS) ;
  • Pour quelles finalités (gestion de la candidature, constitution d'un vivier…) ;
  • Combien de temps elles seront conservées ;
  • L'existence éventuelle d'un traitement algorithmique de sa candidature ;
  • Ses droits : accès, rectification, effacement, opposition — et comment les exercer.

Points de contrôle classiques : le formulaire de candidature sans mention d'information, le CV transmis « pour un poste » puis recyclé dans un vivier sans que le candidat le sache, ou encore le cabinet qui présente un profil à un client sans avoir informé le candidat de cette transmission.

Axe 3 — Les durées de conservation : le vivier n'est pas un grenier

Troisième axe, le plus mécanique : combien de temps gardez-vous les données des candidats non retenus ? La doctrine constante de la CNIL fixe le repère à deux ans après le dernier contact, sauf opposition du candidat — et au-delà, seulement avec son accord explicite.

Ce qui est contrôlé en pratique :

  • Une politique de durées écrite (dans le registre des traitements) ;
  • Une purge effective : pas seulement une règle sur le papier, mais des suppressions réellement exécutées — idéalement automatisées par votre ATS ;
  • La gestion des CV « historiques » : cette base de 10 000 CV accumulés depuis 2015 dans un dossier partagé, c'est précisément le grenier numérique qu'un contrôleur ouvrira en premier.

Cabinets de recrutement : vous êtes en première ligne

Relisez la phrase de la CNIL : grandes entreprises et cabinets de recrutement. Un cabinet cumule tous les facteurs de risque : volume de candidatures, viviers anciens, transmission de profils à des tiers (les clients), outils de sourcing et d'enrichissement, et désormais des briques d'IA un peu partout dans la chaîne.

Le cabinet est aussi dans une position juridique particulière : selon les cas, responsable de traitement (pour son vivier propre) et sous-traitant ou responsable conjoint (pour les missions clients). Cette qualification doit être posée par écrit, mission par mission — c'est l'une des premières questions qu'un contrôleur posera.

La checklist pour être prêt

Voici, dans l'ordre où nous conseillons de les traiter, les huit vérifications à mener :

  • 1. Cartographiez : où vivent les données candidats (ATS, boîtes mail, Excel, LinkedIn, drives partagés) ? Un contrôle commence toujours par « montrez-moi vos traitements ».
  • 2. Mettez à jour le registre des traitements avec le recrutement : finalités, bases légales, durées, destinataires, sous-traitants.
  • 3. Réécrivez la mention d'information candidats et affichez-la dès le formulaire et dans vos annonces — y compris la mention de tout traitement algorithmique.
  • 4. Auditez chaque brique « intelligente » de votre chaîne : qui trie, qui score, qui matche ? Documentez la logique, et garantissez qu'aucun rejet n'est purement automatique.
  • 5. Instaurez la traçabilité des décisions : pour chaque candidat, votre outil doit pouvoir raconter l'histoire — qui a changé son statut, quand, avec quelle justification.
  • 6. Programmez la purge : deux ans après le dernier contact pour les non-retenus, suppression automatique ou campagne de purge périodique documentée.
  • 7. Encadrez vos sous-traitants : contrats de sous-traitance (article 28 RGPD) avec votre éditeur d'ATS, vos outils d'enrichissement, vos jobboards.
  • 8. Préparez la réponse aux droits : un candidat demande l'accès ou l'effacement — qui répond, en combien de temps, avec quelle procédure ?

Comment nous avons pris le sujet chez recruteurs.io

Nous construisons notre propre ATS, et ce calendrier CNIL a une conséquence directe sur notre façon de le concevoir : la conformité s'intègre dès la conception (privacy by design), pas en rattrapage après un contrôle. Concrètement, dans notre outil et nos process :

  • L'humain décide, l'IA assiste. L'IA nous sert à synthétiser un CV ou préparer un entretien — jamais à écarter un candidat. Chaque changement d'étape d'un candidat dans notre pipeline est une action humaine, effectuée par un consultant identifié.
  • Traçabilité native. Chaque fiche candidat embarque son journal d'activité : qui a fait quoi, quand — changements d'étape, emails envoyés, notes. C'est exactement la piste d'audit qu'un contrôle demande.
  • Transparence candidat. Nos parcours découverte montrent au candidat l'entreprise, le poste et la rémunération avant qu'il ne s'engage — et il choisit explicitement de poursuivre ou non. La donnée qu'il nous confie sert un processus qu'il comprend.
  • Partages maîtrisés. Les profils transmis aux clients passent par des liens sécurisés, personnels et à durée de vie limitée — pas par des PDF qui circulent sans contrôle.

Ce chantier n'est jamais « terminé » : chaque nouvelle fonctionnalité repasse par la même question — quelles données, pour quelle finalité, visibles par qui, conservées combien de temps.

Ce qu'il faut retenir

La CNIL a prévenu, le référentiel existe depuis 2023, et l'AI Act arrive derrière : le traitement des données candidats devient un sujet de direction générale, pas une note de bas de page RH. La bonne nouvelle, c'est qu'un processus de recrutement conforme est aussi un processus meilleur : plus transparent pour les candidats, plus traçable pour les équipes, plus défendable devant un client — ou un contrôleur.

Vous recrutez avec des outils dont vous ne savez pas exactement ce qu'ils font des données candidats ? Parlons-en — l'audit de votre chaîne de recrutement est un bon point de départ, avant que la CNIL ne s'en charge à votre place.

Sources : CNIL — Les contrôles en 2026 (3 avril 2026) · CNIL — Guide du recrutement (janvier 2023).

Articles recommandés