ATS et RGPD : ce qu’il faut savoir en 2026

ATS et RGPD : ce qu’il faut savoir se résume à une réalité simple – tout logiciel de recrutement qui touche à des données personnelles de candidats tombe immédiatement sous le coup du Règlement Général sur la Protection des Données. Durée de conservation limitée à 2 ans, consentement explicite pour les viviers, droit d’effacement à honorer en moins de 30 jours : les obligations sont précises, non négociables, et les sanctions peuvent atteindre 20 millions d’euros.

Pourquoi le RGPD s’applique pleinement à votre ATS

Dès le premier CV reçu, votre logiciel de recrutement traite des données personnelles. Ce n’est pas une zone grise. Le RGPD s’applique sans condition de taille d’entreprise, sans seuil de volume de candidatures, sans exception sectorielle. Une TPE qui collecte dix CV par mois via un ATS est aussi concernée qu’un grand groupe qui en reçoit dix mille.

Un ATS – Application de Suivi des Candidatures – stocke des noms, des adresses email, des numéros de téléphone, des parcours professionnels, parfois des photos, des résultats de tests psychométriques, des notes d’entretien rédigées par les recruteurs. Toutes ces informations constituent des données personnelles au sens de l’article 4 du RGPD. Le responsable de traitement, c’est l’employeur. Pas l’éditeur du logiciel. L’employeur.

Les bases légales applicables au recrutement

Deux bases légales dominent en matière de recrutement. L’intérêt légitime permet de traiter les données d’un candidat qui postule spontanément à une offre publiée – la relation contractuelle en cours de formation justifie le traitement. Le consentement, lui, devient obligatoire dès qu’on souhaite conserver le profil d’un candidat non retenu dans un vivier de talents pour de futures opportunités. Ce sont deux régimes distincts, avec des obligations différentes. Confondre les deux est l’une des erreurs les plus fréquentes constatées lors des contrôles CNIL.

La responsabilité du responsable de traitement

L’employeur doit tenir un registre des activités de traitement qui documente explicitement le traitement « recrutement ». Ce registre doit mentionner la finalité, les catégories de données collectées, les destinataires, les durées de conservation et les mesures de sécurité mises en place. L’éditeur de l’ATS agit en tant que sous-traitant : un contrat de traitement des données (DPA – Data Processing Agreement) doit impérativement être signé entre les deux parties. Sans ce contrat, chaque donnée transmise à l’éditeur constitue un transfert non encadré, donc une violation du RGPD.

4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros : c’est le plafond des amendes RGPD applicables en cas de manquement grave au traitement des données de recrutement. (Règlement (UE) 2016/679 – RGPD, Article 83)

Ces montants ne sont pas théoriques. La CNIL sanctionne. Les enquêtes se déclenchent souvent après une plainte d’un candidat – un candidat qui n’a pas reçu de réponse à sa demande d’effacement, ou qui a découvert que son CV circulait encore dans un système deux ans après sa candidature. Consulter nos guides recrutement pour rester informé des évolutions réglementaires régulières sur ce sujet.

Quelles données candidats sont concernées et comment les protéger

Tous les ATS ne collectent pas les mêmes données. Mais la quasi-totalité d’entre eux traitent au minimum : nom, prénom, coordonnées de contact, CV (parcours professionnel, formation, compétences déclarées), lettre de motivation et source de candidature. À ces données courantes s’ajoutent, selon les processus, des informations beaucoup plus sensibles.

Données courantes et données sensibles : une distinction critique

Les données dites « courantes » – identité, expérience professionnelle, diplômes – sont traitées sous intérêt légitime dans le cadre d’un recrutement actif. Les données sensibles, en revanche, sont soumises à un régime d’interdiction par défaut. Le RGPD classe comme sensibles : l’origine raciale ou ethnique, les convictions religieuses ou politiques, l’état de santé, le handicap, les données biométriques. Un ATS qui intégrerait des fonctionnalités d’analyse de traits de personnalité à partir de la voix ou du visage entre directement dans cette catégorie.

Les notes d’entretien rédigées par un recruteur ne sont pas des données anodines. Si un recruteur écrit « candidat semblant fatigué, problèmes personnels évoqués », cette note stockée dans l’ATS devient une donnée de santé indirecte. Elle doit être traitée comme telle. La règle pratique : ne saisir dans l’ATS que des observations directement liées aux compétences et à l’adéquation au poste.

Mesures techniques minimales requises

La sécurité d’un ATS se juge sur plusieurs critères concrets. Le chiffrement des données au repos et en transit est non négociable – un ATS qui stocke des CV en clair sur un serveur non chiffré expose l’entreprise à une double sanction : violation des données et absence de mesures de sécurité appropriées. La gestion des accès doit suivre le principe du moindre privilège : seuls les recruteurs impliqués dans un processus donné accèdent aux candidatures correspondantes. Un DRH ne doit pas avoir accès par défaut aux candidatures d’une filiale qu’il ne gère pas.

Les journaux d’audit – logs traçant qui a accédé à quelles données, quand, et quelle action a été effectuée – constituent une preuve d’accountability indispensable. En cas de contrôle ou de plainte, ces logs démontrent que l’entreprise a effectivement mis en place des mécanismes de surveillance de l’accès aux données personnelles.

La CNIL a prononcé 42 mises en demeure liées à la gestion des données RH et candidats entre janvier 2024 et juin 2025. (Rapport annuel CNIL 2025)

Un point souvent négligé : les intégrations tierces. Un ATS connecté à un outil de visioconférence, à une plateforme de tests en ligne ou à un logiciel de sourcing crée des flux de données supplémentaires. Chaque flux doit être documenté, chaque prestataire tiers doit avoir signé un DPA. La chaîne de responsabilité ne s’arrête pas à l’ATS principal.

Durée de conservation des CV : les règles CNIL à respecter

La CNIL est précise sur ce point. Deux ans maximum à compter du dernier contact avec le candidat. Pas deux ans à compter de la candidature initiale : à compter du dernier échange. Si un candidat répond à un email de relance dix-huit mois après sa candidature initiale, le compteur repart de zéro à cette date.

Trois situations, trois durées

Le candidat retenu et embauché voit ses données migrer vers le dossier salarié – elles sortent du périmètre de l’ATS et entrent dans celui du droit du travail, avec des durées de conservation distinctes. Le candidat refusé : ses données doivent être supprimées dans les deux ans suivant la fin du processus de recrutement, sauf consentement exprès pour intégration dans un vivier. Le candidat en vivier : deux ans à compter du dernier contact, renouvelables uniquement si le candidat donne un nouveau consentement actif – une case à cocher, pas un silence valant accord.

Pour automatiser ces purges, tester le pipeline Skwiz permet de configurer des règles de rétention par statut de candidat directement depuis l’interface, sans intervention technique.

Documenter la politique de rétention pour l’accountability

L’accountability RGPD impose de prouver que vous respectez les règles, pas seulement de les respecter. La politique de rétention des données de recrutement doit être un document écrit, daté, validé par la direction ou le DPO, et actualisé chaque année. Elle doit être accessible à tout collaborateur impliqué dans le recrutement. Une procédure orale ne vaut rien face à la CNIL.

38 % seulement des PME françaises disposent d’une procédure RGPD formalisée pour le recrutement en 2025. (Baromètre RH & Conformité Sopra HR Software, 2025)

Consentement, transparence et droits des candidats : obligations concrètes

Transparence ne signifie pas noyer le candidat sous dix pages de mentions légales. Cela signifie lui fournir, au moment où il dépose sa candidature, une information claire, lisible et complète sur ce qui va être fait de ses données.

Mentions légales obligatoires dans les formulaires de candidature

Tout formulaire de candidature doit comporter, de façon visible et compréhensible : l’identité du responsable de traitement, la finalité du traitement (recrutement pour le poste X), la base légale applicable, la durée de conservation, les droits dont dispose le candidat (accès, rectification, effacement, opposition, portabilité), les coordonnées du DPO si l’entreprise en a un désigné, et la possibilité de déposer une plainte auprès de la CNIL. Ces informations doivent apparaître avant que le candidat valide son formulaire – pas dans un email de confirmation reçu après coup.

La gestion du consentement pour les viviers de talents

Un vivier de talents exige un consentement spécifique, distinct de la candidature initiale. Le candidat qui postule à un poste précis donne son accord pour que ses données soient traitées dans le cadre de ce recrutement. Si l’entreprise souhaite conserver son profil pour de futures opportunités, elle doit demander un consentement séparé, explicite, avec une description claire de la nature des futures opportunités envisagées. Ce consentement doit être aussi facile à retirer qu’à donner – un lien de désabonnement fonctionnel dans chaque email de relance vivier suffit techniquement.

Le consentement passif ne fonctionne pas. Une case pré-cochée « J’accepte d’être contacté pour de futures offres » est illégale. Le candidat doit cocher lui-même.

Répondre aux droits des candidats dans les délais

Un mois. C’est le délai légal pour répondre à toute demande d’exercice de droits – accès, rectification, effacement, opposition. Ce délai est extensible de deux mois supplémentaires en cas de demande complexe, mais l’entreprise doit informer le candidat de cette extension dans le délai initial d’un mois. Dépasser ce délai sans notification expose directement à une plainte recevable par la CNIL.

La demande d’effacement est la plus fréquente. Un candidat qui demande la suppression de toutes ses données doit voir son profil intégralement supprimé de l’ATS – y compris les notes d’entretien, les évaluations, les échanges emails archivés dans le système. Pas simplement « désactivé » ou « archivé ». Supprimé. Un ATS qui ne permet pas la suppression réelle des données n’est pas conforme.

Comment choisir un ATS conforme RGPD et sécuriser son recrutement

Tous les ATS ne se valent pas sur le plan de la conformité. Certains éditeurs affichent « RGPD compliant » sur leur site sans que cela recouvre grand-chose de concret. Voici les critères qui comptent vraiment.

La grille d’évaluation d’un ATS conforme

Premier critère : l’hébergement. Les données doivent être hébergées dans l’Union européenne ou dans un pays reconnu comme offrant un niveau de protection adéquat par la Commission européenne. Un ATS hébergé sur des serveurs américains sans clauses contractuelles types (CCT) valides ni certification adéquate expose l’entreprise à un risque de transfert illicite de données. Depuis l’invalidation du Privacy Shield en 2020, la vigilance sur ce point reste entière malgré le Data Privacy Framework adopté en 2023 – ce cadre reste contesté juridiquement.

Deuxième critère : le DPA. L’éditeur doit proposer un Data Processing Agreement signable, décrivant précisément les traitements effectués en sous-traitance, les mesures de sécurité mises en place, les procédures en cas de violation de données, et les engagements de suppression des données en fin de contrat. Un éditeur qui refuse de signer un DPA ou qui propose un document vague n’est pas un partenaire RGPD fiable.

Troisième critère : les fonctionnalités de conformité intégrées. Un ATS vraiment conforme propose nativement : gestion des durées de conservation par statut candidat, purges automatiques configurables, journaux d’audit complets, gestion du consentement pour les viviers, export des données candidat en un clic pour répondre aux demandes de portabilité. Ces fonctionnalités ne doivent pas être des options payantes – elles font partie des obligations légales et tout éditeur sérieux les intègre par défaut.

Les certifications qui signifient quelque chose

La certification ISO 27001 atteste d’un système de management de la sécurité de l’information audité par un tiers indépendant. C’est un signal fort, mais pas suffisant seul. Vérifiez également si l’éditeur publie ses rapports de tests d’intrusion, si sa politique de réponse aux incidents de sécurité est documentée publiquement, et s’il dispose d’un DPO désigné joignable.

La plateforme de recrutement Skwiz est conçue avec ces exigences dès sa conception – hébergement européen, DPA disponible, gestion des durées de conservation par statut candidat, et fonctionnalités de conformité RGPD incluses dans le plan freemium. Pour les équipes qui recrutent régulièrement et ont besoin des fonctionnalités avancées – purges automatiques programmées, journaux d’audit exportables, gestion fine des viviers avec consentement – , découvrir Skwiz Pro détaille l’ensemble des options disponibles selon le volume de recrutement.

Un ATS non conforme coûte bien plus cher à long terme qu’un ATS conforme. Les amendes CNIL, les coûts de remédiation technique post-contrôle, le risque réputationnel auprès des candidats – tout cela dépasse largement l’investissement dans une solution construite pour respecter le règlement dès le départ. Choisir un ATS, c’est choisir un sous-traitant de données personnelles. Ce choix engage la responsabilité de l’entreprise.