Audit RGPD pour cabinets RH et recruteurs

Les 5 risques RGPD spécifiques RH et recrutement

1. Conservation des CV au-delà de 2 ans. Sans consentement explicite, la durée maximale est de 2 ans après le dernier contact. Les bases candidats "vivantes" indéfinies sont une infraction directe.
2. Sourcing LinkedIn / outils tiers. Scraper des profils ou utiliser des outils non encadrés expose à la sanction. Vérifiez la base légale et le DPA des outils de sourcing.
3. Tests, scoring algorithmique, entretiens enregistrés. Décisions automatisées : encadrement art. 22, information renforcée, droit à intervention humaine.
4. Données sensibles dans les CV. État civil détaillé, photo, situation familiale, santé : à ne collecter que si nécessaire au poste, avec base légale.
5. Sous-traitants ATS et tests psychotechniques. Chaque outil = un sous-traitant à encadrer par DPA, à inclure dans l'information candidat.

Checklist conformité RH

• Information candidat claire, accessible avant la candidature (mention RGPD, durée, finalité, droits).
• Durées de conservation : 2 ans après dernier contact pour candidats non retenus, durée du contrat + obligations légales pour les salariés.
• Procédure d'effacement automatique implémentée dans l'ATS.
• Encadrement du sourcing : politique interne, base légale claire, DPA des outils tiers.
• Encadrement des tests et de tout scoring automatisé.
• DPA signés avec ATS, plateforme de tests, jobboards, vérification de références.
• Habilitation stricte aux dossiers RH ; cloisonnement avec les autres systèmes.
• Procédure de réponse aux demandes de droits (accès, effacement, opposition).
• Notification immédiate de violation (perte de portable RH, accès non autorisé à l'ATS).
• Formation des recruteurs et managers RH au cadre RGPD.

Pour aller plus loin

• Calculateur d'amende RGPD CNIL
• Audit RGPD SaaS et startup
• Audit RGPD TPE/PME