Faut-il informer le candidat qu'on vérifie son CV ?

Oui, obligatoirement. En vertu de l'art. 13 RGPD, le candidat doit être informé de la vérification, de sa finalité, de sa base légale, et de ses droits (accès, rectification, opposition). Cette information peut figurer dans l'offre d'emploi ou dans un message lors de la candidature.

Légal / Droit du travail | 10 octobre 2024 | 10 min de lecture

RGPD et vérification de CV : guide complet pour recruteurs en France

Q: Quelle est la base légale RGPD pour vérifier un CV ?

La base légale principale est l'intérêt légitime de l'employeur (art. 6.1.f RGPD), sous réserve que la vérification soit proportionnée au poste et que le candidat soit informé. Le consentement peut également être utilisé mais est plus fragile dans la relation employeur-candidat.

Vérifier les informations d'un CV est légal en France, à condition de respecter le cadre RGPD. La base légale de l'intérêt légitime (art. 6.1.f) permet cette démarche pour la quasi-totalité des postes, sous réserve d'informer le candidat et de respecter les règles de conservation des données. Ce guide détaille les obligations concrètes.

2 ans

durée maximale de conservation des données candidats (CNIL)

20 M€

amende maximale RGPD en cas de manquement grave

Art. 6.1.f

base légale de l'intérêt légitime, applicable à la vérification CV

Les trois bases légales possibles

Le RGPD impose que tout traitement de données personnelles repose sur une base légale explicite. Pour la vérification de CV, trois bases légales sont potentiellement applicables, avec des degrés de solidité différents.

Art. 6.1.f RGPD

Intérêt légitime

Base recommandée. L'employeur a un intérêt légitime à recruter sur des informations exactes. Applicable si la vérification est proportionnée au poste.

Art. 6.1.a RGPD

Consentement

Possible mais fragile : le consentement d'un candidat n'est pas libre au sens strict du RGPD en raison du déséquilibre de la relation avec l'employeur.

Art. 6.1.c RGPD

Obligation légale

Applicable uniquement pour certains secteurs réglementés (santé, enseignement, finance) où la vérification des qualifications est imposée par la loi.

    Pourquoi l'intérêt légitime est la bonne base légale
    L'intérêt légitime (art. 6.1.f) est la base la plus robuste pour la vérification de CV car : (1) il ne requiert pas de consentement du candidat, (2) il ne crée pas de risque de retrait du consentement, (3) il est reconnu par la CNIL dans ses lignes directrices sur le recrutement. Il faut néanmoins documenter la mise en balance entre l'intérêt de l'employeur et les droits du candidat.
  

L'obligation d'information (art. 13 RGPD)

Quelle que soit la base légale retenue, l'employeur doit informer le candidat de la vérification. Cette information doit être fournie au moment de la collecte des données, c'est-à-dire lors de la candidature ou au plus tard avant le début de la vérification.

Ce que doit contenir l'information

L'identité et les coordonnées du responsable de traitement (votre entreprise)

La finalité du traitement (vérification des informations du CV)

La base légale (intérêt légitime ou autre)

La durée de conservation des données

Les droits du candidat (accès, rectification, effacement, opposition)

L'existence éventuelle d'un sous-traitant (prestataire de vérification)

Comment transmettre cette information en pratique L'information peut être intégrée dans l'offre d'emploi, dans un email de confirmation de candidature, ou dans le formulaire de candidature en ligne. Un lien vers votre politique de confidentialité RH suffit dans la plupart des cas, à condition que celle-ci soit réellement accessible et complète.

Conservation des données : la règle des 2 ans

La CNIL a publié des lignes directrices claires sur la durée de conservation des données de candidats. Ces durées s'appliquent que le candidat soit retenu ou non.

Candidature active (processus de recrutement en cours)

Conservation justifiée pendant toute la durée du processus. Aucune limite fixe, mais le processus doit avoir une durée raisonnable.

Candidat non retenu (CVthèque)

2 ans maximum à compter du dernier contact, selon les recommandations CNIL. Le candidat doit avoir été informé de cette conservation prolongée.

Candidat retenu (devient salarié)

Les données passent dans le dossier salarié, soumis à des règles différentes (durée de la relation contractuelle + 5 ans).

Suppression ou anonymisation

Au-delà de 2 ans sans contact, suppression ou anonymisation obligatoire. Les données anonymisées ne sont plus soumises au RGPD.

Les droits du candidat

Le candidat dispose de droits que vous devez respecter et être en mesure d'exercer dans un délai d'un mois.

Droit	Ce que le candidat peut demander	Délai de réponse
Accès (art. 15)	Obtenir copie de toutes ses données traitées	1 mois
Rectification (art. 16)	Corriger des données inexactes ou incomplètes	1 mois
Effacement (art. 17)	Demander la suppression de ses données	1 mois
Opposition (art. 21)	S'opposer au traitement basé sur l'intérêt légitime	1 mois
Limitation (art. 18)	Geler l'utilisation des données pendant un litige	1 mois

Droit d'opposition : attention aux implications Si un candidat exerce son droit d'opposition à la vérification, vous pouvez maintenir le traitement si vous démontrez des motifs légitimes impérieux. Pour un poste à responsabilité ou réglementé, cet argument est généralement solide. En cas de doute, consultez votre DPO.

Obligations envers le prestataire de vérification

Si vous faites appel à un prestataire externe pour vérifier les CV (comme CVérifié), ce prestataire est un sous-traitant au sens du RGPD. Cette relation implique des obligations spécifiques.

Signer un contrat de traitement des données (DPA) avec le prestataire (art. 28 RGPD)

S'assurer que le prestataire offre des garanties suffisantes de conformité RGPD

Vérifier que les données ne sont pas transférées hors UE sans garanties adéquates

Mentionner le prestataire comme destinataire des données dans l'information candidat

    CVérifié et conformité RGPD
    CVérifié est un prestataire français, les données sont traitées exclusivement en France. Un DPA (Data Processing Agreement) conforme RGPD est signé avec chaque client entreprise. Les données des candidats sont supprimées 30 jours après la remise du rapport de vérification.
  

Ce qu'il est interdit de vérifier

La vérification doit être limitée aux informations en lien direct avec le poste et les compétences requises. Certaines vérifications sont explicitement interdites.

Casier judiciaire (sauf secteurs spécifiquement autorisés par la loi)

Situation personnelle, familiale, ou état de santé

Activités syndicales, politiques ou religieuses

Informations non mentionnées sur le CV et sans lien avec le poste

Données accessibles sur les réseaux sociaux personnels (Facebook, etc.)

Diplômes et certifications mentionnés sur le CV

Expériences professionnelles, dates et intitulés de postes

Compétences techniques déclarées en lien avec le poste

Habilitations professionnelles requises pour l'exercice du poste

Vérification conforme RGPD, clé en main

CVérifié gère l'ensemble du processus en conformité avec le RGPD : information candidat, DPA, hébergement en France, suppression des données. Vous recevez un rapport certifié sans contrainte administrative.

Questions fréquentes

La base légale principale recommandée est l'intérêt légitime de l'employeur (art. 6.1.f RGPD). Elle permet la vérification sans recueillir le consentement du candidat, sous réserve que la vérification soit proportionnée au poste et que le candidat soit informé. Pour les secteurs réglementés, l'obligation légale (art. 6.1.c) peut également s'appliquer.

La CNIL recommande une durée maximale de 2 ans à compter du dernier contact avec le candidat. Au-delà, les données doivent être supprimées ou anonymisées, sauf accord exprès du candidat pour une conservation plus longue (par exemple pour être recontacté pour des offres futures).

Oui, obligatoirement. En vertu de l'art. 13 RGPD, le candidat doit être informé de la vérification, de sa finalité, de sa base légale, et de ses droits. Cette information peut figurer dans l'offre d'emploi, dans un email de confirmation de candidature, ou via un lien vers votre politique de confidentialité RH.

Oui, il peut exercer son droit d'opposition (art. 21 RGPD). Mais si vous avez des motifs légitimes impérieux qui prévalent sur ses intérêts, vous pouvez maintenir la vérification malgré son opposition. Pour un poste à responsabilité, financier ou réglementé, ce motif est généralement solide. En cas de doute, consultez votre DPO ou un avocat spécialisé.

La désignation d'un DPO n'est obligatoire que pour les organismes publics et les entreprises traitant des données sensibles à grande échelle. Pour la plupart des TPE/PME, elle est facultative. En revanche, documenter le traitement dans votre registre des activités de traitement (RAT) est obligatoire pour toute entreprise de plus de 250 salariés, et fortement recommandé en dessous.