La vérification de CV touche aux données personnelles des candidats. CVérifié a été conçu dès l'origine pour opérer dans le strict respect du RGPD et du droit du travail français — pour vous, et pour les candidats.
La vérification de CV ne se limite pas à un simple contrôle factuel : elle implique le traitement de données personnelles relatives à des candidats — leur identité, leurs diplômes, leur historique professionnel. Ces informations sont protégées par le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
En tant que recruteur ou employeur qui commande une vérification, vous êtes le responsable du traitement de ces données. À ce titre, vous êtes légalement tenu de respecter les principes du RGPD, sous peine de sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial de votre organisation ou 20 millions d'euros, selon le montant le plus élevé (art. 83 RGPD).
CVérifié a été conçu dès l'origine comme un outil conforme par design (privacy by design et privacy by default) :
Toute vérification réalisée via CVérifié sans consentement préalable du candidat constituerait une violation du RGPD et de l'article L.1221-6 du Code du travail. CVérifié met à disposition un modèle de formulaire de consentement prêt à l'emploi.
Le traitement des données des candidats dans le cadre du service CVérifié repose sur un fondement juridique double, solide et complémentaire :
L'employeur dispose d'un intérêt légitime à vérifier l'exactitude des informations déclarées par un candidat postulant à un emploi. Cet intérêt est mis en balance avec les droits des candidats : la vérification porte uniquement sur des informations que le candidat a lui-même déclaré publiquement dans son CV, dans le but précis d'obtenir un poste.
L'article L.1221-6 du Code du travail dispose que « les informations demandées au candidat à un emploi ne peuvent avoir comme finalité que d'apprécier sa capacité à occuper l'emploi proposé ou ses aptitudes professionnelles ». Cet article autorise explicitement la vérification des informations déclarées par un candidat, dans la limite de ce qui est pertinent au regard du poste à pourvoir.
Bien que l'intérêt légitime constitue la base légale principale, CVérifié exige que le recruteur obtienne le consentement explicite et documenté du candidat avant toute commande de vérification. Ce consentement doit être :
Le RGPD distingue le responsable du traitement (qui décide des finalités et des moyens du traitement) du sous-traitant (qui traite des données pour le compte du responsable, sur instruction de celui-ci). Cette distinction est fondamentale en matière de vérification de CV.
| Acteur | Rôle RGPD | Responsabilités clés |
|---|---|---|
| Le Client (recruteur / employeur) | Responsable du traitement (art. 4.7 RGPD) | Définit la finalité de la vérification, obtient le consentement du candidat, décide de l'embauche |
| CVérifié | Sous-traitant (art. 4.8 et art. 28 RGPD) | Réalise la vérification sur instruction du Client, garantit la sécurité des données, n'utilise jamais les données à d'autres fins |
En qualité de sous-traitant, CVérifié s'engage à :
Un contrat de sous-traitance (DPA — Data Processing Agreement) conforme aux exigences de l'article 28 du RGPD est signé avec chaque client entreprise souscrivant au service CVérifié.
CVérifié a mis en place un processus en trois étapes pour garantir que le consentement de chaque candidat est valablement obtenu avant toute vérification.
Avant de commander une vérification, le recruteur informe le candidat de la vérification prévue : nature des éléments vérifiés, identité du sous-traitant (CVérifié), finalité et durée de conservation des données. CVérifié fournit un modèle d'email ou de formulaire d'information prêt à l'emploi, personnalisable en quelques clics.
Le candidat donne son accord explicite par écrit : soit par email (réponse confirmant son accord), soit via le formulaire de consentement en ligne fourni par CVérifié dans l'espace client. Le formulaire enregistre l'heure, la date et l'adresse IP du consentement.
La preuve du consentement (email, horodatage du formulaire) est archivée de manière sécurisée par CVérifié pendant 3 ans. Elle est accessible au Client depuis son espace client et peut être produite en cas de contrôle CNIL.
CVérifié applique rigoureusement le principe de minimisation des données : seules les informations strictement nécessaires à l'exécution de la vérification commandée sont collectées et traitées.
| Données traitées | Source | Finalité | Durée de conservation |
|---|---|---|---|
| Identité (nom, prénom) | Transmise par le recruteur (Client) | Identification du dossier de vérification | 2 ans |
| Diplôme(s) revendiqué(s) et établissement(s) | Transmise par le recruteur (Client) | Objet principal de la vérification diplômante | 2 ans |
| Expériences professionnelles déclarées | Transmise par le recruteur (Client) | Objet principal de la vérification d'expérience | 2 ans |
| Résultat de la vérification (rapport) | Produit par CVérifié | Rapport livré au Client pour sa décision de recrutement | 2 ans |
À l'issue de la durée de conservation de 2 ans, les données des candidats sont supprimées de manière automatique et irréversible des systèmes de CVérifié. Aucune copie n'est conservée à des fins de ré-utilisation ou d'analyse commerciale.
Tout candidat dont les informations ont fait l'objet d'une vérification via CVérifié dispose de l'ensemble des droits reconnus par le RGPD. Ces droits s'exercent directement auprès de CVérifié en tant que sous-traitant, à l'adresse rgpd@cverifie.fr.
Le candidat peut demander à consulter l'ensemble des données traitées le concernant dans le cadre de la vérification réalisée sur son CV.
En cas d'erreur ou d'inexactitude dans les données traitées, le candidat peut en demander la correction immédiate.
Le candidat peut demander la suppression de ses données. CVérifié procède à l'effacement dans un délai de 30 jours, sauf obligation légale contraire.
Le candidat peut s'opposer à la réalisation d'une vérification avant qu'elle ne soit effectuée. Une fois le rapport livré, la vérification ne peut être annulée rétroactivement.
Contact pour exercer vos droits : adressez votre demande à rgpd@cverifie.fr en indiquant vos nom, prénom et la nature de votre demande. CVérifié s'engage à répondre dans un délai de 30 jours. En cas d'insatisfaction, vous pouvez introduire une réclamation auprès de la CNIL — www.cnil.fr.
CVérifié met en œuvre un ensemble de mesures techniques et organisationnelles (SMTO) conformes aux exigences de l'article 32 du RGPD, proportionnées aux risques identifiés dans le cadre de son activité de vérification.
Les questions les plus fréquentes de nos clients recruteurs et des candidats sur la conformité RGPD du service CVérifié.
Non. Procéder à une vérification de CV sans le consentement préalable du candidat constitue une violation du RGPD et de l'article L.1221-6 du Code du travail. En pratique, cela expose le recruteur à une plainte du candidat devant la CNIL et à des sanctions pouvant atteindre 4 % du CA mondial de l'entreprise.
CVérifié exige que le consentement du candidat soit documenté avant toute commande de vérification, et met à disposition un modèle de formulaire conforme pour simplifier cette démarche.
Non. En qualité de sous-traitant au sens de l'article 28 du RGPD, CVérifié traite les données des candidats exclusivement pour le compte et sur instruction du Client (recruteur). CVérifié n'utilise jamais ces données à des fins propres, ne les vend pas et ne les cède pas à des tiers.
Seuls les établissements ou employeurs directement contactés dans le cadre de la vérification reçoivent les données strictement nécessaires à la confirmation des informations (typiquement : nom du candidat et diplôme ou dates d'emploi revendiqués).
CVérifié conserve les données des candidats (identité, diplômes vérifiés, expériences professionnelles, rapport de vérification) pendant un maximum de 2 ans à compter de la date de livraison du rapport. À l'issue de ce délai, les données sont automatiquement et irréversiblement supprimées.
Ce délai est conforme aux recommandations de la CNIL et permet au Client de consulter le rapport en cas de besoin (par exemple, en cas de contestation ultérieure du candidat), sans excéder la durée strictement nécessaire.
Un candidat souhaitant exercer ses droits RGPD (accès, rectification, effacement, opposition) peut contacter CVérifié directement à l'adresse rgpd@cverifie.fr en précisant son nom, prénom et la nature de sa demande.
CVérifié s'engage à répondre dans un délai de 30 jours. En cas de demande d'effacement, les données sont supprimées dans ce délai, sauf si une obligation légale de conservation s'y oppose (ex. : données de facturation conservées 10 ans).
Si le candidat estime que sa demande n'a pas été traitée correctement, il peut introduire une réclamation auprès de la CNIL — www.cnil.fr.
Oui, pour les candidats résidant dans l'Union européenne ou l'Espace Économique Européen, le RGPD s'applique pleinement et CVérifié opère en pleine conformité. Pour les candidats résidant hors UE, CVérifié applique par défaut les mêmes standards de protection et les mêmes procédures de consentement, indépendamment de la nationalité ou de la résidence du candidat.
Concernant les diplômes étrangers, CVérifié contacte les établissements concernés à l'international, dans le respect des législations locales applicables. Pour en savoir plus, consultez notre article Vérification de diplôme étranger en France.
Un DPA (Data Processing Agreement, ou contrat de sous-traitance) est le contrat obligatoire que l'article 28 du RGPD impose entre un responsable de traitement (ici, votre entreprise) et un sous-traitant (ici, CVérifié). Ce contrat formalise les instructions données au sous-traitant, les garanties qu'il offre en matière de sécurité, les durées de conservation et les obligations mutuelles des parties.
Oui, CVérifié fournit un DPA à chaque client entreprise souscrivant au service. Ce document est disponible depuis l'espace client lors de la création du compte professionnel, et peut être transmis sur demande à votre DPO ou service juridique. Pour toute question, contactez rgpd@cverifie.fr.
Pour toute question relative à la conformité RGPD du service CVérifié, pour exercer vos droits ou pour signaler un incident de sécurité, plusieurs canaux sont à votre disposition.
Email DPO : rgpd@cverifie.fr — pour toute demande relative aux données personnelles (droits des personnes, questions DPA, signalement d'incident).
Email général : contact@cverifie.fr — pour les questions commerciales ou relatives au service.
Adresse postale : CVérifié — [Adresse complète à compléter], Paris, France.
Pour aller plus loin, consultez notre Politique de confidentialité complète ainsi que notre article de blog RGPD et vérification de candidat : le guide complet pour les recruteurs.