Données candidats dans votre ATS : ce que dit vraiment le RGPD (et comment s’y conformer)
Mise en ligne le vendredi 29, mai 2026
Vous savez déjà que le RGPD encadre la collecte de données candidats. Ce que beaucoup d’équipes RH découvrent plus tard, souvent au mauvais moment, c’est que les obligations ne s’arrêtent pas là. Elles commencent vraiment une fois que le profil est dans votre ATS.
Conservation, accès, suppression, droits candidats : tout ce qui se passe après la collecte est aussi encadré que la collecte elle-même. Et dans la plupart des ATS, ce n’est pas configuré par défaut.
Voici ce que ça change concrètement dans votre quotidien, et comment y remédier sans y passer des semaines.
L’ATS, l’angle mort de la conformité RGPD
Quand une entreprise se pose la question du RGPD dans le recrutement, elle pense d’abord à la collecte :
👉 Est-ce que les formulaires de candidature sont conformes ?
👉 Est-ce que les outils de sourcing utilisent des données consenties ?
C’est légitime, certes, mais une fois le profil dans le pipeline, la question se déplace. L’ATS devient le principal réceptacle de données personnelles, et souvent le moins surveillé. Pas par négligence, mais parce que personne n’a eu le temps de s’en occuper entre deux campagnes de recrutement.
Résultat : des candidatures de 2021 toujours accessibles, des notes d’entretien visibles par l’ensemble de l’équipe, des profils impossibles à supprimer proprement parce qu’ils ont été exportés dans trois fichiers différents. Rien de malveillant. Juste des habitudes qui n’ont jamais été remises en question.
Pour aller plus loin
RGPD et logiciel de recrutement : les obligations de votre outil RH
Quatre situations concrètes qui posent problème
1. Le profil qu’on garde « au cas où »
Un bon candidat, pas retenu cette fois. On le garde dans un vivier, sans vraiment lui demander son accord, en se disant qu’on le recontactera peut-être dans six mois. Six mois deviennent deux ans. Le candidat a changé de poste, peut-être même de secteur. Et son profil est toujours là, avec ses coordonnées, ses notes d’entretien, ses résultats de test.
Ce problème de conservation commence souvent avant même que le profil arrive dans l’ATS. Un candidat sourcé via un outil qui n’a pas recueilli son consentement explicite, c’est une donnée qui part déjà du mauvais pied, quelle que soit la qualité de votre paramétrage ensuite. C’est exactement ce que TalentPicker adresse en amont : en s’appuyant uniquement sur des profils issus de CVDesignR, où les candidats ont explicitement accepté d’être visibles par des recruteurs partenaires, la conformité est intégrée dès la collecte.
A retenir : Le RGPD est clair. Conserver un profil dans un vivier nécessite un consentement explicite et spécifique à cet usage. Et ce consentement a une durée de vie, il ne vaut pas indéfiniment.
2. La candidature que tout le monde peut voir
Dans beaucoup d’ATS, les droits d’accès ne sont pas finement paramétrés. Un manager opérationnel peut consulter des candidatures sur des postes qui ne le concernent pas. Un assistant RH a accès aux notes d’entretien de l’ensemble de l’équipe. Encore une fois, ce n’est pas une intention malveillante : c’est juste le paramétrage par défaut que personne n’a changé, mais qui peut, au final, vous causer bien des torts.
Le principe de minimisation des accès impose pourtant que chaque collaborateur n’accède qu’aux données dont il a réellement besoin. Et sans historique des consultations, impossible de savoir qui a vu quoi, ni de répondre à un candidat qui poserait la question.
3. La demande de suppression qu’on ne sait pas traiter
Un candidat envoie un email pour demander la suppression de ses données. Vous avez un mois pour répondre.
Sauf que son profil existe en plusieurs endroits : dans l’ATS, dans un export Excel envoyé au manager, dans un email de synthèse archivé quelque part… etc. Supprimer « proprement » devient alors un vrai chantier.
C’est précisément le type de situation que la CNIL commence à sanctionner. En décembre 2024, Kaspr a écopé d’une amende de 240 000 euros pour, entre autres, une gestion défaillante des droits des personnes concernées. Source : CNIL, décembre 2024.
4. Le formulaire de candidature qui collecte trop
Autre exemple : en avril 2024, la CNIL a mis en demeure une entreprise pour avoir demandé aux candidats leur nationalité, leur situation familiale et l’historique complet de leurs salaires. Rien de tout ça n’était évidemment nécessaire à l’évaluation des compétences.
Ce qu’il faut retenir : La règle est simple : on ne collecte que ce qui est directement utile au poste visé. Tout le reste est un risque. Source : CNIL, avril 2024.
Pour aller plus loin
AI Act recrutement : le toolkit conformité IA pour être prêt avant le 2 août 2026
Ce que ça demande côté outil
La bonne nouvelle, c’est que ces quatre situations ont toutes une réponse technique. Elles ne nécessitent pas de chantier juridique. Elles nécessitent un ATS bien réglé.
- Des durées de conservation paramétrables par type de candidature, avec alertes automatiques avant expiration pour ne plus jamais garder un profil par oubli.
- Pour la gestion des viviers, le logiciel permet de tracer le consentement des candidats et de piloter les renouvellements à échéance, notamment grâce à un système agile de filtrage par tags.
- Des accès configurables par rôle pour que chaque collaborateur ne voie que ce qui le concerne.
- La centralisation des échanges et des actions au sein de la fiche candidat garantit une traçabilité totale, idéale pour répondre rapidement aux demandes des candidats ou des contrôleurs.
- Une suppression centralisée et vérifiable qui couvre l’ensemble des données liées à un profil, sans résidus.
C’est exactement ce que Beetween intègre nativement. Pas comme une couche juridique rajoutée après coup, mais comme une logique de fonctionnement. Pour que la conformité soit le chemin le plus simple, pas le plus contraignant.
En résumé
Durées de conservation configurables, gestion du consentement horodatée, accès restreints par rôle, suppression centralisée sur demande. La conformité ne demande pas de chantier, elle demande un outil bien réglé.
Le vrai sujet RGPD dans le recrutement, ce n’est pas la collecte. C’est tout ce qui se passe après :
- Conservation trop longue,
- accès trop larges,
- suppressions impossibles à tracer.
Ce sont des situations banales, dans des entreprises qui n’ont simplement jamais eu le temps de configurer leur ATS correctement.
Ce n’est pas une question de bonne volonté. C’est une question d’outil. Un ATS qui gère la conformité en arrière-plan, c’est une équipe RH qui recrute sereinement, sans avoir à se transformer en experte juridique entre deux entretiens.
FAQ
Combien de temps peut-on garder une candidature dans son ATS ?
Deux ans après le dernier contact avec le candidat — à condition qu’il ait été informé de cette durée dès le dépôt de sa candidature. Passé ce délai, les données doivent être supprimées ou anonymisées. Pour les viviers, un consentement explicite et spécifique est obligatoire.
Un candidat peut-il demander la suppression de son profil ?
Oui, c’est un droit garanti par le RGPD. L’entreprise dispose d’un mois pour y donner suite. D’où l’importance d’un ATS qui centralise toutes les données liées à un profil et permet de les supprimer sans résidus dans des exports parallèles
Faut-il un consentement pour chaque candidature ?
Pas pour la candidature elle-même — le traitement repose sur l’intérêt légitime de l’entreprise. Mais le candidat doit être clairement informé : quelles données, pour quelle finalité, pendant combien de temps. Et si vous souhaitez conserver son profil dans un vivier après la fin du processus, un consentement explicite devient obligatoire.
Tout le monde dans l’équipe RH peut-il accéder aux candidatures ?
Non. Le RGPD impose que chaque collaborateur n’accède qu’aux données dont il a réellement besoin. Un ATS conforme permet de paramétrer ces accès par rôle — et de tracer qui a consulté ou modifié un profil.
Que risque-t-on concrètement si on n’est pas conforme ?
Les sanctions CNIL vont de la mise en demeure publique à des amendes significatives. Dans le recrutement, les cas récents portent surtout sur la collecte excessive et la conservation trop longue. Mais au-delà de l’amende, c’est souvent l’impact réputationnel — décision rendue publique, perte de confiance des candidats — qui pèse le plus.
