L’IA s’invite partout dans le recrutement : tri de CV, matching, sourcing, chatbots candidats, aide à la rédaction d’annonces, scoring, comptes rendus d’entretiens… Le gain de productivité est réel, mais le risque l’est aussi : **le recrutement traite des données personnelles à fort impact**, et cer...
L’IA s’invite partout dans le recrutement : tri de CV, matching, sourcing, chatbots candidats, aide à la rédaction d’annonces, scoring, comptes rendus d’entretiens… Le gain de productivité est réel, mais le risque l’est aussi : le recrutement traite des données personnelles à fort impact, et certaines pratiques basculent vite dans le “profilage” ou la décision automatisée. Résultat, un projet de recrutement intelligence artificielle sans garde-fous RGPD peut créer un risque juridique, réputationnel et social, au moment même où votre entreprise essaie de se structurer.
Ce guide propose une checklist conformité RGPD pragmatique, pensée pour PME et scale-ups : ce qu’il faut vérifier, quoi documenter, et quelles preuves exiger de vos outils et prestataires.
Dans la pratique, on met souvent “IA” sur des briques très différentes. Côté RGPD, l’important n’est pas le marketing du vendeur, mais le type de traitement et son impact.
Exemples fréquents en recrutement :
Parsing de CV et extraction (compétences, expériences, diplômes).
Matching poste-candidat (scores, “fit”).
Sourcing (recherche sur bases internes, job boards, parfois web).
Chatbot RH pour pré-qualifier, planifier, répondre aux questions.
Analyse d’entretiens (transcription, résumé, analyse de thèmes).
Génération de contenus RH (annonces, emails, synthèses).
Plus vous faites du scoring, du classement, ou de la recommandation automatisée, plus vous devez être solide sur : transparence, minimisation, DPIA, et contrôle humain.
Votre entreprise est généralement le responsable de traitement : vous décidez des finalités (recruter), des moyens essentiels et des critères.
L’éditeur de l’outil IA (ATS, moteur de matching, LLM, outil d’entretien, etc.) est souvent sous-traitant (ou parfois responsable conjoint si les finalités sont partagées).
Ce point conditionne vos obligations contractuelles et vos preuves (DPA, mesures de sécurité, sous-traitants ultérieurs, transferts).
Un CV peut contenir :
Données d’identification (nom, email, téléphone).
Données professionnelles (parcours, compétences).
Données potentiellement sensibles ou “à haut risque” selon le contexte (photo, âge, nationalité, handicap, opinions, appartenance syndicale, etc.).
Même si une “catégorie particulière” n’est pas explicitement demandée, elle peut être inférée (ex : photo, adresse, associations). La minimisation et les règles d’usage sont donc centrales.
En recrutement, la base légale est souvent :
Mesures précontractuelles : traiter une candidature pour évaluer et répondre.
Intérêt légitime : organiser le recrutement, sécuriser le processus.
Le consentement est rarement la meilleure base, car il doit être libre et révocable sans déséquilibre. Il peut toutefois se justifier pour certains traitements optionnels (ex : conservation dans un vivier au-delà des durées usuelles, selon votre politique).
Pour des repères pratiques en France, la CNIL publie des recommandations sur les traitements RH et de recrutement, notamment les durées de conservation (voir CNIL).
L’objectif de cette checklist : vous permettre de passer d’un discours IA à un système recrutable, auditable, et tenable en cas de question interne (CSE), d’exercice de droits ou de contrôle.
Avant de parler modèle, écrivez noir sur blanc :
Finalité : “sélectionner des candidats pour le poste X”, “pré-qualifier”, “aider à trier”, etc.
Données en entrée : CV, réponses formulaire, notes d’entretien, transcriptions.
Sorties attendues : score, shortlist, synthèse, recommandations.
Qui décide : l’IA propose, l’humain décide (ou non).
Canaux : ATS, email, chat, visio, téléphone.
Point clé : si l’IA influence significativement le tri (même via “recommandations”), vous devez cadrer les règles d’usage pour éviter le “pilotage automatique” implicite.
Vérifiez que vos informations candidat (formulaire, page carrière, emails) couvrent :
L’existence d’un traitement d’aide au recrutement incluant des outils automatisés.
Les finalités exactes (tri, matching, pré-qualification, planification, synthèse).
Les catégories de données traitées.
Les destinataires (RH, managers, prestataires).
Les durées de conservation.
Les droits (accès, rectification, opposition, effacement, limitation, portabilité selon cas).
Le cas échéant, les transferts hors UE et garanties.
Pour les traitements à fort impact, il est recommandé de pouvoir expliquer les grandes logiques (ex : “recherche de correspondance de compétences et d’expériences par rapport à l’offre”), sans dévoiler un secret industriel.
Référence utile sur les obligations d’information : RGPD, articles 13 et 14.
Le RGPD encadre les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs (recrutement typiquement).
Posez-vous trois questions simples :
La décision “rejet” est-elle prise sans revue humaine réelle ?
Les critères sont-ils appliqués automatiquement (seuil, score) ?
Le candidat a-t-il une possibilité effective de contestation et de contact humain ?
Si la réponse tend vers “oui”, vous êtes dans une zone où il faut renforcer :
Le rôle du recruteur (revue effective, possibilité d’override).
La traçabilité des décisions.
Les explications et modalités d’exercice des droits.
En IA, la minimisation ne consiste pas seulement à “collecter moins”, mais aussi à envoyer moins vers des systèmes externes.
Contrôles concrets :
Champs obligatoires strictement nécessaires.
Suppression des zones “texte libre” non utiles (souvent source de données sensibles).
Politique sur la photo : l’accepter augmente les risques de biais et de données sensibles.
Pour les LLM, mise en place de règles “no paste” sur certaines données, ou redaction automatique avant envoi.
Pour chaque outil IA touchant aux candidatures :
Accord de traitement (DPA) signé, avec description des traitements.
Liste des sous-traitants ultérieurs (hébergeur, analytics, support) et mécanisme d’opposition.
Localisation des données, transferts hors UE, et garanties (ex : clauses contractuelles types).
Engagements sur l’usage des données (entraînement, amélioration produit, rétention).
Ce sont des éléments déterminants pour éviter le “RGPD-washing” : une promesse commerciale ne suffit pas, il faut des clauses et des preuves.
Le recrutement est un traitement sensible par nature. Vérifiez :
Contrôle d’accès (RBAC) : RH, managers, admin, prestataires.
MFA/SSO si possible.
Chiffrement en transit et au repos.
Journaux (logs) : accès, export, suppression.
Gestion des exports (CSV) et partages.
Environnements de test : pas de données réelles en sandbox.
Vous devez définir et appliquer une durée de conservation cohérente (candidature non retenue, vivier, candidatures spontanées). En France, les recommandations CNIL sont souvent utilisées comme référence opérationnelle.
Contrôles concrets :
Durées documentées dans votre registre.
Mécanisme de purge automatique.
Preuve de purge (logs, rapports).
Processus en cas de demande d’effacement.
Une DPIA (AIPD) est souvent pertinente, voire requise, si vous :
Faites du profilage/scoring, surtout à grande échelle.
Automatisez une présélection.
Combinez plusieurs sources (ATS + tests + entretiens + sourcing).
Le but n’est pas un document “pour la forme”, mais un outil pour décider :
Quels risques (biais, exclusion, fuite, erreur) ?
Quelles mesures (revue humaine, minimisation, tests, audits, logs) ?
Quel risque résiduel acceptable ?
Le RGPD n’est pas une loi “anti-biais” au sens large, mais un process de recrutement IA doit être défendable.
Mesures pragmatiques :
Définir des critères métier explicites (compétences, expériences, prérequis).
Éviter les signaux proxies (adresse, école, trous dans le CV) si non justifiés.
Tester sur des cas réels : faux positifs, faux négatifs, profils atypiques.
Prévoir un canal de recours humain.
Conservez (et rendez accessible) :
Registre de traitement (finalités, bases, durées, destinataires).
DPIA si nécessaire.
DPA et annexes sécurité.
Politique d’usage interne (qui peut faire quoi, quoi ne pas faire).
Procédures d’exercice des droits.
Éléments de validation (tests, critères, décisions de go/no-go).
Point de contrôle | Question simple | Preuve attendue | Risque si absent |
|---|---|---|---|
Transparence candidat | Le candidat sait-il qu’une IA aide le tri ou la pré-qualification ? | Notice / mentions RGPD à jour | Non-conformité, défiance, litiges |
Décision automatisée | Un humain peut-il réellement revoir et changer ? | Procédure, logs, UI montrant l’override | Risque article 22, discrimination |
Minimisation | Envoie-t-on seulement le nécessaire ? | Mapping des champs, redaction | Fuite de données, sur-collecte |
Sous-traitants | L’outil utilise-t-il la donnée pour s’entraîner ? Où sont les données ? | DPA, clauses usage, localisation | Non-maîtrise, transfert illégal |
Sécurité | Qui accède aux candidatures et exports ? | RBAC, MFA/SSO, logs | Fuite, accès non autorisé |
Conservation | Supprime-t-on vraiment à échéance ? | Règles + purge automatique + preuve | Stockage excessif, risque CNIL |
DPIA |
Beaucoup d’équipes commencent par copier-coller des CV dans un outil grand public pour résumer, classer, ou rédiger des réponses. Les risques typiques :
Données candidates envoyées hors de tout contrat (pas de DPA).
Historique conservé par défaut.
Absence de traçabilité et de règles d’accès.
Mélange de données sensibles dans des prompts.
Si vous voulez aller vite sans vous exposer : formalisez une charte d’usage, mettez en place une passerelle ou un outil pro avec DPA, et standardisez les inputs (templates) pour minimiser.
Une IA de tri de CV est-elle forcément interdite par le RGPD ? Non. Elle est possible si vous respectez les principes RGPD (transparence, minimisation, sécurité), et si vous encadrez le risque de décision automatisée avec une revue humaine réelle.
Doit-on demander le consentement des candidats pour utiliser l’IA en recrutement ? Pas nécessairement. Beaucoup de traitements reposent sur mesures précontractuelles ou intérêt légitime. En revanche, vous devez informer clairement, et permettre l’exercice des droits.
Quand faut-il faire une DPIA pour le recrutement intelligence artificielle ? Dès que le traitement présente un risque élevé, typiquement scoring/profilage à grande échelle, présélection automatisée, ou combinaison de sources. En pratique, beaucoup de dispositifs IA de recrutement justifient une DPIA.
Peut-on conserver les CV pour un futur recrutement ? Oui, mais avec une durée définie, une information claire, et un mécanisme de purge. Référez-vous aux recommandations CNIL et à votre politique interne.
Un prestataire peut-il réutiliser nos CV pour entraîner son modèle ? Cela dépend du contrat. Sans encadrement strict, c’est un risque majeur. Exigez des clauses claires sur l’usage (entraînement ou non), la rétention, la localisation, et les sous-traitants.
Si vous souhaitez industrialiser un projet de recrutement intelligence artificielle sans multiplier les risques, Impulse Lab peut vous aider à cadrer le cas d’usage, vérifier la conformité RGPD (et la gouvernance associée), puis construire une solution intégrée à vos outils (ATS, CRM, SIRH) avec les garde-fous nécessaires.
Vous pouvez démarrer par un audit d’opportunités et de risques, ou une formation d’adoption pour vos équipes RH et managers. Découvrez l’approche d’Impulse Lab sur impulselab.ai.
Notre équipe d'experts vous répond rapidement pour comprendre vos besoins et vous proposer la meilleure solution.
Vous avez des questions ? On a les réponses.
Leonard
Co-fondateur
DPIA signée, plan d’action |
Risque élevé non maîtrisé |