• Blog
  • Conformité RGPD et ATS : obligations, risques et bonnes pratiques

Conformité RGPD et ATS : obligations, risques et bonnes pratiques

7 Min.
rgpd et ats article de blog flatchr

Recruter, c’est collecter des données personnelles. CV, coordonnées, expériences, parfois même éléments sensibles : chaque candidature implique un traitement d’informations protégées par le RGPD (Règlement Général sur la Protection des Données).

Or, dans la majorité des entreprises, ces données sont centralisées dans un ATS (Applicant Tracking System). La question devient donc incontournable : Un ATS est-il conforme au RGPD ? Et surtout : comment garantir la conformité RGPD de son recrutement ?

 

RGPD et recrutement : pourquoi le sujet est critique ?

Le recrutement implique le traitement de données personnelles :

  • Identité ;
  • Coordonnées ;
  • Parcours professionnel ;
  • Parfois situation familiale ;
  • Éventuellement données sensibles.

Ces données sont protégées par le RGPD, en vigueur depuis 2018 dans toute l’Union européenne.

En cas de non-conformité, les sanctions peuvent atteindre :

  • Jusqu’à 20 millions d’euros ;
  • Ou 4 % du chiffre d’affaires mondial.

Mais au-delà de l’amende, il y a un enjeu majeur : la confiance des candidats.

La conformité ne doit pas être vue comme une contrainte.

Un recrutement transparent et respectueux :

  • Renforce la marque employeur ;
  • Rassure les candidats ;
  • Améliore l’image de l’entreprise.

Un ATS bien utilisé peut devenir un outil de confiance.

 

Quelles sont les obligations RGPD en recrutement ?

Le RGPD repose sur plusieurs principes clés.

Le principe de finalité

Les données collectées doivent avoir un objectif précis :

✔️ Évaluer une candidature

❌ Constituer une base de données sans limite claire

La minimisation des données

On ne collecte que les données nécessaires au recrutement.

Demander des informations non pertinentes (situation familiale, photographie obligatoire, etc.) peut poser problème.

La durée de conservation limitée

En France, la CNIL recommande 2 ans maximum après le dernier contact avec le candidat (sauf accord explicite pour conservation plus longue).

Focus : RGPD, ATS et CRM candidat... attention à la gestion des viviers

De nombreuses entreprises conservent des profils dans une CVthèque ou un vivier pour de futurs recrutements. Cette logique s’apparente à un CRM candidat, dont l’objectif est d’entretenir une relation dans la durée avec des talents non recrutés.

Or, cette pratique implique une vigilance particulière au regard du RGPD :

  • Le candidat doit avoir donné un consentement explicite pour être conservé dans un vivier ;
  • La durée de conservation doit être clairement définie ;
  • Un mécanisme de renouvellement du consentement doit être prévu.

Un ATS intégrant une logique de CRM candidat doit permettre de tracer ces consentements et d’automatiser les échéances, sous peine de constituer une base de données non conforme.

Le droit d’accès et de suppression

Un candidat peut demander :

  • Accès à ses données ;
  • Modification ;
  • Suppression (droit à l’oubli).

L’entreprise doit être capable de répondre rapidement.

La sécurité des données

Les informations doivent être :

  • Protégées ;
  • Hébergées dans des conditions conformes ;
  • Accessibles uniquement aux personnes habilitées.

 

Quels sont les risques en cas de non-conformité RGPD avec un ATS ?

La conformité RGPD ne doit pas être prise à la légère. En matière de recrutement, les risques sont à la fois juridiques, financiers, organisationnels et réputationnels.

Les sanctions financières

En cas de manquement grave, les sanctions peuvent atteindre :

  • Jusqu’à 20 millions d’euros ;
  • Ou 4 % du chiffre d’affaires annuel mondial.

Même si ces montants concernent les cas les plus lourds, la CNIL peut prononcer des mises en demeure, des amendes intermédiaires ou exiger des mesures correctives contraignantes.

Le risque organisationnel

Sans cadre clair :

  • Les CV circulent par email ;
  • Des exports Excel sont stockés localement ;
  • Les managers ont accès à trop d’informations ;
  • Les données ne sont jamais purgées.

Cela crée un risque permanent de fuite ou de mauvaise manipulation des données. Un ATS conforme et correctement paramétré permet justement de limiter ces dérives.

Le risque opérationnel

Un défaut de conformité peut aussi bloquer certains projets :

  • Refus d’intégration avec un SIRH ou un CRM candidat ;
  • Blocage par la DSI ;
  • Retard dans la digitalisation du recrutement.

La conformité RGPD devient aujourd’hui un prérequis technique dans tout projet d’outil RH.

loi risques

Quel est le rôle d’un ATS dans la conformité RGPD ?

Un ATS centralise l’ensemble des candidatures. Il devient donc l’outil clé de la conformité.

Un ATS conforme permet :

  • De tracer le consentement du candidat ;
  • De paramétrer la durée de conservation ;
  • D’automatiser la suppression des données expirées ;
  • De gérer les droits d’accès utilisateurs ;
  • D’exporter les données en cas de demande.

Un ATS bien configuré facilite grandement la mise en conformité.

Au-delà de la conformité, les avantages d’un ATS sont également organisationnels. En centralisant les candidatures, en limitant les échanges par e-mail et en structurant les accès, il réduit les risques d’erreurs humaines et améliore la traçabilité des décisions.

La conformité RGPD devient alors une conséquence naturelle d’un processus mieux structuré, et non une contrainte supplémentaire.

Faut-il choisir son ATS en fonction du RGPD ?

Oui.

La conformité doit être un critère majeur dans le choix d’un ATS, au même titre que :

Un ATS performant mais non conforme représente un risque juridique majeur.

Livre blanc - Le guide complet de l'ATS

Comment rendre votre ATS réellement conforme ?

La checklist pour rendre votre ATS conforme

Voici une checklist concrète :

  1. Paramétrer les durées de conservation
  2. Activer la suppression automatique
  3. Vérifier l’hébergement
  4. Limiter les accès
  5. Documenter vos processus
  6. Informer clairement les candidats

Les points à vérifier absolument avec l’éditeur

Tous les ATS ne se valent pas en matière de conformité.

Voici les critères essentiels à contrôler :

  • Hébergement des données : en Europe ? Dans un pays reconnu comme adéquat ? Conformité aux exigences RGPD ?
  • Gestion du consentement : case à cocher claire ? Trace horodatée du consentement ? Consentement distinct pour la CVthèque ?
  • Paramétrage des durées de conservation : suppression automatique ? Rappels de renouvellement de consentement ?
  • Journalisation (logs) : historique des actions ? Traçabilité des accès ?
  • Gestion des rôles : droits différenciés RH / managers ? Accès limité aux données sensibles ?

Les erreurs fréquentes à éviter absolument

Beaucoup d'entreprises pensent être conformes... mais : 

  • Conservent les CV indéfiniment
  • Partagent des candidatures par mail
  • Exportent des fichiers Excel non sécurisés
  • Ne répondent pas aux demandes d'accès
  • Laissent trop d'utilisateurs accéder aux données

Un ATS peut corriger ces pratiques... à condition d'être bien configuré.

 

RGPD et ATS : ce qu’il faut retenir

Le RGPD impose des obligations claires en matière de recrutement :

  • Limiter la collecte ;
  • Encadrer la conservation ;
  • Garantir la sécurité ;
  • Respecter les droits des candidats.

L’ATS joue un rôle central dans cette conformité, mais ne remplace pas la responsabilité de l’entreprise.

La conformité RGPD n’est pas qu’une obligation légale. C’est un pilier de la confiance et de la crédibilité du recrutement.

ats simple et collaboratif flatchr demande demo

Cynthia
Je suis créatrice de contenus RH chez Flatchr. Ma mission : vous aider à recruter mieux (et plus vite), sans vous noyer sous les articles à rallonge. Sur ce blog, je décrypte les tendances RH, je partage des conseils concrets et des retours d’expérience pour booster vos pratiques de recrutement. Le tout, avec une bonne dose de clarté, d’humain… et parfois même d’humour
La newsletter rien que pour vous ! 😁

Dans le même genre

ia rgpd rh ai act recruter conforme article de blog
IA et RGPD : ce que les RH doivent savoir pour recruter en conformité
blog_author_avatar
Cynthia
ats vs crm differences article de blog flatchr
ATS vs CRM : quelles différences entre les deux outils ?
blog_author_avatar
Cynthia
etapes implementation ats article de blog flatchr
Les 8 étapes d'implémentation d'un ATS pour réussir son déploiement
blog_author_avatar
Cynthia

Gagnez du temps avec l'ATS n°1 en France

Simplifiez votre quotidien. Avec Flatchr : créez une offre, diffusez-la, recrutez et gérez vos candidats à un seul endroit !

Demander une démo