RGPD dans le recrutement

Les quatre règles qui comptent le plus en recrutement

Le RGPD est large. Les parties qui touchent le recrutement au quotidien :

• Base légale : chaque traitement a une base documentée. Pour un candidat actif, c’est « nécessaire à l’exécution de mesures précontractuelles ». Pour un membre du vivier, c’est le consentement explicite.
• Minimisation : ne collecter que ce dont le poste a besoin. Pas de date de naissance sur un formulaire sauf si le poste l’exige juridiquement.
• Limitation de conservation : les données candidats ont une durée définie (typiquement 6-12 mois après clôture pour les candidats refusés, plus avec consentement).
• Droits des personnes : accès, effacement, rectification. Construire le workflow à l’avance, ne pas improviser à la première demande.

Là où les PME trébuchent

Échecs fréquents :

• Membres du vivier sans consentement. Sourcer quelqu’un, faire un call, le mettre au vivier — sans « puis-je garder vos données X mois » documenté. Techniquement une violation.
• Conservation indéfinie. « On garde toutes les candidatures à vie au cas où un poste s’ouvre. » Non conforme RGPD.
• Champs obligatoires sans finalité. Date de naissance, situation familiale, photo (sur certains marchés) collectés par défaut. Chacun exige une finalité justifiée.

Ce que « consentement » exige vraiment

Le consentement RGPD est spécifique, éclairé, libre et révocable. Une case précochée n’est pas un consentement. Une clause dans 30 pages de CGU n’est pas un consentement. Le bon schéma : un consentement clair, court et séparé au moment où les données sortent de l’usage strict du recrutement.

Où Join s’inscrit

Join enregistre horodatage et base de consentement par candidat, applique les durées de conservation par configuration, et expose les workflows pour les demandes d’effacement. Voir la politique de confidentialité.