Retour au blog
RGPDrecrutementCNIL

RGPD et logiciel de recrutement : ce que la CNIL regarde vraiment en 2026

Publié le 2026-04-166 min de lectureCleanIssue

> En bref : Les points de vigilance les plus concrets pour un ATS ou logiciel de recrutement : données candidats, accès recruteurs, conservation et sécurité...

Ce que la conformité change pour un logiciel de recrutement

Un ATS ou logiciel de recrutement traite des CV, notes internes, décisions de recrutement, évaluations et parfois pièces jointes sensibles. La question n'est pas seulement de conserver une base légale. Il faut aussi être capable de montrer des mesures de sécurité adaptées.

Pour aller plus loin — lire notre audit de sécurité pour éditeurs de SIRH.

Ce que la CNIL attend dans les faits

Des accès cohérents

Les recruteurs, managers, RH et prestataires n'ont pas besoin du même niveau d'accès. Une séparation floue rend vite la posture difficile à défendre.

Une conservation maîtrisée

Conserver trop longtemps les données candidats ou les laisser accessibles sans logique claire peut devenir un point faible autant juridique qu'opérationnel.

Une sécurité proportionnée

Le RGPD ne demande pas une promesse abstraite. Il demande des mesures adaptées au risque : contrôle des accès, journalisation utile, protection des documents et tests réguliers.

Pourquoi les logiciels de recrutement sont exposés

Parce qu'ils concentrent beaucoup d'informations humaines, circulent entre plusieurs acteurs et s'intègrent souvent à d'autres outils : RH, SSO, emailing, sourcing et stockage documentaire.

Notre lecture

En 2026, la vraie force d'un éditeur recrutement n'est pas de dire "nous sommes conformes". C'est de pouvoir démontrer que la circulation des données candidats, les accès et les expositions visibles ont déjà été relus sérieusement.

Pour les éditeurs RH & Paie

CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

À retenir

  • L'article 32 du RGPD impose des mesures de sécurité proportionnées à la sensibilité des données traitées.
  • Un audit technique régulier est la preuve de conformité la plus concrète en cas de contrôle CNIL.
  • Documentez chaque mesure de sécurité pour constituer votre dossier d'accountability RGPD.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Sources

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit