Un candidat postule à une offre précise. Quelques semaines plus tard, il reçoit un SMS pour un poste sans aucun rapport avec son profil. Derrière cette situation quotidienne, plusieurs manquements au RGPD qu'il est utile d'analyser — pour les candidats comme pour les recruteurs.
Les faits sont volontairement anonymisés — ils se produisent chaque jour dans la plupart des grands cabinets de recrutement et agences d'intérim.
Un candidat postule à une offre précise et identifiée, via un site d'emploi généraliste qui redirige vers le site d'un cabinet de recrutement spécialisé dans les profils cadres. L'offre est clément intitulée : poste de responsable technico-fonctionnel dans le secteur industriel.
Pour valider sa candidature, le candidat doit renseigner ses coordonnées (nom, prénom, téléphone, email, code postal, prétentions salariales) et charger son CV. Une case à cocher obligatoire lui demande d'accepter la politique de confidentialité candidat. Sans ce clic, impossible de soumettre.
Quelques semaines plus tard, sans avoir été rappelé pour l'offre initiale, le candidat reçoit un SMS. L'expéditeur n'est pas le cabinet de recrutement auprès duquel il a postulé, mais une agence locale du même groupe, spécialisée dans l'intérim ouvrier.
Le poste proposé est agent de production de ligne. Aucun lien avec le profil cadre technico-fonctionnel du candidat. Le matching annoncé dans la politique de confidentialité — des offres « adaptées à votre profil » — vient de s'effondrer sur son premier test factuel.
Le candidat sollicite le groupe pour comprendre. La réponse reçue tient en quelques paragraphes : elle confirme la candidature initiale, rappelle la case à cocher obligatoire comme fondement de la licité du traitement, et précise que la fiche candidat « peut également permettre de vous contacter pour vous proposer d'autres offres ou missions ».
Cette réponse, qui se veut rassurante, concentre en réalité plusieurs confusions juridiques et quelques manquements aux principes fondamentaux du RGPD.
Quatre points, qui se recoupent, sur lesquels la situation ne tient pas juridiquement. Utiles à connaître pour ne pas les reproduire côté recruteur, et pour savoir quoi demander côté candidat.
Accepter une politique de confidentialité via une case obligatoire n'est pas un consentement RGPD valide. L'article 4.11 du règlement exige un acte libre, spécifique, éclairé et univoque. Une case qui conditionne l'envoi du formulaire n'est, par construction, pas libre. Et une acceptation globale d'une politique de 15 pages n'est jamais spécifique. Les lignes directrices EDPB 05/2020 rappellent le principe : pas de consentement en bloc.
Traiter une candidature à une offre ne relève pas du consentement, mais de l'article 6.1.b RGPD : mesures précontractuelles prises à la demande de la personne. Pour conserver les données en CVthèque ou proposer d'autres offres, la base est généralement l'article 6.1.f (intérêt légitime), assorti d'un test de mise en balance et d'un droit d'opposition effectif. Confondre consentement et acceptation d'une politique, c'est se tromper de béquille.
L'article 5.1.b RGPD pose le principe de limitation des finalités : les données collectées pour une finalité déterminée ne peuvent être réutilisées pour une finalité incompatible. L'article 6.4 fournit un test de compatibilité : lien entre finalités, contexte de la collecte, attentes raisonnables de la personne. Un candidat cadre démarché pour un poste d'ouvrier n'a jamais pu raisonnablement anticiper ce détournement d'usage. La condition de compatibilité n'est pas satisfaite.
Les articles 12, 13 et 14 RGPD exigent une information concise, transparente, compréhensible et aisément accessible. Une mention comme « vos données peuvent être partagées avec les membres du groupe pour les fonctions informatiques et pour vous proposer des offres adaptées », noyée dans un paragraphe générique et mélangeant deux finalités hétérogènes, ne répond pas à ces critères. Sans information claire et distincte, l'intérêt légitime ne peut pas valablement être invoqué.
Dans ce cas, un détail apparemment anecdotique transforme l'analyse juridique : la nature du poste proposé par SMS.
Quand le recruteur invoque un intérêt légitime pour justifier la prospection, la CNIL et la jurisprudence européenne exigent que cet intérêt soit mis en balance avec les droits et libertés de la personne. Le critère des « attentes raisonnables » est central : ce que la personne pouvait légitimement anticiper au moment de la collecte.
Un candidat qui postule à un poste cadre spécialisé peut raisonnablement s'attendre à être recontacté pour des postes cadres spécialisés similaires. Il ne peut pas raisonnablement s'attendre à être démarché pour un poste sans qualification requise, dans un secteur d'activité totalement différent. Le décalage factuel démontre l'absence réelle de matching et désarme l'argumentation d'un intérêt légitime bien construit.
Plus prosaïquement, le SMS ne sort pas d'un moteur de matching sophistiqué. Il sort d'un export indifférencié de la base candidats, exploité pour un envoi groupé par l'agence locale. Ce qui est pire, pas mieux : l'intérêt légitime suppose un traitement proportionné à la finalité. L'envoi de masse sans filtrage échoue au test de proportionnalité comme au test d'adéquation avec la promesse contractuelle de la politique de confidentialité.
Face à ce type de sollicitation, plusieurs droits activables immédiatement, sans avoir à se justifier.
Demander copie de l'ensemble des données conservées : fiche candidat complète, CV, logs de soumission (horodatage, IP, user-agent), version exacte de la politique affichée au moment de la candidature, destinataires des données, journal des sollicitations reçues. Réponse due sous un mois.
S'opposer, sans justification, à tout traitement de prospection. Le droit d'opposition est absolu en matière de prospection : le responsable de traitement doit cesser immédiatement, sans discussion. Il ne peut opposer aucun « motif légitime impérieux » à une opposition sur la prospection.
Demander la suppression des données lorsque la finalité initiale est épuisée, ou que le candidat s'est opposé au traitement. La conservation d'un CV en base au-delà du strict nécessaire doit être justifiée, notamment au regard de la norme CNIL recrutement (souvent 2 ans après le dernier contact).
En dernier recours, le candidat peut saisir la CNIL sur le fondement de l'article 77 RGPD si ses droits ne sont pas respectés dans le délai d'un mois prévu à l'article 12.3. L'autorité peut prononcer des sanctions administratives, jusqu'à 4 % du chiffre d'affaires mondial annuel.
Rien de ce qui précède n'empêche un recruteur d'avoir une CVthèque, de solliciter d'anciens candidats ou de pratiquer la mobilité inter-marques. Ce sont les modalités qui font la conformité.
La gestion d'une candidature précise et la constitution d'une CVthèque sont deux traitements distincts, avec deux bases légales potentiellement différentes. Ils doivent être présentés comme tels dans l'information candidat, avec des mentions distinctes, et idéalement une case à cocher ou un choix actif séparé pour la réutilisation.
Dans le registre des traitements, chaque finalité doit être rattachée à une base légale précise. Pour l'intérêt légitime, un test de mise en balance doit être réalisé et conservé : intérêt poursuivi, nécessité du traitement, mise en balance avec les droits de la personne, mesures compensatoires.
Un lien de désinscription dans chaque SMS et chaque email de prospection. Un formulaire court, accessible en une page, sans demander de justification. Un délai de prise en compte rapide (24 à 72 heures maximum). Une traçabilité interne pour pouvoir prouver le respect de l'opposition.
Si la politique de confidentialité annonce des offres « adaptées au profil », l'exécution doit suivre. Un export indifférencié vers une base SMS expose deux fois : au RGPD (proportionnalité, finalités) et au droit de la consommation (engagement non tenu vis-à-vis d'une promesse contractuelle).
Le cas présenté n'est pas isolé et ne concerne pas un acteur en particulier. Dans l'intermediation du recrutement — cabinets, agences d'intérim, job boards, plateformes de mise en relation — trois logiques opérationnelles entrent régulièrement en tension avec le RGPD :
L'effet silo inverse. Les groupes multi-marques ont construit leurs systèmes d'information en mutualisant les bases candidats, alors même que les finalités diffèrent selon les marques (recrutement cadre vs intérim ouvrier vs portage vs formation). La fluidité informatique déborde alors la frontière des finalités déclarées.
L'héritage du marketing de masse. Les équipes commerciales des agences locales continuent d'opérer avec des réflexes de mass emailing ou mass SMS, peu compatibles avec un traitement proportionné et ciblé des données candidats. L'arbitrage est souvent arbitré en faveur de la productivité commerciale.
La politique de confidentialité comme paravent. Écrire « peut permettre de proposer d'autres offres » dans un document de 12 pages ne vaut pas information claire au sens des articles 12 et 13 RGPD. Or c'est souvent la seule ligne de défense mobilisée lorsqu'un candidat interroge. Elle ne résiste ni à une analyse DPO sérieuse, ni à un contrôle CNIL.
La bonne nouvelle : l'alignement est possible, à condition de traiter la conformité comme un sujet de gouvernance plutôt que comme un formulaire cocher en fin de parcours. Et la tendance de fond — contrôles ciblés de la CNIL sur le recrutement, sensibilisation accrue des candidats, médiatisation des sanctions — rend le statu quo de moins en moins tenable.
Registre des traitements, base légale par finalité, test d'intérêt légitime, gestion des droits des personnes. Dativo structure la conformité RGPD des cabinets de recrutement, agences et services RH, sans usine à gaz.