TL;DR. Le 3 avril 2026, la CNIL a inscrit le recrutement dans ses 3 thématiques prioritaires de contrôle. ~20 % des 323 contrôles annuels vont y passer, sur la base du guide en 19 fiches publié en 2023. La CNIL a déjà sanctionné un éditeur d'ATS de 7 000 € en septembre 2025. Tu as un mode opératoire pour transformer une candidature mal gérée en saisine.
Tu envoies ton CV. Pas un mot sur le RGPD dans le formulaire.
Trois ans plus tard, un recruteur te relance pour une mission — ton dossier ressuscité d'un disque dur que tu pensais oublié.
Au refus suivant, motif officiel : un algorithme n'aurait pas retenu ton profil.
En 2026, ce n'est plus un détail désagréable. C'est un dossier que la CNIL veut sur son bureau. Et si la prochaine sanction qu'elle prononce partait de ta plainte ?
Pourquoi la CNIL met le recrutement sur la table en 2026
Le 3 avril 2026, la CNIL a publié sa décision annuelle sur les thématiques prioritaires de contrôle (CNIL, 2026). Le recrutement est l'une des trois cibles, à côté du Répertoire électoral unique et des fédérations sportives.
Pour fixer l'ordre de grandeur : la CNIL indique qu'environ 20 % de ses contrôles annuels s'inscrivent dans le cadre des thématiques prioritaires (CNIL, 2026). Sur les 323 contrôles menés en 2025 (Rapport annuel CNIL, 2025), ça donne une grosse soixantaine de dossiers spécifiquement consacrés à l'emploi.
Le périmètre annoncé : grandes entreprises et cabinets de recrutement. La CNIL en profite pour préfigurer son futur rôle d'autorité de surveillance de marché IA dans le champ travail, au titre du Règlement IA (CNIL, 2026).
La grille de lecture utilisée par les agents n'est pas nouvelle : c'est le guide du recrutement publié en janvier 2023, en 19 fiches (CNIL, 2023). Autrement dit, les standards existent depuis trois ans — l'effet de surprise n'est plus une excuse côté employeur.
Les 3 axes de contrôle, traduits en signaux observables côté candidat
La CNIL annonce trois axes. Voici ce qu'ils donnent dans ton expérience quotidienne de candidat.
Axe 1 — l'information préalable. Le formulaire de candidature doit te dire qui collecte tes données, pourquoi, combien de temps, et comment exercer tes droits. Signal côté candidat : aucune mention RGPD dans le formulaire, aucun lien vers une politique de confidentialité, aucune indication de la finalité du traitement.
Axe 2 — la durée de conservation. La CNIL rappelle dans sa fiche dédiée : "Le dossier pourra être conservé 2 ans après votre dernier contact avec le recruteur, ou plus longtemps si vous avez donné votre accord formel." (CNIL Direct). Signal côté candidat : une relance ou une réactivation de dossier trois ans après ton dernier échange, sans accord écrit de ta part entre-temps.
Axe 3 — les décisions automatisées (article 22 RGPD). Tu as le droit de ne pas faire l'objet d'une décision entièrement automatisée (CNIL). Signal côté candidat : un refus dont la motivation pointe explicitement un algorithme, sans trace d'intervention humaine.
| Axe de contrôle CNIL | Ce que tu vois côté candidat | Référence mobilisable |
|---|---|---|
| Information préalable | Formulaire sans mention RGPD, finalité ou durée | Guide CNIL recrutement, 19 fiches |
| Conservation des données | Relance commerciale 3 ans plus tard, sans accord | CNIL Direct, plafond 2 ans |
| Décision automatisée | Refus motivé "par l'algorithme" sans humain | Article 22 RGPD |
Ces trois signaux, pris isolément, sont déjà actionnables. Combinés sur un même dossier, ils alimentent une saisine béton.
Le nouveau motif d'audit : honorabilité et recherches sur internet
La CNIL Direct explicite ce que tu peux opposer au recruteur qui fouille tes réseaux (CNIL). Trois pratiques sont en zone rouge :
- aspirer des données issues de profils personnels (Instagram perso, vie privée, opinions politiques) ;
- exiger un extrait de casier judiciaire hors cas légalement prévus ;
- croiser plusieurs sources publiques sans t'en informer au préalable.
Comment tu repères ça en pratique ? Une question en entretien sur un post Instagram qui n'a rien à voir avec le poste. Une mention d'un profil perso dans le compte rendu du recruteur. Une demande de pièces non liées à la mission.
- ✓Profils professionnels publics (LinkedIn pro)
- ✓Publications liées à ton domaine d'expertise
- ✓Mentions presse ou conférences en rapport avec le poste
- ✓Données pertinentes pour évaluer la mission
- ✗Aspiration de profils personnels (Instagram, vie privée)
- ✗Opinions politiques, religieuses ou syndicales
- ✗Casier judiciaire hors cas légalement prévus
- ✗Croisement de sources sans t'en informer
- Aucune mention RGPD dans le formulaire de candidature ou l'offre.
- Relance ou réactivation de dossier au-delà de 2 ans sans accord écrit.
- Refus motivé "par l'algorithme" sans mention d'intervention humaine.
- Question en entretien portant sur des contenus de tes réseaux personnels.
- Demande de pièces (casier, état civil détaillé, photo) non justifiées par le poste.
Le mode opératoire d'une saisine CNIL, étape par étape
La CNIL ne s'autosaisit pas sur les cas individuels. C'est ta plainte qui ouvre le dossier. Voici le mode opératoire concret.
Étape 1 — Exercer ton droit auprès de l'organisme
Envoie par mail ou courrier une demande RGPD écrite : droit d'accès, d'effacement, d'opposition, ou demande d'intervention humaine au titre de l'article 22. Garde l'accusé de réception.
La CNIL est très claire sur le délai : "L'organisme doit vous répondre dans les meilleurs délais, et sous un mois maximum." (CNIL). Au-delà, tu es légitime à saisir.
Étape 2 — Constituer le dossier
Capture les pièces utiles :
- screenshot du formulaire de candidature sans mention RGPD ;
- mail de relance reçu au-delà de 2 ans après ton dernier échange ;
- copie du refus motivé "par l'algorithme" ;
- ta demande RGPD initiale et l'accusé de réception.
Plus le dossier est factuel, plus la procédure simplifiée devient probable côté CNIL.
Étape 3 — Déposer la plainte
Le formulaire est en ligne sur cnil.fr/plaintes. Sélectionne la catégorie "travail / recrutement". Joins tes pièces. Précise si l'organisme n'a pas répondu sous un mois — c'est un facteur aggravant lors de l'instruction.
Étape 4 — Ce qui peut arriver côté employeur
Trois scénarios : contrôle sur pièces (échange écrit), contrôle sur place (agents CNIL chez l'entreprise), ou procédure simplifiée. Cette dernière s'est généralisée pour les dossiers à preuve nette.
Exemple concret : le 4 septembre 2025, la CNIL a sanctionné un éditeur français de logiciel d'aide au recrutement à hauteur de 7 000 € en procédure simplifiée — défaut d'encadrement de la sous-traitance, registre incomplet, défaut de sécurité et défaut de documentation d'une violation (CNIL, table des sanctions).
Ce que la pression CNIL change pour ta négo et ton process
Tu n'es pas isolé. La CNIL a reçu 20 150 plaintes en 2025, +10 % vs 2024 (Rapport annuel CNIL, 2025), avec une part explicitement liée au non-respect de la protection des données dans le cadre du travail.
Le canal est saturé, mais opérationnel. Et il a deux effets de levier directs sur ton process candidat.
Effet négo. Tu peux demander par écrit au recruteur : quelle est la base légale du tri, quelle est la durée de conservation prévue, est-ce qu'une décision automatisée intervient à un moment du process. Ces trois questions font basculer la conversation. Soit tu obtiens des réponses claires, soit le recruteur botte en touche — et tu sais à qui tu as affaire.
Effet rectification. Un recruteur informé qu'une plainte est en cours rectifie souvent dans les semaines qui suivent pour éviter un contrôle sur place. Le coût d'un audit dépasse de loin celui d'un mail de mise en conformité, et personne en interne n'a envie d'expliquer au COMEX que la CNIL débarque.
Pour ancrer dans le ressenti candidat, ce post de doctor_radium sur Hacker News : il raconte avoir croisé Workday une dizaine de fois en cherchant un poste après 40 ans, et s'interroge ouvertement sur la présence systématique ou non des tests de personnalité et cognitifs basés sur l'IA dans chaque installation ATS (HN, 2025). C'est exactement le type d'opacité que les contrôles 2026 visent à percer.
Questions fréquentes
Puis-je saisir la CNIL si je n'ai pas eu de réponse à mon refus ?
Oui, à partir du moment où l'organisme a dépassé un mois après ta demande RGPD écrite (accès, effacement, opposition). Joins ta demande initiale et l'accusé de réception au dossier.
Combien de temps un cabinet peut-il garder mon CV ?
2 ans maximum après le dernier contact, sauf accord formel de ta part pour une durée plus longue. Au-delà, c'est une non-conformité signalable.
Un refus "par l'algorithme" est-il légal ?
Pas s'il est entièrement automatisé sans intervention humaine effective. L'article 22 RGPD t'ouvre un droit d'obtenir une réintervention humaine et de contester la décision.
La CNIL contrôle qui en priorité en 2026 ?
Les grandes entreprises et les cabinets de recrutement, selon la décision du 3 avril 2026. Les TPE/PME ne sont pas hors champ, mais moins ciblées par les contrôles thématiques.
Combien risque une boîte sanctionnée ?
Le 4 septembre 2025, un éditeur d'ATS a écopé de 7 000 € en procédure simplifiée. Les sanctions « pleines » peuvent atteindre plusieurs millions au titre du RGPD pour les cas plus lourds.
Le recruteur a-t-il le droit de googler mon nom ?
Oui pour des données pro publiques liées au poste, non pour aspirer des données issues de profils personnels sans t'en informer. La fiche CNIL Direct dédiée le rappelle.
Combien de temps prend une plainte CNIL ?
Variable : quelques semaines pour un rappel à la loi, plusieurs mois pour un contrôle sur place. La procédure simplifiée s'est généralisée pour les cas évidents.
Dois-je payer un avocat ?
Non. La saisine CNIL est gratuite et le formulaire est conçu pour être rempli sans accompagnement juridique.
Ma plainte peut-elle me griller chez le recruteur ?
Elle reste confidentielle vis-à-vis de l'employeur si tu coches l'option correspondante. Elle devient visible uniquement si la CNIL ouvre une procédure formelle.
Ce qu'on retient
- Le recrutement est thématique prioritaire CNIL 2026 — ~20 % des 323 contrôles annuels.
- Trois axes traqués : information préalable, conservation 2 ans max, décisions automatisées.
- Le contrôle d'honorabilité et les recherches internet figurent dans le périmètre 2026.
- Le délai-clé : un mois de réponse de l'organisme avant de saisir la CNIL.
- La plainte est gratuite, en ligne, et a déjà produit des sanctions concrètes (7 000 € en septembre 2025).
- La pression CNIL est aussi un levier de négo : demander par écrit suffit souvent à corriger le process.
