Retour au blog
RGPDRGPD24 mai 20269 min de lecture

CNIL 2026 : le recrutement devient priorité de contrôle, 5 obligations TPE/PME

par Tony Bonnay · fondateur Velvyno

Le 3 avril 2026, la CNIL a officiellement classé le recrutement parmi ses thématiques prioritaires de contrôle pour l'année. Pas un sujet annexe : une cible. Et le rapport annuel 2025 publié le 18 mai 2026 a confirmé une bascule majeure : sur 83 sanctions prononcées en 2025, 67 sont passées par la procédure simplifiée, plafonnée à 20 000 € et conçue pour viser les structures plus petites.

Trois ans après son guide recrutement en 19 fiches, la CNIL est passée de la pédagogie à la sanction. La plupart des articles publiés ces dernières semaines s'adressent aux DRH de grandes entreprises. Or les contrôles 2026 ne s'arrêtent pas aux cabinets de 200 personnes : un dirigeant de TPE qui reçoit 80 CV par poste, les garde sur Google Drive depuis cinq ans et n'a jamais informé ses candidats de quoi que ce soit, est exactement dans la cible.

Cet article explique ce que la CNIL contrôle vraiment, les 5 obligations à vérifier avant le prochain CV reçu, ce qui se passe quand on ignore le sujet, et les sanctions chiffrées 2025 - sans le jargon juridique des cabinets d'avocats.

Sommaire

Vous êtes vraiment concerné (oui, même votre brasserie)

« On reçoit 80 CV par poste, on n'a pas le temps de tout lire en détail. On garde tout, ça peut toujours servir. » C'est la phrase de Marc Lavigne, 42 ans, dirigeant de "La Table de Marc", brasserie traditionnelle à Lyon Croix-Rousse : 11 salariés permanents, 4 saisonniers l'été, 820 000 € de CA annuel, 3 à 6 recrutements par an dans une activité à turnover normal. Marc poste ses offres sur Indeed gratuit, reçoit les candidatures sur son adresse personnelle, stocke tout dans un dossier Google Drive partagé avec sa cheffe de salle, et n'a jamais purgé un seul CV en cinq ans. Il pense être hors radar parce qu'il n'est pas un cabinet de recrutement. Il se trompe.

Le RGPD ne distingue pas entre "candidat" et "client". Dès qu'un nom, une adresse e-mail, un numéro de téléphone et un CV arrivent dans votre boîte, vous devenez responsable de traitement au sens de l'article 4 du RGPD. Les mêmes obligations que celles que vous avez (ou pas) mises en place pour vos clients s'appliquent. Et le Code du travail renforce le cadre : l'article L.1221-6 impose que toute information demandée à un candidat ait « un lien direct et nécessaire avec l'emploi proposé », et l'article L.1221-9 interdit toute collecte par un dispositif non porté à sa connaissance préalable.

Les contrôles 2026 visent prioritairement les grandes entreprises et cabinets de recrutement, mais la CNIL n'a jamais écrit qu'elle excluait les TPE. Au contraire : depuis la création de la procédure simplifiée par la loi 2022-52 du 24 janvier 2022, elle dispose d'un outil léger conçu pour sanctionner rapidement les petites structures, sans publicité de la décision. Pour les indépendants et solos qui pensent passer entre les mailles, on a déjà fait le tour de la question dans notre guide RGPD pour auto-entrepreneurs.

Ce que la CNIL contrôle vraiment depuis avril 2026

La communication officielle du 3 avril 2026 est claire sur les trois axes des contrôles recrutement : systèmes de prise de décision automatisée (scoring CV, tri algorithmique), information des candidats (politique de confidentialité dédiée, mention dans les annonces) et durées de conservation (purge effective des CV non retenus). Ces axes correspondent point par point aux 19 fiches du guide recrutement CNIL publié en 2023.

Le rapport annuel 2025 publié le 18 mai 2026 donne le contexte chiffré. La CNIL a reçu 20 150 plaintes en 2025, soit une hausse de 10 % en un an (source : dataset officiel des plaintes reçues par la CNIL, data.gouv.fr, mise à jour mai 2026). Côté répression, 83 sanctions ont été prononcées pour un montant cumulé de 487 M€ - mais ce chiffre est tiré vers le haut par deux sanctions exceptionnelles (Google et Shein). En excluant ces deux cas, on retombe à 11,8 M€ pour 81 sanctions, soit une moyenne autour de 146 000 € pour les procédures ordinaires.

La bascule structurelle est ailleurs. Sur ces 83 sanctions, 67 sont passées par la procédure simplifiée créée par l'article 22-1 de la loi Informatique et Libertés et le décret 2022-517 du 8 avril 2022. Plafond : 20 000 € par manquement, plus 100 € par jour d'astreinte. Procédure non publique, instruction allégée, ciblage explicite des TPE et professions libérales. Les chiffres data.gouv confirment la montée en charge : 35 000 € de sanctions simplifiées en 2022, 229 500 € en 2023, 715 500 € en 2024 (source : dataset des sanctions prononcées par la CNIL, data.gouv.fr). Une multiplication par vingt en deux ans, sur des dossiers qui ne font jamais la une.

Pour Marc qui pensait être protégé par sa taille : la procédure simplifiée est précisément l'outil que la CNIL utilisera quand un candidat refusé déposera une plainte contre lui.

Les 5 obligations concrètes à vérifier

Cinq obligations structurent la conformité recrutement d'une TPE ou d'une PME. Aucune n'est optionnelle, et aucune ne demande un département juridique pour être mise en place.

1. Définir une base légale de traitement. L'article 6 du RGPD impose qu'à chaque traitement corresponde une base légale précise. Pour le recrutement, c'est généralement « mesures précontractuelles prises à la demande du candidat » (art. 6.1.b) pour le poste visé, et « intérêt légitime » (art. 6.1.f) pour la constitution d'un vivier au-delà du poste initial - sous réserve d'avoir informé le candidat. Pas de « consentement implicite parce qu'il a envoyé son CV » : c'est une mauvaise base, juridiquement fragile.

2. Informer les candidats. L'article 13 du RGPD impose une information complète au moment de la collecte : identité du responsable, finalités, durée de conservation, droits du candidat, base légale, destinataires éventuels. En pratique, cela se matérialise par une politique de confidentialité candidat (page dédiée du site ou document remis à l'entretien) et une mention dans chaque annonce d'emploi. Cette obligation se cumule avec l'article L.1221-8 du Code du travail sur la transparence des méthodes de sélection.

3. Limiter la collecte à l'utile. L'article L.1221-6 du Code du travail interdit toute donnée sans lien direct avec l'emploi. La CNIL a déjà mis en demeure publiquement une société qui collectait nationalité, lieu de naissance, situation familiale et salaires antérieurs : tout cela est interdit. Pour Marc : pas de question sur les enfants en entretien, pas de demande de copie de pièce d'identité avant la signature du contrat, pas d'historique salarial complet sur le formulaire de candidature.

4. Respecter la durée de conservation. La doctrine constante de la CNIL fixe la conservation des CV de candidats non retenus à 2 ans maximum après le dernier contact actif, sauf consentement explicite et révocable du candidat pour une durée plus longue. Marc qui garde tout depuis cinq ans est en infraction directe sur l'article 5.1.e du RGPD (principe de limitation de la conservation). Purger les CV de plus de deux ans est une action concrète, rapide, qui réduit immédiatement le risque.

5. Sécuriser les données et préparer les droits candidats. L'article 32 du RGPD impose une sécurité proportionnée : mot de passe fort sur la boîte e-mail dédiée recrutement, accès restreint au Drive partagé, double authentification activée. Et les articles 15 (accès), 17 (effacement) et 21 (opposition) donnent à tout candidat le droit de demander son dossier, sa suppression ou son opposition au traitement - avec un délai de réponse de un mois. Si un candidat refusé écrit demain à Marc pour exiger l'effacement de ses données, Marc a 30 jours pour le faire et lui répondre par écrit.

Le piège ATS et scoring automatique des CV

Beaucoup de TPE pensent qu'utiliser Indeed, LinkedIn Recruiter ou un outil "pas trop cher" évite les obligations. C'est l'inverse. Dès qu'un outil trie, filtre ou note automatiquement des candidatures, deux régimes se cumulent.

D'abord, l'article 22 du RGPD interdit toute décision « fondée exclusivement sur un traitement automatisé » produisant des effets juridiques ou significatifs - et un refus de candidature relève typiquement de ce périmètre. La parade : maintenir une revue humaine effective avant tout rejet définitif, conserver la trace de cette revue, et informer le candidat de l'existence du tri algorithmique dès l'annonce.

Ensuite, depuis février 2025, l'article 4 du Règlement UE 2024/1689 (AI Act) impose à tout employeur qui utilise un système d'IA - même indirectement via un ATS - de garantir un « niveau suffisant de littératie IA » parmi son personnel. Pour Marc qui ne fait pas de scoring automatique : sans effet. Pour les cabinets de recrutement et PME qui scorent les CV pour leurs clients, le régime est plus lourd encore. Le détail est dans notre guide AI Act pour TPE et PME, qui détaille notamment l'annexe III du règlement classant le recrutement parmi les systèmes IA à haut risque.

La règle simple : si un outil prend une décision à votre place sans qu'un humain ne valide, vous êtes hors-jeu. Pas besoin d'éliminer l'outil, mais d'ajouter une étape de validation humaine documentée.

Marc ne fait rien : juin 2026 -> janvier 2027

Reprenons Marc et déroulons ce qui se passe s'il ignore le sujet.

Juin 2026. Marc reçoit une candidature pour un poste de commis de cuisine. Le candidat, motivé, passe un entretien rapide. Marc le recale. Trois semaines plus tard, le candidat redemande son CV par e-mail pour candidater ailleurs, demande l'effacement de son dossier, et pose des questions précises sur la base légale du traitement de sa candidature. Marc ne répond pas - il a oublié le mail entre deux services. Le candidat dépose plainte sur le téléservice CNIL, gratuit, en 15 minutes.

Septembre 2026. Marc reçoit un courrier recommandé de la CNIL : demande d'observations sous un mois. Il doit produire son registre des traitements, sa politique de confidentialité candidat, sa procédure de réponse aux droits, la base légale du traitement, la preuve de la durée de conservation appliquée. Il n'a rien de tout cela. Il appelle un consultant en panique. Devis : 2 800 € HT pour reconstituer un dossier de défense en quinze jours - une mise en conformité préparée à froid lui aurait coûté trois fois moins.

Janvier 2027. Sanction simplifiée prononcée : 8 000 € d'amende pour défaut d'information des candidats (art. 13), non-respect du droit d'effacement (art. 17), absence de purge des CV anciens (art. 5.1.e). Le candidat, satisfait, partage l'information sur LinkedIn. Un journaliste de la presse locale, qui suit les pages CNIL, écrit un article sur "les manquements RGPD d'une brasserie réputée". Note Google de "La Table de Marc" : 4,6 avant l'article, 4,3 six semaines après. Elle ne remontera pas à 4,6 cette année.

Le vrai coût pour Marc n'est pas les 8 000 € d'amende. C'est les six semaines passées en mode pompier au lieu de tenir sa brasserie pendant la saison touristique, les 2 800 € de consultant en urgence, et une note Google qui ne se rétablit pas vraiment. Une mise en conformité préventive faite en 2026 lui aurait coûté un jour de travail répartis sur quatre mois.

Sanctions chiffrées : ce que risque réellement une TPE/PME

Le régime de sanctions de l'article 83 du RGPD prévoit des plafonds théoriques de 10 ou 20 millions d'euros, ou 2 à 4 % du chiffre d'affaires mondial. Ces chiffres ne reflètent pas la réalité des sanctions prononcées contre des TPE et PME françaises.

Le plafond réel pour une structure comme celle de Marc est 20 000 € par manquement dans le cadre de la procédure simplifiée de l'article 22-1 LIL, plus 100 € par jour d'astreinte en cas d'injonction non respectée. En 2024, la moyenne des 67 sanctions simplifiées prononcées s'établit autour de 10 700 € (715 500 € / 67 sanctions, calcul à partir des données data.gouv). Pour un manquement isolé sur un dossier moyennement chargé, on est entre 3 000 € et 10 000 €. Pour Marc, avec trois manquements cumulés (information, effacement, conservation), une fourchette 5 000 à 10 000 € est réaliste.

La sanction simplifiée n'est pas rendue publique par la CNIL en principe. Mais elle n'empêche pas le candidat de partager l'information, ni la presse spécialisée de la relayer. La vraie dépense, dans les dossiers réels analysés par les avocats spécialisés, n'est pas l'amende mais le coût de la mise en conformité d'urgence (consultant, restructuration du process, formation interne) - typiquement 2 000 à 5 000 € s'ajoutant à la sanction, plus une perte commerciale collatérale variable. Le bilan officiel CNIL des sanctions 2025 précise que cookies et vidéosurveillance des salariés sont les manquements les plus sanctionnés (21 et 16 sanctions respectivement) - mais le recrutement, classé priorité 2026, est en passe de les rejoindre.

Au-delà du recrutement : RGPD général, AI Act, facture-é

Le recrutement n'est qu'une porte d'entrée. Une plainte candidat qui aboutit à un contrôle CNIL ouvre l'instruction sur l'ensemble de la conformité de l'entreprise. Si Marc n'a pas de politique candidat, il y a peu de chances qu'il ait une politique client, un registre des traitements à jour, une procédure de gestion des cookies, ou un contrat de sous-traitance avec son hébergeur web. Une plainte ciblée devient un contrôle large.

Trois conformités convergent pour les TPE et PME françaises sur la période 2026-2027, et il est nettement plus efficace de les traiter ensemble. Le RGPD général est couvert dans notre guide RGPD complet pour TPE et PME, avec le détail des six obligations applicables à toute structure qui traite des données personnelles. L'AI Act s'applique dès qu'on utilise un outil d'IA, même indirectement : voir notre FAQ AI Act pour PME qui traite spécifiquement du scoring CV et des chatbots. La facture électronique, dont l'obligation de réception démarre le 1ᵉʳ septembre 2026 pour toutes les entreprises, est détaillée dans notre guide facture-é TPE/PME.

Pour les TPE et PME qui veulent identifier en deux minutes où elles en sont sur les trois fronts - RGPD, AI Act, facture électronique - le diagnostic gratuit Velvyno répond en six questions, sans inscription, et donne un état des lieux concret par domaine. C'est ce que Marc aurait dû faire en mai 2026 plutôt qu'attendre le courrier de la CNIL.

Checklist : 7 actions à faire avant septembre 2026

1. Avant fin mai 2026 - Auditer son outil de réception des candidatures. Indeed, LinkedIn Recruiter, e-mail dédié, formulaire site : faire la liste exhaustive. Pour chaque outil, identifier où sont stockées les données (Drive, Dropbox, boîte mail), qui y accède, et depuis combien de temps les premiers CV sont là.

2. Juin 2026 - Rédiger une politique de confidentialité candidat. Une page dédiée du site ou un document remis à l'entretien, avec les six éléments de l'article 13 du RGPD : identité, finalités, base légale, durée, droits, destinataires. Ajouter une mention dans chaque annonce d'emploi renvoyant à cette politique.

3. Juin 2026 - Purger les CV de plus de deux ans. Action immédiate, gratuite, qui réduit drastiquement le risque. Conserver une trace (e-mail interne daté) de la purge effectuée. Pour les CV conservés au-delà via vivier, recueillir un consentement écrit du candidat.

4. Juillet 2026 - Former l'équipe en charge des recrutements. Une heure suffit pour les TPE : ce qu'on peut demander, ce qui est interdit (situation familiale, nationalité, salaires antérieurs au sens de l'article L.1221-6), comment répondre à une demande d'effacement. Traçabilité écrite (feuille d'émargement, mémo interne).

5. Juillet 2026 - Sécuriser le stockage des CV. Boîte e-mail dédiée recrutement avec mot de passe fort et MFA, dossier Drive restreint à 2-3 personnes, suppression des accès partagés inutiles, sauvegarde chiffrée si plus de 100 candidatures stockées.

6. Août 2026 - Préparer une procédure de réponse aux droits. Un modèle d'e-mail pour répondre sous un mois à une demande d'accès, d'effacement ou d'opposition. Le simple fait d'avoir le modèle prêt et le process documenté change radicalement la défense en cas de contrôle CNIL.

7. Septembre 2026 - Mettre à jour le registre des traitements. L'article 30 du RGPD impose un registre listant tous les traitements de données, recrutement inclus. Une feuille Excel ou un PDF de trois pages suffit pour une TPE - mais doit exister et être à jour.

Coût estimé pour Marc s'il suit cette checklist : 1 jour de travail réparti sur 4 mois, 200 à 500 € de coûts externes éventuels (consultant pour une demi-journée si besoin). À comparer aux 8 000 € + 2 800 € + perte de réputation du scénario non-conformité.

Questions fréquentes

Combien de temps puis-je conserver un CV de candidat refusé ?

Deux ans maximum après le dernier contact actif avec le candidat, sauf à recueillir son consentement explicite et révocable pour une durée plus longue (vivier de talents par exemple). C'est la position constante de la CNIL, articulée à l'article 5.1.e du RGPD sur la limitation de la durée de conservation. Au-delà, vous êtes en infraction directe - même sans plainte d'un candidat.

Le scoring automatique de CV (Indeed, LinkedIn, outils RH) relève-t-il de l'AI Act ?

Oui, dès lors qu'un système d'IA classe, note ou filtre des candidatures. L'annexe III du Règlement UE 2024/1689 classe les systèmes IA utilisés en recrutement parmi les systèmes à haut risque. Les obligations renforcées (supervision humaine documentée, conservation des logs, droit à l'explication individuelle) s'appliqueront pleinement au 2 décembre 2027 après le report du Digital Omnibus. Dès maintenant, l'article 4 du Règlement impose la littératie IA des utilisateurs, et l'article 22 du RGPD interdit toute décision exclusivement automatisée sans revue humaine.

Puis-je filmer un entretien d'embauche pour le revoir avec mon associé ?

Oui, mais uniquement avec information préalable et accord explicite du candidat, conformément à l'article L.1221-9 du Code du travail et à l'article 13 du RGPD. Le candidat doit savoir avant l'entretien qu'il sera filmé, à quelles fins, combien de temps l'enregistrement sera conservé (durée courte recommandée, quelques semaines maximum après décision), et qui y aura accès. Pas d'enregistrement sans accord, pas de partage au-delà du strict nécessaire.

Suis-je concerné si je ne reçois que des candidatures spontanées sans publier d'annonce ?

Oui, intégralement. Le RGPD s'applique au traitement de données personnelles - peu importe que la collecte ait été sollicitée ou non. Une candidature spontanée arrivant par e-mail déclenche les mêmes obligations qu'une candidature à une annonce : information du candidat (qui peut être délivrée par e-mail de réception), durée de conservation limitée, droits à l'effacement et à l'opposition. La seule différence : la base légale peut être « intérêt légitime » plutôt que « mesures précontractuelles ».

Que faire si un candidat refusé demande l'effacement de son dossier ?

Vous avez un mois pour répondre, conformément à l'article 12 du RGPD. Si la demande est légitime - ce qui est le cas par défaut pour un candidat refusé - vous devez effacer les données et répondre par écrit que c'est fait. Vous pouvez conserver une trace minimale uniquement pour vous prémunir contre une accusation de discrimination future (e-mail dépersonnalisé, date, motif), mais pas l'intégralité du CV. Le refus de répondre dans le délai ou l'absence d'effacement effectif sont précisément deux manquements que la CNIL sanctionne fréquemment en procédure simplifiée.

Conclusion

La CNIL n'a pas seulement annoncé un thème prioritaire le 3 avril 2026 : elle a outillé son contrôle. Procédure simplifiée plafonnée à 20 000 €, 67 sanctions sur 83 prononcées en 2025 par cette voie, ciblage explicite des structures plus petites que les grands groupes. Les TPE et PME qui pensent passer entre les mailles parce qu'elles ne sont pas des cabinets de recrutement parisiens ont mal lu le signal.

Les 5 obligations détaillées plus haut ne demandent ni juriste interne ni budget conséquent. Un jour de travail réparti sur quatre mois, à comparer aux 8 000 € + 2 800 € + dommage de réputation d'un scénario réactif. Et au-delà du recrutement, ces obligations s'articulent avec le RGPD général, l'AI Act et la facture électronique 2026 - trois échéances qui convergent et qu'il est nettement plus efficace de traiter ensemble.

À lire aussi

Tous les articles