Les recruteurs français exposent les données de leurs candidats, sans le savoir
CLOUD Act, RGPD, AI Act : chaque CV confié à une IA américaine peut être intercepté par les autorités américaines. Un risque juridique réel que la quasi-totalité des recruteurs français ignore.
Chaque CV traité par une IA américaine, qu'elle soit intégrée dans un ATS américain ou branchée sur un ATS européen, peut être légalement intercepté par les autorités américaines. GPT, Gemini, Claude, Grok : dès qu'une de ces briques intervient dans votre processus de recrutement, le CLOUD Act s'applique. Une loi fédérale américaine de 2018, peu connue, qui s'affranchit des frontières et des certifications. Un risque juridique réel, sous-estimé, qui concerne aujourd'hui la quasi-totalité des outils de recrutement utilisés en France.
Un CV, c'est plus qu'un document
Nom, prénom, adresse, téléphone, email, parcours, formations, parfois photo ou situation familiale. Un CV, c'est un concentré d'identité. Et contrairement à ce que beaucoup pensent, c'est une donnée à caractère personnel au sens du RGPD, soumise aux mêmes obligations que n'importe quel dossier médical ou fiche bancaire.
La fuite de France Travail en 2024 l'a rappelé brutalement : 43 millions de personnes exposées, dont noms, prénoms, numéros de sécurité sociale et coordonnées. En janvier 2026, la CNIL a sanctionné l'organisme de 5 millions d'euros pour défaut de sécurité des données. C'est la partie visible de l'iceberg.
Le CLOUD Act : le problème que personne ne veut nommer
Le CLOUD Act, adopté en mars 2018, permet aux autorités judiciaires américaines d'accéder aux données électroniques stockées à l'étranger par les entreprises américaines, dans le cadre de procédures pénales.
Concrètement : si votre ATS ou votre IA de recrutement est éditée par une société de droit américain, les autorités américaines peuvent accéder aux données situées physiquement en dehors du sol américain (y compris en France), dès lors qu'une entreprise américaine est techniquement impliquée dans le stockage.
Mais attention : le risque ne se limite pas aux ATS américains. Un ATS européen qui envoie des données vers une IA américaine comme GPT (OpenAI), Gemini (Google), Claude (Anthropic) ou Grok (xAI) tombe exactement dans le même cas de figure. Dès lors qu'une brique du processus est opérée par une société de droit américain, le CLOUD Act s'applique. Peu importe que la porte d'entrée soit européenne.
Les serveurs peuvent être à Paris ou Francfort. Ça ne change rien. Ces demandes sont indépendantes du lieu géographique de stockage des données.
Et le plus préoccupant : les autorités américaines peuvent accéder à ces données sans informer les personnes concernées, sans passer par les procédures judiciaires locales, ni par une demande d'entraide judiciaire internationale. Vos candidats ne le sauront jamais. Vous non plus.
Un conflit juridique réel, pas une théorie
Le Comité européen de protection des données a été très clair : les fournisseurs de services soumis à la législation de l'UE ne peuvent légalement fonder les transferts de données vers les États-Unis uniquement sur les demandes formulées dans le cadre du CLOUD Act.
Autrement dit : si votre prestataire américain obéit à un mandat américain sur vos données candidats, il viole potentiellement le RGPD. Et vous, en tant que responsable du traitement, vous pouvez en répondre.
La CNIL ne plaisante plus
En 2025, 83 sanctions ont été prononcées par la CNIL, pour un montant total de 486 839 500 euros (source : bilan CNIL publié le 9 février 2026). Certes, deux sanctions géantes tirent ce chiffre vers le haut : Google (325 M€) et Shein (150 M€). Mais la procédure simplifiée permet désormais de sanctionner jusqu'à 20 000 euros par manquement, rapidement, y compris les TPE et PME.
Les manquements les plus fréquents en procédure simplifiée ? Sécurité insuffisante des données et non-respect des droits des personnes. Exactement ce que l'usage d'un outil américain non audité peut générer.
Ce que ça signifie concrètement pour un recruteur
En utilisant un ATS ou une IA de recrutement sous droit américain sans analyse d'impact (DPIA), sans clause contractuelle spécifique, sans information des candidats sur les risques de transfert : vous êtes potentiellement en infraction. Pas hypothétiquement. Légalement.
Le RGPD exige une durée de conservation limitée à 2 ans, une finalité déclarée, un droit d'accès sous 1 mois. L'AI Act européen, en vigueur depuis août 2024, classe les outils de tri et de scoring de CV comme systèmes à haut risque. Les obligations vont continuer de s'alourdir.
Ce que ça change pour le choix de vos outils
La question n'est pas « est-ce que mon prestataire est certifié ISO 27001 ? ». La question est : « est-il soumis au droit américain ? » Si oui, aucune certification ne neutralise le CLOUD Act.
Des solutions souveraines existent. Chez Intuition Software, JobAffinity est un ATS 100 % français, hébergé sur des serveurs en France, avec une IA française, hors du périmètre du CLOUD Act. Ce n'est pas un argument marketing : c'est une réponse juridique à un risque réel.
Vos candidats vous ont confié leurs données. La question est simple : à qui les avez-vous transmises ?
Sources
- CNIL : Bilan des sanctions 2025, publié le 9 février 2026
- CNIL : Sanction France Travail (5 M€), 22 janvier 2026
- CLOUD Act, H.R. 4943, Clarifying Lawful Overseas Use of Data Act, mars 2018
- EDPB-EDPS : Position commune sur le CLOUD Act, Comité européen de la protection des données
- AI Act, Règlement (UE) 2024/1689, entré en vigueur le 1er août 2024
