CNIL 2026 : auditez vos outils RH avant le contrôle

Une DRH et son algorithme qui trie les CV depuis deux ans

Imaginez la scène. C'est 2024, votre prestataire ATS vous propose une nouvelle fonctionnalité : un score automatique qui classe les candidatures selon leur adéquation au poste. Vous activez l'option, les recruteurs gagnent du temps, tout le monde est content. Deux ans passent.

En 2026, la CNIL débarque pour un contrôle. Première question : "Vos candidats étaient-ils informés qu'un algorithme scorait leur dossier ?" Silence gêné. Deuxième question : "Avez-vous réalisé une analyse d'impact sur ce traitement ?" Même silence. Troisième question : "Combien de temps conservez-vous les données des candidats non retenus ?" On sort l'ordinateur pour chercher.

Ce scénario n'est pas un cas-limite. C'est un portrait-robot de ce que les contrôleurs de la CNIL vont trouver dans les entreprises cibles en 2026.

Ce qui a changé le 3 avril 2026

La CNIL a annoncé officiellement le 3 avril 2026 ses thématiques prioritaires de contrôle pour l'année. Le recrutement figure en tête de liste, aux côtés du répertoire électoral unique et des fédérations sportives.

Ce n'est pas une surprise totale. En janvier 2023, la CNIL avait publié un guide complet sur la collecte et l'utilisation des données personnelles dans le recrutement. Elle avait même préparé des questionnaires d'auto-évaluation pour aider les entreprises à se mettre en conformité. Trois ans d'accompagnement pédagogique.

Ce changement de posture est explicite : la CNIL passe de la pédagogie au contrôle. Comme un prof qui distribue le cours en septembre et annonce l'interro en mars. Sauf que l'interro en question peut déboucher sur des sanctions RGPD allant jusqu'à 4% du chiffre d'affaires mondial.

Les cibles prioritaires sont les grandes entreprises et les cabinets de recrutement. Ceux qui traitent les volumes les plus importants de données candidats. Ceux aussi qui ont le plus de chances d'avoir déployé des outils IA de tri.

Les 3 points que la CNIL va contrôler

Le référentiel est connu : c'est le guide 2023. Trois axes ressortent comme points de contrôle principaux.

1. Les systèmes de décision automatisée

La question centrale : utilisez-vous un algorithme pour trier, scorer ou classer des candidatures ? Si oui, plusieurs obligations s'appliquent. Le candidat doit en être informé. Il doit pouvoir exercer son droit d'opposition. Et dans la plupart des cas, une analyse d'impact (DPIA) est obligatoire, car ce type de traitement est quasi-systématiquement classifié comme "à haut risque" par la CNIL.

La DPIA, c'est un peu l'expertise avant travaux dans l'immobilier : personne n'a envie de la faire, mais si on ne l'a pas, on ne peut pas démontrer qu'on a évalué les risques. Absence de DPIA = absence de preuve de sérieux.

2. L'information des candidats

Votre politique de confidentialité mentionne-t-elle explicitement l'existence d'un traitement automatisé lors du tri des candidatures ? Est-ce que chaque candidat, au moment de déposer son CV, est clairement informé de la façon dont ses données sont utilisées, pour combien de temps, et de ses droits ?

Ce n'est pas une case à cocher une fois pour toutes. Si vous changez d'outil ou activez une nouvelle fonctionnalité IA, l'information candidats doit être mise à jour.

3. Les durées de conservation

Combien de CV datant de 2022 ou 2023 avez-vous encore dans votre base ? Légalement, les données d'un candidat non retenu ne peuvent être conservées que 2 ans après son dernier contact avec l'entreprise. Passé ce délai, les données doivent être supprimées ou anonymisées. Sauf consentement explicite du candidat pour rester dans votre vivier.

Dans la pratique, beaucoup d'ATS accumulent des années de candidatures sans purge automatique configurée. C'est là que les dossiers deviennent immédiatement problématiques.

Le profil type du dossier à risque

On a essayé de dessiner le portrait-robot de l'entreprise qui va avoir des problèmes. Cela ressemble à ça : une structure de 500 salariés ou plus, avec un ATS déployé depuis 3 ou 4 ans, sur lequel des fonctionnalités IA ont été ajoutées progressivement. La politique de confidentialité n'a pas été mise à jour depuis 2022. Aucune DPIA n'a été réalisée sur le scoring automatique. Et la base de données contient des CV de candidats non retenus depuis 2020.

Ce profil n'est pas l'exception. C'est la norme dans une partie significative des grandes entreprises françaises. La CNIL le sait, d'où la priorité accordée à ce secteur.

Ce que ce n'est pas

Il est important de préciser ce que ces contrôles ne sont pas. Ce n'est pas une interdiction de l'IA dans le recrutement. Ce n'est pas non plus une chasse aux algorithmes. La CNIL ne demande pas aux entreprises de supprimer leurs outils de matching ou de scoring.

Ce qu'elle demande, c'est du sérieux dans la mise en oeuvre. Informer les candidats. Réaliser les analyses d'impact requises. Configurer des durées de conservation raisonnables. Des obligations qui existent depuis 2018 et le RGPD, pas depuis hier.

Les entreprises qui ont fait ce travail en amont n'ont rien à craindre. Celles qui ont fait l'impasse vont devoir travailler dans l'urgence, ce qui est toujours moins bien que de l'avoir fait correctement.

5 vérifications à faire cette semaine

Concrètement, voici ce qu'un DRH ou une DRH peut vérifier dans son organisation avant la fin du mois.

Premièrement : lister tous les outils qui touchent aux données candidats, y compris les fonctionnalités IA de l'ATS. Deuxièmement : vérifier si une DPIA a été réalisée pour chaque traitement automatisé. Troisièmement : relire la politique de confidentialité présentée aux candidats et s'assurer qu'elle mentionne les traitements automatisés. Quatrièmement : vérifier la configuration de purge des données dans l'ATS, et l'activer si elle ne l'est pas. Cinquièmement : consulter le questionnaire d'auto-évaluation du guide CNIL 2023, disponible sur cnil.fr, qui couvre précisément ces points.

Ce travail prend moins d'une journée pour un DPO ou un responsable RH bien organisé. Un contrôle CNIL, lui, peut mobiliser des semaines de ressources internes.

Ce que ça signifie pour le choix des outils

Ces contrôles vont accélérer une question que les DRH se posent déjà : mon outil de recrutement est-il conçu pour la conformité française, ou est-ce que je cours derrière chaque nouvelle réglementation ?

Chez Intuition Software, on a fait des choix techniques précis là-dessus : hébergement 100% français sur Scaleway, IA développée et hébergée en France (pas sur les serveurs d'un acteur américain soumis au Cloud Act), et DPO enregistré à la CNIL. Ce ne sont pas des arguments marketing : c'est ce qui détermine si le risque est géré à la source ou sous-traité à l'espoir que personne ne regarde de trop près.

La CNIL regarde. C'est officiel depuis le 3 avril.