Réserver une démoSe connecter

Sourcing automatisé et RGPD : comment collecter des profils candidats sans être hors-la-loi.

· 10 min · Margot PIERSON
Recruteur qui traite des candidatures tout en respectant le RGPD et l'IA Act

Le sourcing automatisé transforme profondément le recrutement. Entre ATS, CRM RH, intelligence artificielle et outils de matching, les recruteurs disposent aujourd’hui de nombreuses solutions pour identifier un candidat, enrichir une base de profils et automatiser certaines étapes du processus. Mais derrière cette évolution technologique se pose une question centrale : comment utiliser ces outils tout en respectant le RGPD, le droit européen et les obligations liées au traitement des données personnelles ?

Dans de nombreuses entreprises, la collecte de données, l’usage de profils LinkedIn, le tracking des candidatures ou encore l’analyse automatisée soulèvent des enjeux de conformité, de consentement, de protection et de sécurité. Une information publique n’est pas forcément libre d’utilisation, et la CNIL rappelle régulièrement que le recrutement reste un domaine sensible. Entre opportunité business, risque juridique, biais algorithmiques et obligation de transparence, les acteurs RH doivent désormais intégrer un véritable cadre légal dans leurs pratiques de sourcing.

L’essentiel à retenir

  • Le sourcing automatisé permet d’identifier et de contacter des candidats plus rapidement, mais il doit impérativement respecter le cadre fixé par le RGPD.
  • Une donnée visible publiquement, notamment sur LinkedIn, n’est pas automatiquement libre d’utilisation à des fins de recrutement.
  • Les entreprises restent responsables du traitement des données utilisées dans leurs outils de sourcing, même lorsqu’elles passent par des plateformes externes.
  • Le consentement explicite, la transparence et la traçabilité deviennent des éléments clés pour garantir une approche conforme et renforcer la confiance des candidats.
  • L’IA appliquée au recrutement est désormais considérée comme un usage “à haut risque” par les régulateurs européens, ce qui impose davantage de contrôle humain et de documentation.
  • Les recruteurs doivent privilégier des données récentes, qualifiées et consenties plutôt qu’une logique de volume basée sur des bases externes opaques.
  • La conformité RGPD n’est plus seulement un sujet juridique : elle devient un enjeu stratégique pour protéger la marque employeur, sécuriser les pratiques RH et améliorer l’expérience candidat.

Pourquoi le RGPD a profondément changé le recrutement

Depuis un moment déjà, les équipes RH ont accès à une immense source de profils exploitables. Les recruteurs pouvaient rechercher un candidat sur LinkedIn, récupérer une adresse mail ou contacter une personne directement depuis une base externe sans véritable réflexion sur le cadre juridique.

Le RGPD a changé cette logique. Depuis son entrée en application dans l’Union européenne, toute entreprise qui collecte ou utilise une donnée personnelle doit respecter des règles précises concernant la finalité, la durée de conservation, la sécurité et l’information des personnes concernées.

Dans le recrutement, cela implique plusieurs obligations. Une entreprise doit notamment pouvoir expliquer :

  • pourquoi une donnée est collectée
  • combien de temps elle sera conservée
  • qui peut y accéder
  • et dans quel objectif elle sera utilisée

Cette évolution a eu un impact majeur sur les outils de sourcing, notamment ceux qui s’appuient sur des données publiques ou des mécanismes de scraping.

Une donnée publique n’est pas une donnée libre

C’est l’un des points les plus mal compris dans le secteur RH. Une information visible publiquement sur internet ne devient pas automatiquement exploitable à des fins de recrutement.

Un profil LinkedIn, par exemple, contient des données personnelles : parcours professionnel, coordonnées, expérience, parfois numéro de téléphone ou adresse mail. Le fait qu’un candidat rende ces informations visibles ne signifie pas qu’il accepte automatiquement d’être intégré dans une base de sourcing ou contacté par n’importe quel recruteur.

La CNIL rappelle régulièrement ce principe. Le droit européen impose une base légale claire pour chaque traitement de donnée. Dans certains cas, le consentement explicite est nécessaire. Dans d’autres, l’entreprise peut invoquer un intérêt légitime, mais celui-ci doit être documenté et proportionné.

Le recrutement est considéré comme un traitement sensible

Le recrutement implique une quantité importante de données parfois sensibles : expérience professionnelle, parcours, situation géographique, échanges avec un recruteur, compte-rendu d’entretien ou résultats de test. Le RGPD considère que ces traitements nécessitent une vigilance particulière, car ils peuvent avoir un impact direct sur la carrière ou l’accès à l’emploi d’une personne.

Cela implique plusieurs responsabilités :

  • limiter les accès aux données
  • documenter les pratiques
  • assurer une conservation raisonnable
  • éviter les traitements automatisés opaques

Dans ce contexte, les recruteurs doivent désormais travailler avec des outils capables de garantir un niveau de conformité suffisant.

Automatiser le sourcing : une opportunité… mais aussi un risque

Le sourcing automatisé répond à un besoin réel du marché. En effet, les équipes RH doivent recruter plus vite, traiter davantage de candidatures et identifier des talents parfois difficiles à atteindre via les canaux d’acquisition à disposition. 

Les logiciels RH permettent aujourd’hui :

  • d’automatiser la recherche de profils
  • d’analyser des données
  • de centraliser des candidatures
  • de contacter des candidats à grande échelle
  • de suivre les interactions via un ATS

En clair, ces solutions apportent un gain de temps considérable. Mais elles entraînent aussi de nouveaux risques.

Le problème des bases de données externes

Certaines plateformes annoncent des dizaines, parfois des centaines, de millions de profils accessibles immédiatement. Ces solutions fonctionnent souvent grâce à l’agrégation de données issues :

  • de LinkedIn
  • de sites web
  • de bases publiques
  • ou de sources externes difficilement identifiables

Le problème est que la personne concernée n’a parfois jamais donné son consentement explicite pour être intégrée dans ce type de base. Pour un recruteur, le risque peut sembler invisible. Pourtant, en droit, l’entreprise qui utilise la donnée reste responsable du traitement. Acheter un accès à une plateforme “RGPD compliant” ne suffit pas toujours à transférer la responsabilité juridique.

Les sanctions deviennent un vrai sujet

Ces dernières années, la CNIL et plusieurs autorités européennes ont renforcé leurs contrôles concernant l’usage des données personnelles. Ainsi, certaines sanctions ont déjà touché des acteurs utilisant des données LinkedIn ou des systèmes de prospection automatisée sans consentement valide. Le sujet concerne désormais directement le recrutement. Les risques ne sont pas uniquement financiers car une mauvaise gestion des données peut également :

  • dégrader la confiance des candidats
  • fragiliser la marque employeur
  • créer un risque réputationnel
  • ou remettre en cause certaines pratiques internes

Récemment, Kaspr, une solution permettant d’accéder à des coordonnées et utilisée par des équipes commerciales et de recrutement, a été sanctionnée par la CNIL et contrainte de supprimer l’ensemble de sa base de données.

Quels sont les droits des candidats selon le RGPD ?

Le RGPD ne protège pas uniquement les données : il protège avant tout l’humain. Dans le cadre du recrutement, chaque candidat dispose donc de plusieurs droits concernant ses informations personnelles, ses coordonnées ou son historique de candidature. Ces règles s’appliquent à tous les acteurs du marché : entreprise, cabinet, plateforme, logiciel de recrutement ou outil de sourcing.

Le droit à l’information et à la transparence

L’une des premières obligations consiste à informer clairement les candidats. Lorsqu’une entreprise collecte une donnée, elle doit expliquer :

  • quelle information est collectée
  • pourquoi elle est utilisée
  • combien de temps elle sera conservée
  • et qui peut y accéder

Cette obligation de transparence est souvent matérialisée par une politique de confidentialité ou une mention spécifique dans un formulaire de candidature. Dans la pratique, de nombreuses entreprises restent encore trop vagues sur ce sujet. Pourtant, le RGPD impose une information compréhensible, accessible et documentée.

Un candidat doit pouvoir comprendre simplement :

  • pourquoi il est contacté
  • comment son profil a été obtenu
  • et dans quel cadre ses données seront traitées

Le droit d’accès, d’opposition et d’effacement

Les candidats disposent également d’un droit d’accès à leurs données. Ils peuvent demander :

  • quelles informations sont conservées
  • dans quelle base elles apparaissent
  • ou comment elles ont été collectées

Ils peuvent aussi exercer un droit d’opposition, notamment lorsqu’ils ne souhaitent plus être contactés par un recruteur ou figurer dans un système de sourcing. Enfin, le droit à l’effacement, souvent appelé droit à l’oubli, permet de demander la suppression des données lorsque leur conservation n’est plus justifiée.

Pour les équipes RH, cela implique de pouvoir retrouver rapidement une donnée, de la modifier ou de la supprimer sur simple demande. Un logiciel de recrutement doit donc intégrer ces fonctionnalités de gestion et de traçabilité.

La question du consentement explicite

Le consentement est l’un des sujets les plus sensibles dans le sourcing automatisé. Beaucoup d’outils reposent encore sur des données collectées sans véritable validation de la personne concernée. Or, le RGPD impose que le consentement soit explicite, libre, spécifique et révocable. Cela signifie qu’un candidat doit comprendre clairement ce qu’il accepte.

C’est précisément ce qui distingue certaines approches. Des solutions comme TalentPicker s’appuient uniquement sur des profils issus de CVDesignR, où les candidats ont explicitement accepté que leur CV puisse être visible par des recruteurs partenaires. Un second consentement est ensuite requis avant toute mise en relation avec une entreprise. Cette démarche permet à la fois de sécuriser juridiquement le processus et de renforcer la confiance des candidats

La question devient encore plus importante avec l’essor de l’intelligence artificielle appliquée au recrutement, notamment lorsqu’un traitement automatisé intervient dans la sélection ou la qualification des profils. 

Intelligence artificielle, IA Act et recrutement : ce qui change

L’arrivée de l’IA dans les outils RH accélère considérablement les capacités de sourcing, de matching et d’analyse de candidatures. Aujourd’hui, certains logiciels peuvent :

  • trier automatiquement des profils
  • analyser des compétences
  • générer des recommandations
  • ou automatiser une partie du contact candidat ou de la préqualification.

Mais cette évolution attire aussi l’attention des institutions européennes vis-à-vis des entreprises qui cherchent à utiliser l’IA efficacement.

L’IA appliquée au recrutement est considérée comme sensible

Le règlement européen sur l’intelligence artificielle, souvent appelé IA Act, considère les systèmes RH comme des usages à “haut risque”. Pourquoi ? Parce qu’un algorithme peut avoir un impact direct sur l’accès à l’emploi, sur une décision dans un process de recrutement ou sur l’évolution de carrière d’une personne.

L’IA Act impose donc plusieurs obligations :

  • documenter le fonctionnement des modèles
  • assurer un contrôle humain
  • limiter les biais
  • garantir une forme de transparence

Autrement dit, une entreprise ne peut pas laisser un système automatisé prendre seul une décision de recrutement sans supervision humaine.

Le risque des biais algorithmiques

L’un des grands débats actuels concerne les biais. Un modèle d’intelligence artificielle apprend à partir de données existantes. Si ces données contiennent des discriminations historiques, le système peut les reproduire. Plusieurs exemples ont déjà marqué le marché, notamment celui d’Amazon. L’entreprise avait développé un outil de recrutement automatisé capable d’analyser les candidatures. Mais le modèle favorisait certains profils masculins, car il avait été entraîné sur des données historiques majoritairement masculines. Ce cas est devenu un exemple classique des limites de l’automatisation RH.

Le problème n’est donc pas uniquement technique. Il concerne aussi :

  • la qualité des données
  • la diversité des profils
  • les critères utilisés
  • et la manière dont les résultats sont interprétés

L’humain reste indispensable

Même avec les meilleurs outils, le recrutement ne peut pas devenir un processus entièrement automatisé.

Le rôle du recruteur reste essentiel pour notamment contextualiser une candidature, analyser un parcours de vie, comprendre une motivation ou évaluer une situation complexe. En clair, le recrutement c’est aussi une histoire de feeling, de choses qu’on ressent, de connexion humaine.

L’IA doit être utilisée comme une aide, pas comme un remplacement du jugement humain. C’est également ce qui pousse de nombreuses entreprises à rechercher des solutions plus transparentes, plus documentées et plus respectueuses du cadre légal européen.

Pourquoi la confiance candidat devient un enjeu stratégique

Le sourcing automatisé ne concerne pas uniquement la conformité. Il influence aussi directement la relation entre les candidats et les entreprises. En effet, un candidat qui découvre qu’une société possède ses coordonnées sans jamais avoir donné son accord peut immédiatement perdre confiance. Et à l’heure où tout un chacun reçoit des emails ainsi que des appels intempestifs, la traçabilité de la donnée devient un sujet majeur.

Dans certains cas, cela peut même produire l’effet inverse de celui recherché :

  • rejet de la marque employeur
  • absence de réponse
  • méfiance envers le recruteur
  • ou mauvaise expérience candidat

Le consentement améliore aussi la performance

C’est un point souvent sous-estimé. Les données consenties ne sont pas seulement plus conformes : elles sont aussi plus performantes.

Un candidat qui accepte volontairement d’être visible :

  • répond davantage
  • s’engage plus facilement dans un entretien
  • et reste plus impliqué dans le processus

La qualité de la donnée devient alors plus importante que le volume de profils disponibles. Cette logique explique pourquoi certaines plateformes privilégient aujourd’hui des bases plus petites mais mieux qualifiées, plutôt que des centaines de millions de profils dont la provenance reste floue.

Comment garantir la conformité RGPD dans le recrutement ?

La conformité ne repose pas uniquement sur un document juridique ou une case à cocher dans un formulaire. Elle implique une approche globale du recrutement, depuis la collecte de la donnée jusqu’à sa conservation. Pour rester conforme, une entreprise doit avant tout être capable de documenter ses pratiques et de démontrer que chaque traitement possède une finalité claire.

Documenter les traitements et limiter les risques

Le premier réflexe consiste à cartographier les données utilisées dans le recrutement :

  • quelles données sont collectées
  • par quel outil
  • auprès de quelle source
  • et pour quelle durée

Cette étape permet de mieux identifier les risques liés au sourcing automatisé, aux bases externes, au tracking des candidatures ou à l’utilisation d’un logiciel de recrutement connecté à plusieurs solutions. 

Le RGPD impose également de limiter la conservation des données. Une candidature ne peut pas être conservée indéfiniment sans justification. Les entreprises doivent donc fixer des délais précis et informer les candidats. Dans la pratique, beaucoup d’équipes RH utilisent encore des fichiers internes, des exports Excel ou des bases historiques difficilement contrôlables. Or, plus la donnée circule sans gouvernance claire, plus le risque augmente.

Sécuriser l’accès et limiter les usages

La conformité implique aussi une vraie réflexion sur les accès. Tout le monde ne doit pas pouvoir consulter l’ensemble des candidatures ou des informations personnelles. Certaines bonnes pratiques deviennent essentielles :

  • limiter les accès selon les rôles
  • tracer les actions réalisées dans le système
  • sécuriser les bases de données
  • supprimer les données obsolètes
  • et encadrer les échanges internes

Les recruteurs doivent également être formés aux enjeux de protection des données. Beaucoup de problèmes viennent moins des outils eux-mêmes que des usages quotidiens : export massif de profils, partage non sécurisé, conservation excessive ou absence d’information candidat.

ATS, sourcing automatisé et conformité : comment les outils évoluent

Une fois les profils sourcés et qualifiés, encore faut-il qu’ils soient gérés dans un ATS conforme. C’est là qu’intervient Beetween, en intégrant la conformité directement dans leur outil, notamment à travers : 

  • la gestion du consentement
  • la limitation des accès en interne
  • des durées de conservation paramétrables
  • la traçabilité des traitements
  • ou la suppression simplifiée des données

D’outil RH à véritable solution d’acquisition candidat, cette évolution crée de nouvelles opportunités, mais elle implique aussi une vigilance renforcée.

Les outils doivent intégrer la conformité dès la conception

Aujourd’hui, un logiciel RH ne peut plus ignorer les questions de privacy et de sécurité. Les entreprises attendent désormais une gestion claire du consentement, des durées de conservation paramétrables, un historique des traitements et des fonctionnalités permettant de répondre rapidement aux demandes des candidats. 

L’objectif n’est plus uniquement d’automatiser le recrutement, mais aussi d’assurer un usage conforme et documenté des données.

Volume de données ou qualité des profils ?

Le marché du sourcing connaît aujourd’hui une forme de bascule. Pendant longtemps, les plateformes ont mis en avant la taille de leur base de données comme principal argument commercial. Mais cette logique atteint ses limites. Une base contenant des centaines de millions de profils ne garantit ni la qualité des données, ni leur conformité.

Le vrai enjeu devient désormais :

  • la fraîcheur des informations
  • le consentement
  • la confiance candidat
  • et la traçabilité de la source

C’est précisément ce qui pousse certaines entreprises à privilégier des modèles plus responsables, fondés sur des données consenties et documentées plutôt que sur du scraping massif.

Cette réflexion devient centrale, par exemple dans le choix des outils RH, notamment pour les recruteurs qui cherchent à comparer les plateformes de sourcing automatisé et leurs approches de conformité.

Le recrutement responsable devient un avantage concurrentiel

Le sujet du RGPD n’est plus uniquement juridique. Il devient stratégique. Les sociétés qui maîtrisent la provenance de leurs données et respectent les règles européennes renforcent leur image employeur, la confiance des candidats ainsi que la qualité des processus de recrutement.

À l’inverse, les pratiques opaques créent un risque durable. Une entreprise peut perdre en crédibilité si un candidat découvre que ses coordonnées ont été obtenues sans accord explicite. Le recrutement responsable devient donc un critère de différenciation sur le marché.

La souveraineté des données RH, nouveau sujet clé

Le débat dépasse désormais la simple conformité. Il touche aussi à la souveraineté des données et à la maîtrise des infrastructures utilisées dans les processus RH. Les entreprises françaises et européennes commencent à s’interroger :

  • où sont stockées les données ?
  • qui les exploite ?
  • comment sont entraînés les modèles d’intelligence artificielle ?
  • quelles garanties existent réellement ?

Cette réflexion devrait encore s’accélérer avec les nouvelles obligations européennes liées à l’IA et au traitement automatisé.

Pour fini : automatiser le sourcing sans perdre le contrôle

Le sourcing automatisé représente une formidable opportunité pour les recruteurs. Les outils RH permettent de gagner du temps, de structurer les candidatures et d’identifier plus rapidement des talents pertinents. Mais cette efficacité ne peut plus se construire au détriment du droit, de la transparence ou de la confiance candidat.

Le RGPD, la CNIL et l’IA Act imposent désormais un cadre clair : les données personnelles ne sont pas une ressource librement exploitable. Leur collecte, leur traitement et leur conservation impliquent des responsabilités fortes pour les entreprises comme pour les éditeurs de logiciels. Le véritable enjeu n’est donc plus simplement d’automatiser le sourcing, mais de le faire de manière conforme, documentée et responsable.

Les recruteurs qui réussiront demain seront ceux capables de concilier performance, technologie et respect des données.

A propos de l'auteur

Margot PIERSON

Engagée et passionnée par la formation, l’emploi et la tech, j’évolue depuis plus de 10 ans en marketing et communication avec une expertise 360°, couvrant les environnements B2B, B2C et B2B2C.

Voir les articles de l'auteur

Articles suggérés