LeadGrid

Combien de temps peut-on garder un candidat dans son vivier ? Les règles RGPD expliquées

Candidats refusés, presque-matchs, profils pour l'avenir : combien de temps peut-on légalement conserver leurs données dans un vivier sous le RGPD ?

recruitmentguidesPar Ralf Klein · 4 min de lecture
Recruteur conduisant un entretien d'embauche professionnel dans un bureau moderne
Photo par Resume Genius sur Pexels

Un candidat a postulé, est arrivé en finale, et n'a pas obtenu le poste. Tu veux le garder dans ta base pour la prochaine ouverture. Ce réflexe est juste. L'exécution doit être délibérée, car sous le RGPD, "garder quelqu'un dans le système" est une activité de traitement avec une base légale et une durée de conservation.

Voici ce que disent réellement les règles.

Le standard : quatre semaines après le refus

Quand un candidat postule pour un poste spécifique et que tu le refuses, tu peux conserver ses données pendant quatre semaines après le refus. Cela couvre la période durant laquelle le candidat pourrait déposer une objection ou demander à consulter son dossier.

Après ces quatre semaines, si tu n'as pas d'autre base légale, les données doivent être supprimées.

Pas de consentement, pas de pipeline actif, pas de poste ouvert : suppression.

Extension vers un vivier : tu as besoin d'un consentement explicite

Garder un candidat plus longtemps, dans un vivier, nécessite un consentement explicite et éclairé. Pas un consentement implicite. Pas une case pré-cochée. Pas une ligne générale enfouie dans ta politique de confidentialité.

Le candidat doit activement accepter :

  • d'être intégré dans un vivier de candidats
  • pour une durée de conservation spécifique que tu indiques en amont
  • pour un objectif que tu décris clairement (postes futurs, pas du marketing général)

La pratique courante en France et dans toute l'UE est un maximum d'un an avec un seul consentement. Au bout d'un an, tu redemandes le consentement ou tu supprimes le dossier. Certaines organisations fixent la fenêtre à deux ans, ce qui est défendable pour les fonctions avec un cycle de recrutement lent, mais un an reste la valeur par défaut la plus sûre.

Ce que la demande de consentement doit contenir

Une demande d'opt-in pour un vivier conforme au RGPD comporte trois éléments :

  1. Ce que tu conserves. CV, coordonnées, notes d'entretien, résultats d'évaluation. Sois précis.
  2. Pourquoi. Les futurs postes dans ton organisation correspondant au profil du candidat.
  3. Combien de temps. Un an à compter de la date du consentement. Pas "pour une durée indéterminée."

Ajoute un mécanisme d'opt-out clair. Le candidat peut retirer son consentement à tout moment, et le retrait doit être aussi simple que le consentement.

Si tu utilises un outil de recrutement ou un ATS, vérifie s'il enregistre les horodatages de consentement et envoie des rappels de suppression automatiques à l'expiration de l'échéance. Le suivi manuel dans un tableur est un risque de conformité à toute échelle.

Les presque-matchs et les viviers en pratique

La règle du vivier s'applique également à :

  • Les candidats refusés directement
  • Les candidats qui correspondaient bien mais ont perdu face à un profil plus fort
  • Les candidats ayant retiré leur candidature en cours de processus

La base légale ne change pas selon à quel point ils étaient proches. S'ils ne sont plus dans un processus actif, tu as besoin de leur consentement ou tu supprimes.

Une nuance : si le candidat a envoyé une candidature spontanée sans poste spécifique, l'attente implicite est que tu la conserves pour une considération future. Cela seul ne constitue pas un consentement RGPD valide, mais rend la conversation d'opt-in plus simple.

La position de la CNIL et des autorités européennes

La CNIL et les autres autorités de protection des données européennes ont publié des orientations confirmant que le stockage dans un vivier nécessite un consentement explicite et recommandent une durée de conservation maximale d'un an. Des organisations ont activement été sanctionnées pour avoir conservé des données de candidats sans base légale valide.

Si tu opères au-delà des frontières de l'UE, les règles sont cohérentes. Le RGPD s'applique de manière uniforme. Les autorités nationales peuvent différer légèrement sur l'accent de l'application, mais les exigences en matière de consentement et de conservation sont les mêmes.

Ce qu'il faut intégrer dans ton processus

Trois étapes pratiques qui éliminent la plupart des risques de conformité :

Au moment du refus : envoie un e-mail unique et clair demandant si le candidat souhaite rejoindre ton vivier. Inclus ce que cela signifie, combien de temps ses données seront conservées, et un opt-in en un clic.

Au moment du consentement : consigne la date et ce qui a été accepté. Ton ATS ou CRM devrait le faire automatiquement. Si ce n'est pas le cas, c'est un problème d'outils qui mérite d'être résolu.

A l'échéance : rappel automatique lorsque la fenêtre de consentement expire. Soit tu redemandes le consentement, soit tu déclenches un workflow de suppression.

Ce n'est pas complexe à mettre en place. C'est facile à ignorer. L'ignorer, c'est ce qui crée l'exposition à la conformité.

La version courte

Candidat refusé, pas de consentement : supprimer après quatre semaines. Vivier avec consentement : jusqu'à un an, ensuite redemander ou supprimer. Tout consigner. L'opt-out doit être simple.

C'est la règle complète. Le reste, c'est de l'implémentation.

Partager :
Gratuit pour toujours. Sans carte de crédit.
Ventes + recrutement dans une seule grille
Commencer gratuitement