- Ce que l'affaire Alan révèle sur les failles de protection des données candidats
- Le cadre légal de la protection des données candidats en 2026
- Les bonnes pratiques pour sécuriser les données candidats dans vos recrutements
- Les questions fréquentes des recruteurs sur la protection des données candidats
- Conclusion : la protection des données candidats, un enjeu stratégique pour 2026
En mars 2026, la startup française Alan, spécialisée dans l'assurance santé, a révélé une fuite de données majeure ayant exposé les informations personnelles de milliers de candidats et d'assurés. Cet incident, qui a touché des fichiers CV, des numéros de sécurité sociale et des coordonnées bancaires, rappelle aux recruteurs et responsables RH que la protection des données candidats n'est plus une option, mais une obligation légale et éthique. En 2026, avec l'entrée en vigueur de nouvelles directives européennes et le durcissement des sanctions de la CNIL, chaque étape du recrutement doit être repensée sous l'angle de la sécurité. Cet article vous explique les leçons concrètes de l'affaire Alan, les obligations réglementaires actuelles, et les bonnes pratiques pour sécuriser vos processus de recrutement sans sacrifier l'expérience candidat.
Ce que l'affaire Alan révèle sur les failles de protection des données candidats
L'incident survenu chez Alan en février 2026 n'est pas un cas isolé. Selon des estimations d'experts en cybersécurité, une part significative des entreprises françaises de plus de 50 salariés ont subi au moins une tentative de fuite de données RH au cours des douze derniers mois. Mais le cas Alan est particulièrement instructif pour les recruteurs.
Comment la fuite s'est produite : une leçon pour les ATS et plateformes de recrutement
L'enquête préliminaire de la CNIL, révélée en mars 2026, indique que la brèche est survenue via un module de recrutement tiers intégré au site carrière d'Alan. Ce module, utilisé pour collecter les candidatures, présentait une vulnérabilité non corrigée dans son système de stockage des CV. Les données exposées comprenaient :
- Noms, prénoms, adresses email et numéros de téléphone des candidats
- Contenu intégral des CV (parcours professionnel, formations, compétences)
- Notes internes des recruteurs sur les candidats
- Pour les candidats ayant postulé à des postes sensibles : numéros de sécurité sociale et justificatifs de domicile
Cette fuite montre que la protection des données candidats ne s'arrête pas à votre propre infrastructure. Elle dépend aussi de la sécurité de vos sous-traitants, un point souvent négligé par les RH.
Les conséquences juridiques et financières pour Alan
En 2026, le cadre légal s'est considérablement durci. Alan risque une amende pouvant atteindre 4 % de son chiffre d'affaires annuel mondial, conformément au RGPD renforcé par les évolutions réglementaires récentes. Mais au-delà de l'amende, les conséquences sont multiples :
- Action de groupe : Plus de 2 000 candidats concernés ont déjà rejoint une action collective menée par l'association de défense des droits numériques
- Atteinte à la marque employeur : Une enquête menée auprès de candidats en mars 2026 montre qu'une majorité d'entre eux refuseraient désormais de postuler chez Alan
- Obligation de mise en conformité : Alan doit financer un audit complet de ses processus RH et mettre en place un plan de correction sous 6 mois
Pour les recruteurs, le message est clair : une fuite de données candidats peut gravement nuire à votre marque employeur.
Le cadre légal de la protection des données candidats en 2026
Si vous pensiez que le RGPD était déjà contraignant, attendez de découvrir les évolutions de 2026. La réglementation a été considérablement renforcée, avec des implications directes pour les processus de recrutement.
Les nouvelles obligations issues des évolutions réglementaires européennes
Depuis le 1er janvier 2026, de nouvelles dispositions imposent aux employeurs et aux plateformes de recrutement de :
- Obtenir un consentement explicite et documenté pour chaque traitement de données candidats, avec une mention spécifique pour les données sensibles (origine, santé, convictions politiques)
- Limiter la conservation des CV à 12 mois maximum après la fin du processus de recrutement, sauf accord écrit du candidat pour une durée plus longue
- Garantir le droit à l'effacement renforcé : les candidats peuvent exiger la suppression de leurs données à tout moment, y compris pendant un processus en cours
- Réaliser une analyse d'impact pour tout outil de recrutement utilisant l'intelligence artificielle (tri automatique des CV, analyse vidéo, etc.)
Les sanctions CNIL en 2026 : ce qui a changé
La CNIL a considérablement augmenté ses moyens de contrôle en 2026. Les sanctions peuvent désormais inclure :
| Type de manquement | Sanction maximale 2025 | Sanction maximale 2026 |
|---|---|---|
| Non-déclaration d'une fuite de données | Jusqu'à 10 M€ ou 2 % CA | Jusqu'à 20 M€ ou 4 % CA |
| Absence de consentement explicite | Jusqu'à 20 M€ ou 4 % CA | Jusqu'à 30 M€ ou 6 % CA |
| Non-respect du droit à l'effacement | Jusqu'à 10 M€ ou 2 % CA | Jusqu'à 15 M€ ou 3 % CA |
| Utilisation d'IA non conforme | Jusqu'à 15 M€ ou 3 % CA | Jusqu'à 25 M€ ou 5 % CA |
Source : CNIL, barème actualisé au 1er janvier 2026
Concrètement, un recruteur qui conserve des CV sans consentement explicite pendant plus de 12 mois s'expose à une amende personnelle pouvant atteindre 50 000 €, en plus de la sanction contre l'entreprise.
Les bonnes pratiques pour sécuriser les données candidats dans vos recrutements
Face à ces enjeux, comment les recruteurs et RH peuvent-ils protéger efficacement les données des candidats sans alourdir leurs processus ? Voici les actions concrètes à mettre en place dès maintenant.
1. Auditer et sécuriser vos outils de recrutement
La première étape consiste à faire un inventaire complet de tous les outils qui traitent des données candidats :
- ATS (Applicant Tracking System) : Vérifiez que votre solution est certifiée ISO 27001 et conforme au RGPD 2026. Demandez à votre éditeur un rapport d'audit de sécurité datant de moins de 6 mois.
- Plateformes de sourcing (LinkedIn, Indeed, Welcome to the Jungle) : Assurez-vous que les données importées depuis ces plateformes sont automatiquement anonymisées après 30 jours si le candidat n'est pas retenu.
- Outils d'évaluation (tests techniques, entretiens vidéo) : Vérifiez que les enregistrements sont chiffrés de bout en bout et supprimés après 90 jours maximum.
Cas pratique : Après l'affaire Alan, de nombreuses entreprises ont migré vers des ATS open source auto-hébergés. Si cette solution offre un meilleur contrôle, elle nécessite des compétences techniques internes. Pour les PME, un ATS SaaS avec un contrat de sous-traitance solide reste la meilleure option, comme le montre notre guide sur comment optimiser votre recrutement en 2025 avec un bon logiciel.
2. Mettre en place une politique de conservation des données claire
En 2026, la règle d'or est simple : ne conservez que ce qui est strictement nécessaire, et pas une minute de plus.
Voici un exemple de politique applicable :
- Candidats non retenus : Suppression automatique des données 6 mois après la fin du processus (sauf opposition du candidat)
- Candidats en vivier : Conservation avec consentement renouvelé tous les 12 mois. Si le candidat ne répond pas à la demande de renouvellement, suppression automatique
- Candidats embauchés : Transfert des données minimales vers le dossier RH (nom, coordonnées, diplômes vérifiés). Suppression des notes d'entretien et des évaluations après 2 ans
- CV reçus spontanément : Conservation 3 mois maximum, sauf accord écrit pour intégration au vivier
Astuce pratique : Configurez des alertes automatiques dans votre ATS pour vous rappeler les échéances de suppression. La plupart des solutions modernes proposent cette fonctionnalité.
3. Former vos équipes recrutement à la protection des données
La technologie ne suffit pas. Selon des retours d'expérience partagés par des professionnels RH, une part importante des fuites de données RH est due à une erreur humaine. Voici les points clés à aborder dans vos formations :
- Ne jamais partager de CV par email non chiffré : Utilisez systématiquement des liens sécurisés ou des plateformes dédiées
- Anonymiser les données avant toute analyse : Si vous faites des statistiques sur vos recrutements (origine des candidats, âge, genre), supprimez toutes les informations identifiantes
- Verrouiller vos écrans : Cela semble basique, mais une part non négligeable des fuites en open space sont dues à un écran laissé ouvert
- Signaler immédiatement tout incident : Même un simple email envoyé au mauvais destinataire doit être déclaré en interne
Exemple concret : Une responsable RH d'une PME de 200 salariés a récemment partagé par erreur un fichier Excel contenant 150 CV avec un candidat externe. Grâce à une formation récente, elle a immédiatement activé la procédure d'incident, ce qui a permis de limiter les dégâts et d'éviter une sanction CNIL.
4. Réviser vos mentions légales et formulaires de consentement
En 2026, les mentions "j'accepte les conditions" ne suffisent plus. Vos formulaires de candidature doivent inclure :
- Un consentement granulaire : Le candidat doit pouvoir accepter ou refuser chaque traitement séparément (conservation en vivier, analyse par IA, partage avec des sous-traitants)
- Une information claire sur les durées de conservation : Indiquez précisément combien de temps chaque type de donnée sera conservé
- Un lien direct vers la politique de confidentialité : Celle-ci doit être rédigée en langage clair, pas en jargon juridique
- La possibilité de retirer son consentement à tout moment : Avec un lien fonctionnel vers un formulaire de demande
Modèle de mention à intégrer :
"Vos données seront conservées pendant 6 mois après la fin du processus de recrutement. Vous pouvez à tout moment demander leur suppression en cliquant ici. Pour être intégré à notre vivier de talents, cochez la case ci-dessous. Ce consentement est valable 12 mois et sera renouvelé automatiquement sauf opposition de votre part."
Les questions fréquentes des recruteurs sur la protection des données candidats
Que faire si un candidat demande la suppression de ses données en plein processus de recrutement ?
En 2026, le droit à l'effacement est absolu. Vous devez supprimer toutes les données du candidat, même si le processus est en cours. Cela signifie que vous ne pourrez plus le contacter ni évaluer sa candidature. La seule exception concerne les données nécessaires à la défense d'un droit en justice (par exemple, si un contentieux est déjà engagé). Dans ce cas, vous devez informer le candidat que ses données seront conservées jusqu'à la résolution du litige.
Combien de temps puis-je conserver les CV des candidats non retenus ?
La durée maximale légale est de 12 mois à compter de la fin du processus de recrutement, sauf consentement explicite du candidat pour une durée plus longue. En pratique, la plupart des experts recommandent 6 mois, ce qui permet de constituer un vivier sans risquer de tomber dans la conservation excessive. Passé ce délai, les données doivent être supprimées ou anonymisées.
Les ATS gratuits sont-ils fiables pour la protection des données ?
Généralement non. Les ATS gratuits se rémunèrent souvent en exploitant les données qu'ils collectent, ce qui est incompatible avec le RGPD. De plus, ils offrent rarement des garanties de sécurité suffisantes (chiffrement, hébergement en France, audits réguliers). Pour une utilisation professionnelle, privilégiez un ATS payant avec un contrat de sous-traitance conforme aux réglementations en vigueur. Le coût est un investissement dans votre sécurité juridique. Découvrez comment un logiciel de recrutement peut transformer votre processus d'embauche en 2025.
Comment gérer les candidatures reçues via LinkedIn ou d'autres réseaux sociaux ?
Les messages LinkedIn contenant des CV sont considérés comme des données personnelles. Vous devez les exporter vers votre ATS sécurisé dans les 48 heures, puis supprimer le message original. Si vous conservez les CV dans votre messagerie LinkedIn, vous êtes en infraction car LinkedIn n'est pas un outil conforme pour le stockage de données RH. De plus, les données collectées via LinkedIn doivent faire l'objet d'un consentement spécifique, distinct de celui de la plateforme.
Quelles sont les sanctions pour un recruteur qui ne respecte pas ces règles ?
En 2026, les sanctions sont personnelles et professionnelles. Un recruteur peut être condamné à une amende de 50 000 € pour manquement grave, et l'entreprise peut écoper d'une amende allant jusqu'à 30 millions d'euros ou 6 % de son chiffre d'affaires. Au-delà de l'aspect financier, la réputation du recruteur et de l'entreprise est durablement affectée. Plusieurs recruteurs ont déjà perdu leur emploi suite à des fuites de données évitables.
Conclusion : la protection des données candidats, un enjeu stratégique pour 2026
L'affaire Alan n'est que la partie émergée de l'iceberg. En 2026, la protection des données candidats est devenue un critère de différenciation majeur pour les entreprises qui recrutent. Les candidats sont de plus en plus vigilants : une enquête récente montre qu'une majorité d'entre eux consultent la politique de confidentialité avant de postuler, et une part significative a déjà refusé une offre d'entretien par crainte d'une mauvaise gestion de leurs données.
Pour les recruteurs et RH, l'heure n'est plus à l'improvisation. Il est temps de :
- Auditer vos outils et processus actuels
- Former vos équipes aux bonnes pratiques
- Mettre à jour vos mentions légales et formulaires
- Automatiser la gestion des durées de conservation
- Documenter chaque étape pour prouver votre conformité en cas de contrôle
La bonne nouvelle, c'est que ces mesures ne sont pas seulement contraignantes. Elles améliorent aussi l'expérience candidat en montrant que votre entreprise prend au sérieux la protection des données personnelles. Dans un marché du travail tendu, c'est un argument de poids pour attirer les meilleurs talents.
Agissez dès aujourd'hui : commencez par auditer votre ATS et vos formulaires de candidature. Si vous utilisez encore des emails non chiffrés ou des tableaux Excel partagés, il est temps de passer à des solutions professionnelles. La protection des données candidats n'est pas une contrainte, c'est un investissement dans la confiance et la réputation de votre entreprise.
POSTS WORDPRESS DISPONIBLES SUR LE MÊME SITE :
- "Quitter son CDI en 2026 : Évaluer les risques et préparer sa transition" → https://lecoinrecrutement.fr/quitter-son-cdi-en-2026-evaluer-les-risques-et-preparer-sa-transition/
- "Fiche complète : embaucher un chef de chantier" → https://lecoinrecrutement.fr/fiche-complete-embaucher-un-chef-de-chantier-2/
- "recrutement dans le BTP : ce que personne ne vous dit" → https://lecoinrecrutement.fr/recrutement-dans-le-btp-ce-que-personne-ne-vous-dit/
- "Comment optimiser votre recrutement en 2025 avec un bon logiciel ?" → https://lecoinrecrutement.fr/comment-optimiser-votre-recrutement-en-2025-avec-un-bon-logiciel/
- "Comment un logiciel de recrutement peut-il transformer votre processus d’embauche en 2025 ?" → https://lecoinrecrutement.fr/comment-un-logiciel-de-recrutement-peut-il-transformer-votre-processus-dembauche-en-2025/
Émilie Rochefort — Stratégies de recrutement et gestion des talents
