Dans quels cas la consultation des informations en ligne serait-elle permise ?

Les informations des candidats disponibles sur internet constituent des données à caractère personnel, ce qui implique que leur consultation par un employeur est apparentée à un traitement de ces données. Afin que cette consultation soit régulière, il convient de veiller à : limiter la finalité de la recherche à l’évaluation de la capacité ou les qualités professionnelles du candidat à occuper le poste disponible, et restreindre la consultation des informations à celles qui sont pertinentes et strictement en lien vis-à-vis de la finalité poursuivie. Ces exigences sont généralement remplies lorsque l’employeur souhaite évaluer la cohérence des informations communiquées par le candidat ou lorsque le candidat a lui-même soumis des contenus en ligne à l’employeur pour illustrer ses réalisations ou capacités de travail. Il n’est donc pas inconcevable qu’un employeur se base sur des données n’ayant aucun rapport avec les qualifications et aptitudes requises pour la sélection du candidat par rapport au poste à pourvoir.

Quid de l’exigence d’information ?

Les personnes dont les données à caractère personnel font l’objet d’un traitement doivent en être informées, conformément au RGPD. L’employeur peut collecter les données soit de manière directe, c’est-à-dire lorsque le candidat lui communique, soit de manière indirecte, lorsqu’il consulte les réseaux ou un tiers. Dans les deux cas, certaines informations, telles que l’identité du responsable du traitement et la finalité de ce dernier, doivent être communiquées au candidat. La liste des informations à fournir figure à la page 38 du guide. La communication de ces informations doit être faite aux candidats concernés dans un délai raisonnable, c’est-à-dire ne pouvant dépasser 1 mois à compter de la consultation ou collecte des données à caractère personnel. Si le délai n’est pas respecté, le candidat peut introduire une réclamation auprès d’une autorité de contrôle, conformément au RGPD. Il existe certains cas d’exonération de l’obligation d’informer dans le chef de l’employeur, notamment lorsqu’il ne fait que consulter le profil d’un potentiel candidat sur un réseau social professionnel, sans en collecter les données. Dans le cas où un employeur collecte certaines données personnelles d’un ou plusieurs candidat(s), son devoir d’information individuelle demeure. En revanche, si certaines données telles que des profils disponibles sur un réseau social professionnel, sont consultées en masses mais ne sont pas enregistrés, alors le recruteur est exonéré de son obligation d’information.

L’employeur ne doit pas perdre de vue que la collecte de données au départ des réseaux sociaux constitue un traitement de données à caractère personnel régi par le RGPD. Il doit donc veiller à limiter cette collecte aux information pertinentes et à informer le candidat. Il doit aussi s’assurer que la plateforme via laquelle il souhaite collecter des données ne contient pas de clause contractuelle ou de clause générale d’utilisation limitant les possibilités d’exploitations de ces données. Ces clauses peuvent en effet interdire la collecte des données disponible sur la plateforme en question.

Peut-on utiliser les données de candidats disponibles sur internet ?

Q: Peut-on utiliser les données de candidats disponibles sur internet ?

Les informations au sujet de potentiels candidats foisonnent sur internet, entre les réseaux sociaux, professionnels et autre. Il est tentant pour un employeur de parcourir ces informations afin de se faire une idée plus précise des qualités du candidat. Cependant, tout n’est pas permis et le Projet de guide de recrutement de la CNIL en pose les limites afin de sauvegarder la vie privée des candidats, qui reste de mise malgré l’accessibilité des contenus sur internet.

Les informations concernant des candidats foisonnent sur Internet : profils LinkedIn, réseaux sociaux, blogs, articles, forums… Les recruteurs peuvent être tentés de les consulter pour mieux cerner les qualités d’un candidat, mais cette pratique est soumise à des règles strictes, même si les contenus sont publics.

Le RGPD s’applique dès lors qu’un traitement de données est réalisé, même sur des données librement accessibles. Les principes de transparence, de proportionnalité, de finalité et le respect des droits des personnes concernées restent pleinement en vigueur.

Le guide de la CNIL sur le recrutement confirme que les employeurs doivent appliquer avec rigueur les principes du RGPD lorsqu’ils consultent des données en ligne. Cela implique notamment de limiter la collecte aux informations pertinentes, d’informer clairement le candidat et de prévoir des mécanismes de correction ou de contestation lorsque ces informations influencent la décision de recrutement.

Dans quels cas est-il permis de consulter ces informations ?

La consultation des données publiques en ligne est un traitement de données personnelles. Elle est possible si elle répond à deux conditions :

être limitée à l’évaluation des compétences, aptitudes ou de la cohérence du profil du candidat,
ne collecter que les informations pertinentes et strictement nécessaires au regard de la finalité poursuivie.

Cela est acceptable lorsque les informations permettent de vérifier un CV ou de documenter des réalisations du candidat. En revanche, consulter des contenus sans lien avec l’emploi, ou utiliser ces données pour écarter un candidat sans justification, n’est pas permis.

Quid de l’information des candidats ?

Le RGPD impose que tout candidat dont les données sont collectées en ligne soit informé de manière claire, même si les données sont publiques. Il s’agit d’un droit essentiel, comprenant :

l’identité du responsable du traitement,
les finalités de la collecte,
la base de licéité (souvent l’intérêt légitime),
les droits dont dispose le candidat, notamment accès, rectification, effacement, opposition, limitation, portabilité,
et, lorsque les données influencent la décision, la possibilité d’un réexamen humain.

Le guide CNIL rappelle que cette information doit être délivrée le plus tôt possible, par exemple dans la politique de confidentialité jointe à l’offre d’emploi ou au formulaire de candidature.

La décision allemande BAG 8 AZR 117/24 du 5 juin 2025 rappelle que l’employeur doit informer le candidat avant toute consultation en ligne : même l’usage de données publiques peut créer un préjudice moral si cette transparence n’est pas assurée.

La cour a jugé que l’absence d’information prive le candidat de la maîtrise de ses données en ligne et entraîne un dommage moral. Une indemnisation de 1000 euros a été accordée à ce titre. Cela montre que l’accès à des données publiques ne dispense pas du devoir d’information, et que l’employeur doit être prêt à réparer un préjudice.

Fondement juridique

La base légale la plus fréquente est l’intérêt légitime, mais le fait que les données soient publiques ne dispense pas de l’information des candidats.

Le guide CNIL précise qu’il n’est pas nécessaire de demander un consentement spécifique, mais que l’information claire et l’encadrement strict de l’usage de ces données sont indispensables.

Our advice:

Pour utiliser des données publiques sans risque :

Informer le candidat avant toute recherche en ligne, via mention sur formulaire de candidature, e-mail ou page carrière
Décrire les finalités : vérification, complément d’information
Limiter la collecte aux données strictement nécessaires à l’évaluation
Offrir au candidat la possibilité de corriger ou compléter les données tirées d’Internet
Permettre un réexamen humain si ces données influencent la décision finale.

Cookie	Type	Duration	Description
_wpas_session	session	30 minutes	This cookie is used by Awesome Support (online consultation / SOS) to keep track of website state between page loads and to store temporary information essential to the website's ability to work properly.More info: https://getawesomesupport.com/documentation/awesome-support/cookies/
cookielawinfo-checkbox-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Non-Necessary'.
PHPSESSID	session		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookie and is deleted when all the browser windows are closed.
pll_language	persistent	1 year	This cookie is set by Polylang and is used to remember the language selected by the user when he comes back to visit again the website. This cookie is also used to get the language information when not available in another way. Examples are ajax requests or the login page.More info: https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/
viewed_cookie_policy	persistent	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart_	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info : https://wordpress.org/support/article/cookies/
wordpress_logged_in_[hash]	persistent	14 days	This cookie is set by Wordpress and is used to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in.More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info: https://wordpress.org/support/article/cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table.More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Duration	Description
_ga	third party	2 years	This cookie is installed by Google Analytics 4. The cookie is used to distinguish users for the site's analytics report.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_ga_	third party	2 years	This cookie is installed by Google Analytics 4 to persist session state.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Cookie	Type	Duration	Description
GPS	third party	30 minutes	This cookie is set by YouTube and registers a unique ID for tracking users based on their geographical locationMore info: https://policies.google.com/technologies/types?hl=en
IDE	third party	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.More info: https://policies.google.com/technologies/types?hl=en
VISITOR_INFO1_LIVE	third party	5 months	This cookie is set by YouTube. Used to track the information of the embedded YouTube videos on a website.More info: https://policies.google.com/technologies/types?hl=en
YSC	third party		This cookie is set by YouTube and is used to track the views of embedded videos.More info: https://policies.google.com/technologies/types?hl=en

Peut-on utiliser les données de candidats disponibles sur internet ?

Dans quels cas est-il permis de consulter ces informations ?

Quid de l’information des candidats ?

Fondement juridique

Our advice:

Dans quels cas est-il permis de consulter ces informations ?

Quid de l’information des candidats ?