Réglementation 13 juin 2026 ⏱️ 11 min de lecture

Le fichier candidats que vous auriez dû effacer il y a deux ans

Paie, évaluations, candidats recalés, arrêts maladie : vous manipulez les données les plus sensibles de l'entreprise. Souvent sans le cadre légal requis.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Le consultant RH manipule des données parmi les plus sensibles qui soient : santé, grossesse, appartenance syndicale, évaluations, rémunérations, et des montagnes de CV de candidats non retenus que personne ne pense à effacer.
Quand vous traitez ces données pour le compte d'une entreprise cliente, le RGPD vous qualifie de sous-traitant : un contrat écrit (article 28) est alors obligatoire, et son absence est une faute imputable autant à vous qu'à votre client.
Les deux angles morts du métier sont la durée de conservation — un vivier de candidats gardé indéfiniment est une infraction — et la sécurité concrète des fichiers : Excel de paie en pièce jointe, clé USB de CV, accès partagés mal cloisonnés.
Une violation de données (fuite, vol, rançongiciel) déclenche une obligation de notification à la CNIL sous 72 heures et un risque d'action des personnes concernées ; une garantie Cyber finance la gestion de crise, la défense et les conséquences pécuniaires, là où la RC Pro seule ne suffit pas.

Vous manipulez les données les plus sensibles de l'entreprise

Réfléchissez une minute à ce qui transite réellement par vos dossiers. En tant que consultant RH, vous touchez à des données qu'aucun autre prestataire ne voit avec autant de détail : bulletins de paie, niveaux de rémunération, évaluations annuelles, comptes rendus d'entretien, arrêts maladie, aménagements liés à un handicap, déclarations de grossesse, appartenance syndicale, parfois des éléments de la vie personnelle confiés en bilan de compétences.

Or le RGPD distingue les données ordinaires des catégories particulières — santé, opinions, appartenance syndicale, orientation — dont le traitement est en principe interdit, sauf exceptions encadrées. Le consultant RH se trouve, par nature, au contact permanent de ces données ultra-sensibles. Une fuite n'y a pas le même poids qu'un carnet d'adresses commercial : elle expose l'intimité, la santé et la carrière de personnes réelles.

À cela s'ajoute un volume que l'on sous-estime toujours : les candidatures. Chaque recrutement génère des dizaines, parfois des centaines de CV, lettres et comptes rendus d'entretien de personnes non retenues. Ces données-là continuent souvent de dormir dans des dossiers, des boîtes mail et des viviers, des années après la clôture du poste. C'est exactement là que se loge l'infraction la plus banale du métier.

Sous-traitant au sens du RGPD : un statut que beaucoup ignorent

Voici la notion qui structure toute votre conformité, et que beaucoup de cabinets découvrent trop tard. Quand vous traitez des données pour le compte d'une entreprise cliente — vous gérez son recrutement, vous traitez ses bulletins, vous menez son audit social — le RGPD vous qualifie de sous-traitant. L'entreprise, qui décide des finalités, est le responsable de traitement.

Ce statut n'est pas une formalité abstraite. L'article 28 du RGPD impose qu'un contrat écrit encadre la relation entre le responsable et son sous-traitant. Ce contrat (ou une clause dédiée dans votre convention de mission) doit notamment préciser :

la nature et la finalité du traitement, les catégories de données et de personnes concernées ;
votre obligation de n'agir que sur instruction du client ;
les mesures de sécurité que vous mettez en œuvre ;
le sort des données en fin de mission (restitution ou suppression) ;
les conditions de recours à un sous-traitant ultérieur (un cabinet de tests, un éditeur d'ATS…).

L'absence de ce contrat est une faute, et elle se partage : le client manque à son obligation d'encadrer ses sous-traitants, et vous manquez à la vôtre de formaliser le cadre. En cas de contrôle de la CNIL ou de fuite, ce document est la première pièce réclamée. Ne pas l'avoir, c'est commencer la crise avec un handicap.

Les deux angles morts : conservation et sécurité réelle

Au-delà du contrat, deux obligations concrètes piègent quotidiennement les consultants RH.

1. La durée de conservation. Le RGPD interdit de garder des données « pour toujours, au cas où ». Chaque donnée doit avoir une durée de conservation définie et justifiée. Pour les candidatures non retenues, la CNIL recommande de ne pas dépasser deux ans après le dernier contact — et encore, à condition d'avoir informé le candidat et de pouvoir justifier l'intérêt à conserver. Le vivier indéfini, le dossier de recrutement de 2019 jamais purgé, la base de CV revendue ou réutilisée sans base légale : autant d'infractions silencieuses qui se révèlent au pire moment.

2. La sécurité concrète des fichiers. La conformité ne se joue pas que sur le papier. Le RGPD exige des mesures techniques appropriées au regard de la sensibilité des données. Or les pratiques à risque sont partout dans le métier :

Pratique à risque	Ce que la sensibilité des données exige
Fichier Excel de paie en pièce jointe d'email	Chiffrement et canal sécurisé
CV et évaluations sur clé USB ou cloud perso	Stockage maîtrisé et chiffré
Mêmes accès partagés entre tous les consultants	Cloisonnement et droits par dossier
Mots de passe faibles, pas de double authentification	Authentification renforcée
Postes et sauvegardes non protégés	Antivirus, mises à jour, sauvegardes isolées

La donnée RH la plus dangereuse n'est pas celle qu'on vous vole : c'est celle que vous auriez dû effacer et que vous avez gardée. Le jour d'une fuite, l'ancienneté du fichier transforme un incident en faute caractérisée.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

72 heures : ce qui se passe le jour d'une violation

Imaginez le scénario le plus courant : un rançongiciel chiffre le serveur du cabinet, ou un consultant se fait dérober son ordinateur portable contenant les fichiers de paie et les viviers de candidats de plusieurs clients. Vous venez de subir une violation de données à caractère personnel. L'horloge réglementaire démarre.

Le RGPD impose, lorsque la violation présente un risque pour les personnes, de la notifier à la CNIL dans les 72 heures après en avoir pris connaissance. Si le risque est élevé — et il l'est presque toujours avec des données de santé ou de rémunération — vous devez aussi informer les personnes concernées : les salariés, les candidats dont les données ont fuité.

Au plan financier, l'enchaînement est brutal et se cumule :

La gestion de crise technique : intervention d'experts en sécurité, restauration des systèmes, analyse de l'étendue de la fuite, parfois rançon — un poste à part entière.
Les obligations légales : notification, information des personnes, accompagnement juridique pour cadrer vos déclarations.
Les actions des victimes : salariés et candidats peuvent demander réparation du préjudice subi, et le client peut se retourner contre vous en tant que sous-traitant défaillant.

C'est exactement le périmètre d'une garantie Cyber. Là où la RC Professionnelle couvre la faute commise dans votre conseil, l'assurance Cyber prend en charge la gestion d'une violation de données : frais techniques, accompagnement de la notification, défense et conséquences pécuniaires vis-à-vis des personnes concernées. Pour un métier qui manipule les données les plus sensibles de l'entreprise, c'est la couverture qui fait la différence le jour J.

Mettre votre cabinet en conformité sans usine à gaz

La conformité RGPD d'un consultant RH n'exige pas un département juridique : elle tient en quelques réflexes structurants, à formaliser une fois et à tenir dans la durée.

Cartographier vos traitements : tenez un registre simple recensant, par mission, les données traitées, leur finalité et leur durée de conservation. C'est obligatoire et c'est votre boussole.
Signer un cadre de sous-traitance avec chaque client : un contrat ou une clause article 28 qui définit vos obligations, la sécurité et le sort des données en fin de mission.
Fixer et appliquer des durées : purgez les candidatures non retenues (deux ans maximum après le dernier contact, sauf base légale plus longue), supprimez les dossiers clos, ne conservez aucun vivier « au cas où » sans information ni justification.
Sécuriser techniquement : chiffrement des fichiers sensibles, double authentification, cloisonnement des accès par dossier et par consultant, sauvegardes isolées, postes à jour.
Encadrer vos propres sous-traitants : éditeur d'ATS, prestataire de tests, hébergeur — vérifiez leurs garanties et tracez la chaîne.

Désignez un référent (un DPO ou, à défaut, un responsable interne identifié) chargé de tenir ce dispositif vivant et de piloter la réponse en cas d'incident. Ces mesures réduisent fortement la probabilité d'une violation et, le cas échéant, démontrent votre diligence devant la CNIL.

Pour le risque résiduel, complétez ce socle par une couverture adaptée. Le détail des garanties pour votre activité figure sur la fiche métier consultant RH ; une garantie Cyber en complément de la RC Pro protège votre cabinet là où la simple responsabilité civile s'arrête : la gestion d'une fuite de données.

Questions fréquentes

Suis-je vraiment « sous-traitant » au sens du RGPD ?

Oui, dès que vous traitez des données personnelles pour le compte d'une entreprise cliente — recrutement, paie, audit social. Le client est responsable de traitement, vous êtes sous-traitant. L'article 28 du RGPD impose alors un contrat écrit encadrant vos obligations, la sécurité et le sort des données. Son absence est une faute partagée entre vous et le client.

Combien de temps puis-je conserver les CV des candidats non retenus ?

La CNIL recommande de ne pas dépasser deux ans après le dernier contact, à condition d'avoir informé le candidat et de pouvoir justifier l'intérêt à conserver. Garder un vivier indéfiniment, réutiliser d'anciens CV sans base légale ou ne jamais purger les dossiers clos constitue une infraction fréquente et facilement constatable lors d'un contrôle.

Que dois-je faire en cas de fuite de données RH ?

Si la violation présente un risque pour les personnes, vous devez la notifier à la CNIL dans les 72 heures suivant sa découverte. Si le risque est élevé — ce qui est quasi systématique avec des données de paie ou de santé — vous devez aussi informer les salariés et candidats concernés. Une garantie Cyber finance la gestion technique, l'accompagnement de la notification et les conséquences vis-à-vis des victimes.

Ma RC Pro couvre-t-elle une violation de données ?

La RC Professionnelle couvre la faute commise dans votre prestation de conseil, mais la gestion d'une cyberattaque ou d'une fuite de données (expertise technique, restauration, notification CNIL, actions des personnes concernées) relève d'une garantie Cyber dédiée. Pour un consultant RH qui manipule des données sensibles, les deux couvertures sont complémentaires et également pertinentes.

Dois-je désigner un DPO pour mon cabinet RH ?

La désignation d'un délégué à la protection des données n'est obligatoire que dans certains cas, mais elle est fortement recommandée dès lors que le traitement de données sensibles est au cœur de votre activité — ce qui est le cas en RH. À défaut d'un DPO formel, identifiez un référent interne chargé de tenir le registre, le cadre de sous-traitance et la réponse aux incidents.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Consultant RH — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Consultant RH →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.