Outils

Free Recruitment GDPR Audit | Check Your Compliance

Evaluate your recruitment GDPR compliance in 5 minutes. Score, recommendations and personalized action plan.

8 min de lecture
Mis à jour le 11 mars 2026

Sommaire

67%
Companies non-compliant with GDPR in recruitment
20M€
Maximum CNIL fine
24 months
Max CV retention period
25
Audit questions

Verify GDPR compliance of your recruitments

67% of companies don't respect GDPR in recruitment processes. Fines can reach 20 million euros or 4% of turnover. Our free audit evaluates your practices on 25 control points and provides concrete action plan to achieve compliance.

Score en temps réel0/20 points évalués
0/
Collecte des données

1.Vous collectez uniquement les données strictement nécessaires au recrutement

2.Vous informez les candidats de l'utilisation de leurs données (mention RGPD dans l'offre ou formulaire)

3.Vous recueillez le consentement explicite des candidats pour le traitement de leurs données

4.Vous avez un formulaire de candidature conforme (pas de champs discriminants : âge, situation familiale, photo obligatoire)

Stockage et sécurité

1.Les CV et données candidats sont stockés dans un système sécurisé (pas en vrac dans des emails)

2.L'accès aux données des candidats est restreint aux personnes habilitées

3.Vous avez défini une durée de conservation des candidatures (max 2 ans recommandé)

4.Vous supprimez effectivement les données à l'expiration de la durée de conservation

Droits des candidats

1.Les candidats peuvent facilement accéder à leurs données (droit d'accès)

2.Les candidats peuvent demander la modification de leurs données (droit de rectification)

3.Les candidats peuvent demander la suppression de leurs données (droit à l'oubli)

4.Vous répondez aux demandes des candidats dans un délai de 30 jours

Transparence et communication

1.Votre politique de confidentialité mentionne spécifiquement le traitement des données de recrutement

2.Vous informez les candidats non retenus du devenir de leurs données

3.En cas de vivier/CVthèque, les candidats sont informés et ont consenti

4.Vous informez les candidats en cas de partage de leur dossier avec un tiers (manager, client)

Outils et processus

1.Votre ATS/outil de recrutement est conforme RGPD (hébergement EU, DPA signé)

2.Si vous utilisez l'IA pour le screening, les candidats en sont informés

3.Vous tenez un registre des traitements incluant le recrutement

4.Vous avez désigné un DPO ou un référent RGPD dans votre organisation

Répondez aux 20 questions restantes pour obtenir votre score

How does the GDPR audit work?

  1. 1

    Answer 25 questions

    Simple questions on current practices: CV collection, data storage, retention duration, candidate consent.

  2. 2

    Get your compliance score

    Overall score out of 100 with detail by category: collection, processing, retention, candidate rights, security.

  3. 3

    Follow action plan

    Recommendations prioritized by risk level. Immediate, short-term and medium-term actions to achieve compliance.

The 5 GDPR pillars of recruitment

Essential control points

  • Legal basis for processing

    Legitimate interest or explicit consent for each collected data type

  • Candidate information

    GDPR notice in job ads, accessible privacy policy

  • Data minimization

    Collect only data strictly necessary for candidate assessment

  • Limited retention duration

    Maximum 24 months after last contact, with automatic purge

  • Candidate rights

    Access, rectification, deletion, portability: documented and operational processes

0/5 effectué(s)0%

Most common GDPR errors

Retaining CVs without duration limit, requesting irrelevant information (family status, mandatory photo, birth date), not informing candidates of their rights, sharing CVs between recruiters without legal basis. Each can trigger CNIL sanction.
How long can I retain candidate CVs?
CNIL recommends maximum 24 months after last candidate contact. Beyond that, data must be deleted or anonymized, unless candidate renewed consent. For unsolicited applications, period starts from CV receipt. You must inform candidate of retention duration.
Do I need candidate consent to process their CV?
Not necessarily. When candidate applies to job posting, legal basis is company's legitimate interest (evaluate received applications). However, building candidate pool beyond current process requires explicit consent. Unsolicited applications also need consent for retention.
What data can I legally request in recruitment?
Only data necessary for competency and job fit assessment: identity, contact details, professional background, training, skills. Forbidden: family status, origin, political/religious opinions, health (except job aptitude), social security number (before hiring), mandatory photos.
Is my ATS GDPR compliant?
Not automatically. Check that your ATS enables automatic data purge, candidate rights exercise (access, deletion), data encryption, EU hosting and access traceability. Ask supplier for processing record and DPA. Aurelia is designed GDPR-compliant from first use.
What are the risks of GDPR non-compliance?
CNIL sanctions can reach 20 million euros or 4% of global turnover. In practice, SMEs first receive compliance notice then proportional fines (10,000-500,000 euros). Beyond fines, reputational risk is significant: public CNIL sanction can durably damage your employer brand.

Recruit in full compliance with Aurelia

Aurelia integrates GDPR compliance by design: automatic purge, consent, candidate rights and 100% European hosting.

Schedule a demoSee complete GDPR guide

Pour aller plus loin

All free HR tools

GDPR Glossary

HR compliance guide

Retour aux Outils