RGPD et agences d'intérim : guide pratique 2025
Les agences d'intérim traitent quotidiennement des milliers de données personnelles de candidats : coordonnées, compétences, historique de missions, numéros de sécurité sociale. Le RGPD s'applique pleinement à ces traitements. Voici ce que vous devez savoir — et faire — pour être en conformité.
Note : Ce guide a été rédigé à titre informatif. Il ne constitue pas un avis juridique. Pour votre mise en conformité RGPD, consultez un avocat spécialisé ou votre DPO.
Quelles données candidats sont concernées par le RGPD ?
En tant qu'agence d'intérim, vous collectez et traitez de nombreuses catégories de données personnelles sur vos candidats. Toutes sont soumises au RGPD, certaines avec des exigences renforcées.
Données d'identification
Standard- • Nom, prénom
- • Date de naissance
- • Adresse postale
- • Numéro de téléphone
- • Adresse email
Données professionnelles
Standard- • CV et expériences
- • Compétences et certifications
- • Diplômes
- • Historique des missions
- • Évaluations employeurs
Données sensibles
Renforcé- • Numéro de sécurité sociale (NIR)
- • Données de santé (arrêts maladie, inaptitude)
- • Situation de handicap
- • Nationalité et titre de séjour
Consentement SMS : les obligations concrètes
Le SMS est le canal de communication le plus efficace pour contacter vos candidats, mais son utilisation est strictement encadrée par le RGPD et la directive ePrivacy. Voici les obligations que vous devez respecter.
- Case à cocher non pré-cochée lors de l'inscription du candidat
- Texte clair : « J'accepte d'être contacté par SMS pour des propositions de mission intérim par [Nom de l'agence] »
- Mention du droit de retrait à tout moment (répondre STOP)
- Horodatage du consentement conservé comme preuve
- Mention STOP dans chaque SMS envoyé
- Traitement immédiat et automatique des demandes de désinscription
- Aucun SMS suite à un opt-out, sous peine de sanction CNIL
Sanction potentielle : L'envoi de SMS sans consentement explicite est passible d'une amende CNIL pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. En 2023, plusieurs entreprises ont été sanctionnées pour des pratiques SMS non conformes.
Durée de conservation des données candidats
Le RGPD impose de ne pas conserver les données plus longtemps que nécessaire. Pour les agences d'intérim, les durées recommandées par la CNIL sont les suivantes :
| Type de données | Durée recommandée | Point de départ |
|---|---|---|
| Dossier candidat (vivier) | 2 ans | Dernier contact avec le candidat |
| Contrats de mission | 5 ans | Fin de la relation contractuelle |
| Bulletins de paie | 5 ans | Date d'émission |
| NIR (Numéro SS) | 5 ans | Fin de contrat |
| Consentement SMS | 3 ans | Recueil du consentement |
| Logs de connexion | 12 mois | Date de connexion |
| Logs décisions IA (EU AI Act) | 6 mois minimum | Date de la décision |
Pour maintenir votre vivier actif au-delà de 2 ans, envoyez une relance annuelle à vos candidats pour confirmer leur intérêt et renouveler leur consentement. Un candidat qui confirme son intérêt repart sur une nouvelle période de 2 ans.
Droits des candidats : ce que vous devez respecter
Chaque candidat dispose de droits sur ses données personnelles. Vous devez être en mesure de répondre à ces demandes dans un délai d'un mois maximum.
Droit d'accès
Le candidat peut demander à consulter toutes les données que vous détenez sur lui. Vous devez lui fournir une copie complète.
Droit de rectification
Il peut corriger des informations inexactes (ex : adresse, compétences mal saisies). Vous devez effectuer la correction.
Droit à l'effacement
Il peut demander la suppression de ses données. Vous devez supprimer (ou anonymiser) ses informations sauf obligation légale contraire.
Droit à la portabilité
Il peut demander ses données dans un format réutilisable (CSV, JSON). Applicable aux données qu'il a lui-même fournies.
Droit d'opposition
Il peut s'opposer au traitement de ses données à des fins de prospection ou de profilage, sans avoir à se justifier.
Droit à l'explication (EU AI Act)
Dans le cadre d'une décision IA, il peut demander une explication sur les critères ayant conduit à sa non-sélection.
Registre des traitements : obligatoire pour toutes les agences
Depuis le 25 mai 2018, toutes les organisations traitant des données personnelles doivent tenir un registre des activités de traitement. Ce document recense tous vos traitements de données, les finalités, les destinataires et les durées de conservation.
Pour une agence d'intérim, le registre doit notamment inclure :
- Gestion du vivier candidats (collecte, enrichissement, matching)
- Envoi de SMS et emails de proposition de mission
- Établissement des contrats de travail temporaire
- Gestion de la paie et des bulletins de salaire
- Facturation clients
- Traçabilité des décisions IA (si vous utilisez un outil de matching)
- Gestion des demandes d'exercice de droits RGPD
EU AI Act : les nouvelles obligations pour le matching IA
L'EU AI Act, applicable à partir d'août 2026, ajoute une couche d'obligations pour les agences qui utilisent des outils de matching IA. Les systèmes d'IA utilisés pour des décisions d'emploi sont classés à haut risque, ce qui implique :
- Information des candidats sur l'utilisation de l'IA dans le processus de sélection
- Supervision humaine obligatoire pour toute décision IA affectant un candidat
- Conservation des logs de décision IA pendant 6 mois minimum
- Tests réguliers pour détecter des biais algorithmiques
- Documentation technique du système IA utilisé
Checklist RGPD pratique pour votre agence
Voici les actions concrètes à mettre en place si ce n'est pas encore fait :
Créer ou mettre à jour votre registre des traitements
Ajouter une case à cocher consentement SMS non pré-cochée sur vos formulaires d'inscription candidat
Mettre en place un système de gestion des opt-out SMS automatisé
Rédiger ou mettre à jour votre politique de confidentialité (accessible sur votre site)
Définir des durées de conservation et configurer des purges automatiques
Former vos consultants aux droits des candidats (accès, rectification, suppression)
Vérifier que vos sous-traitants (logiciel de gestion, plateforme SMS) ont signé un DPA
Héberger les données candidats en Europe (EU uniquement)
Documenter l'utilisation de l'IA dans votre processus de sélection
Questions fréquentes
Combien de temps peut-on garder les données d'un candidat intérim ?
La CNIL recommande 2 ans à compter du dernier contact. Une relance annuelle pour confirmer l'intérêt du candidat permet de renouveler cette durée. Les contrats de mission et bulletins de paie doivent être conservés 5 ans pour des raisons légales.
Le consentement SMS est-il obligatoire ?
Oui, sans exception. Le RGPD et la directive ePrivacy imposent un consentement explicite, non pré-coché, horodaté et tracé. Tout SMS envoyé sans ce consentement est illégal et expose à des sanctions CNIL.
Faut-il un DPO pour une petite agence d'intérim ?
La désignation d'un DPO n'est pas obligatoire pour toutes les agences. Pour les petites structures, un référent RGPD interne suffit, mais il est indispensable de tenir un registre des traitements et de mettre en place les mesures techniques requises (consentement, purge, sécurité).
SmartInterim, conforme RGPD et EU AI Act
Consentement SMS intégré, hébergement EU, logs IA automatiques, purge programmable. Essai gratuit 30 jours.
Démarrer gratuitement