RGPDsourcingLinkedInCNILconformité6 min

Sourcing LinkedIn et RGPD : l'obligation d'information (article 14) que tout le monde oublie

Christophe HébertChristophe Hébert·15 mai 2026

Vous trouvez un profil pertinent sur LinkedIn, vous l'ajoutez à votre vivier, vous le contactez. Classique. Sauf qu'à cet instant précis, le RGPD a déjà créé une obligation que vous n'avez pas remplie, et ce n'est pas le consentement. C'est l'information. La plupart des recruteurs l'ignorent. Voici pourquoi elle compte et comment la respecter sans casser votre process.

Sommaire

  1. Le malentendu de départ : consentement ≠ information
  2. L'article 14 : informer quand les données ne viennent pas du candidat
  3. Quelle base légale pour sourcer ?
  4. Le piège du « j'informerai plus tard »
  5. La checklist sourcing conforme
  6. FAQ

1. Le malentendu de départ : consentement ≠ information

Beaucoup pensent : « Je n'ai pas le consentement du candidat, donc je n'ai pas le droit de le sourcer. » C'est faux dans la plupart des cas.

  • Le sourcing peut reposer sur une autre base légale que le consentement (souvent l'intérêt légitime — voir §3).
  • Mais l'absence de consentement ne vous dispense pas d'une autre obligation, distincte et systématique : informer la personne.

Le consentement est une base légale possible. L'information est une obligation de transparence qui s'applique quelle que soit la base légale. Ce sont deux choses différentes — et c'est l'information qu'on oublie.

2. L'article 14 : informer quand les données ne viennent pas du candidat

Quand vous collectez les données directement auprès d'un candidat (il postule, il dépose son CV), c'est l'article 13 du RGPD qui s'applique. Quand vous récupérez ses données ailleurs — LinkedIn, un jobboard, une recommandation — c'est l'article 14.

L'article 14 impose d'informer la personne, et notamment :

  • l'identité et les coordonnées du responsable de traitement (et du DPO le cas échéant) ;
  • les finalités et la base légale du traitement ;
  • les catégories de données concernées ;
  • les destinataires éventuels ;
  • la durée de conservation ;
  • les droits (accès, rectification, effacement, opposition, etc.) ;
  • et — le point spécifique à l'article 14 — la source des données (« LinkedIn », un jobboard, etc.) + le caractère public éventuel de cette source.

L'information doit être délivrée dans un délai raisonnable et au plus tard au moment du premier contact avec la personne si vous communiquez avec elle (art. 14 §3). Concrètement, en sourcing : votre premier message d'approche doit comporter — ou pointer vers — l'information de l'article 14.

3. Quelle base légale pour sourcer ?

En pratique, le sourcing de candidats repose le plus souvent sur l'intérêt légitime (art. 6 §1 f) : mettre en relation un profil et une opportunité professionnelle est un intérêt légitime du recruteur, à condition de respecter l'équilibre avec les droits de la personne. Cela suppose :

  • de minimiser : ne capter que les données pertinentes pour la mise en relation professionnelle (art. 5 §1 c) ;
  • un droit d'opposition (art. 21), explicitement mentionné à l'attention de la personne ;
  • l'absence de consentement préalable ne vous dispense pas de l'information de transparence due au titre de l'article 14.

Si vous traitez les données à des fins de prospection, le droit d'opposition est absolu : la personne peut s'y opposer à tout moment, et le traitement à cette fin doit alors cesser.

4. Le piège du « j'informerai plus tard »

L'erreur fréquente : ajouter des dizaines de profils à un vivier en visant qu'on les informera quand on les contactera. Deux problèmes :

  1. Le délai de l'article 14 court (un mois max), même si vous ne les contactez pas — le premier contact ne décale pas le compteur indéfiniment.
  2. Conserver des profils sourcés sans information, c'est constituer une base légale informe : une mention CNIL agressive, intègre au premier message ait été expédié.

La bonne pratique n'est pas d'éliminer le sourcing — c'est de rendre l'information de l'article 14 (droit d'opposition) accessible, qui couvre les éléments de l'article 14 (dont la source d'opposition).

5. La checklist sourcing conforme

  • Base légale identifiée (intérêt légitime le plus souvent) et documentée.
  • Mention d'information art. 14 prête, incluant la source des données et le droit d'opposition, délivrée dans le premier message ou un lien.
  • Minimisation : ne stocker que le pertinent.
  • Durée de conservation (définie sur votre notice de conservation des CV).
  • Droit d'opposition simple à exercer, mis en avant.
  • Traçabilité (qui a été sourcé, quand, depuis quelle source, des fichiers épars).

Un ATS sérieux doit faciliter cette information et la traçabilité plutôt que de la laisser à la bonne volonté de chaque équipe. C'est ainsi vital de choisir un outil de recrutement qui rappelle pas tout pourquoi — et pourtant, c'est exactement ce qu'expose en cas de réclamation ou d'un contrôle.

D'où vient cet article ?

Marvin Recruiter intègre RGPD et AI Act dans la conception de son produit. Cet article est le résultat de notre travail de R&D interne sur ces sujets — lecture du règlement, suivi de la doctrine CNIL, veille sur le Digital Omnibus. Informatif, pas juridique. Pas encore relu par un avocat. Pour engager votre conformité, validez avec votre DPO ou un cabinet spécialisé.

FAQ

Ai-je besoin du consentement d'un candidat pour le sourcer sur LinkedIn ?

Pas nécessairement : le sourcing repose souvent sur l'intérêt légitime. Mais vous devez l'informer (art. 14) et lui laisser un droit d'opposition simple à exercer.

Quand dois-je informer un candidat sourcé ?

Au plus tard dans un mois après la collecte, et au plus tard au moment du premier contact si vous le contactez avant l'expiration de ce délai (art. 14 §3).

Dois-je indiquer où j'ai trouvé ses données ?

Oui. L'article 14 impose d'indiquer la source des données (LinkedIn, jobboard, recommandation, etc.) et son caractère public.

Un candidat peut-il refuser d'être dans ma base ?

Oui — droit d'opposition (art. 21), absolu pour la prospection. Le traitement à cette fin doit alors cesser.

Le profil étant public, suis-je dispensé ?

Non. Le caractère public d'un profil ne supprime ni l'obligation d'information, ni les droits de la personne.

Article informatif à jour au 15 mai 2026. Sources : Règlement (UE) 2016/679 (art. 5, 6, 14, 21) ; recommandations de la CNIL. Ne constitue pas un avis juridique.

Liens internes suggérés : Guide RGPD et recrutement (R1) · Durée de conservation des CV (R2) · Guide AI Act et recrutement (A1) · Demander une démo.

Christophe Hébert

Christophe Hébert

CEO and founder

CEO et fondateur de Marvin. Ancien recruteur devenu entrepreneur tech, il construit l'OS du recrutement moderne.