Vous recrutez vite, vous recrutez bien — et vous gérez beaucoup de CV qui voyagent partout. Problème : plus ça circule, plus ça fuit. Bonne nouvelle : protéger les données n’impose pas de lourdeur. Avec quelques règles simples (collecter moins, stocker mieux, supprimer à temps), on gagne en clarté et en vitesse. On vous montre comment faire, à l’ivoirienne : efficace, carré, sans paperasse de trop.
Action Plan — 4 étapes concrètes (sans jargon inutile)
1) Cartographier le parcours et couper la collecte au strict utile
But : savoir où entrent les CV, où ils dorment, qui les consulte, quand on les supprime. Faites un mini-atelier d’une heure avec un recruteur, un manager et la personne “outils”. Six questions suffisent :
- Quelles portes d’entrée (formulaire, e-mail, LinkedIn, cooptation, WhatsApp) ?
- Quel coffre-fort officiel (ATS ou drive d’entreprise) ?
- Où sont les copies parasites (Excel exportés, PJd mail, captures) ?
- Quelles données inutiles demandées trop tôt (CNI, fiches perso, salaire exact) ?
- Quel standard d’évaluation (scorecard simple, critères observables) ?
- Quand passe-t-on le balai (suppression) ?
Traduction des grands principes en français courant :
- Finalité = ne prendre que ce qui sert à décider sur la candidature.
- Minimisation = au début, CV + compétences suffisent ; le reste attend.
- Transparence = dire au candidat comment vous traitez ses infos.
Livrable : 1 page “Parcours des données candidats”, 10 règles d’équipe (stockage, partage, versions, interdits) et un modèle de scorecard.
Notre conseil : au premier contact, n’exigez aucune pièce sensible. Gardez “compétences, expériences, localisation, disponibilité”. Le reste viendra après pré-qualification.
2) Informer clairement et organiser les droits des candidats
But : un processus compréhensible pour le candidat et traçable pour vous. Préparez une notice en 10 lignes (collée à votre formulaire ou envoyée au premier mail) qui dit :
- Pourquoi vous collectez (évaluer l’adéquation au poste).
- Qui y accède (RH + managers concernés uniquement).
- Quelles catégories (CV, échanges, évaluations ; références si vous les faites).
- Combien de temps vous gardez (ex. 18 mois ou 24 mois pour le vivier avec accord séparé).
- Comment exercer ses droits (adresse dédiée, délai de réponse).
Deux bonnes pratiques rapides :
- Distinguer candidature et inscription au vivier (opt-in simple, retirable d’un clic).
- Conserver la preuve de l’information donnée (date, version, message type).
À essayer : une réponse standard “droits candidats” (modèle d’accusé + délai + clôture). C’est pro, rassurant et ça prend 5 minutes.
3) Sécuriser les accès et encadrer vos prestataires
But : limiter l’exposition.
- Accès par rôle : recruteur (lecture/écriture), manager (lecture + feedback), DAF (lecture package), IT (admin sans contenu si possible).
- Hygiène : comptes nominatifs, double authentification, couper les accès le jour du départ.
- Canaux : pas de CV sur téléphones perso ; WhatsApp = logistique uniquement (convocations, pas de stockage).
- Partage : liens expirants, droits limités, nettoyage des anciennes versions.
- IA : pas de copier-coller de CV dans des assistants non validés ; pas de données sensibles dans des outils publics.
Côté sous-traitants (ATS, tests, hébergeur, cabinet), appliquez la règle :
“Si tu traites nos données, montre tes garanties.”
Demandez des clauses minimales : sécurité, confidentialité, suppression en fin de contrat, notification d’incident. Cela coûte moins cher que réparer une fuite plus tard.
Notre conseil : faites une liste blanche des outils autorisés (et une liste rouge). Tout le monde gagne du temps.
4) Fixer la durée, purger régulièrement, préparer l’incident
But : éviter le stockage éternel et savoir quoi faire le jour J.
- Durées : par défaut 18 mois après refus ; 24 mois pour le vivier (avec accord), puis anonymisation.
- Purge : un “jour de purge” mensuel (ou automatique via l’ATS) + suppression des exports et doublons.
- Qualité de notes : pas de mentions sensibles (santé, religion, vie privée). Faits observables liés au poste, point.
- Audit léger : chaque trimestre, contrôlez 10 dossiers au hasard (accès, versions, pièces inutiles).
- Incident : mini-playbook clair (qui alerte, qui coupe les accès, qui informe la direction et le prestataire, où récupérer les preuves). Désignez un point focal et un suppléant, même sans créer un poste dédié.
À essayer : un rappel automatique “suppression vivier” à 24 mois + 1 e-mail au candidat pour renouveler son accord s’il le souhaite.
Checklist (à valider en comité de recrutement)
- Un point d’entrée officiel pour les candidatures.
- Un seul lieu de stockage (ATS/drive d’entreprise).
- Scorecard unique + notes sobres (faits, pas d’intime).
- Accès par rôle + liens expirants pour les short-lists.
- Notice candidat + adresse “droits” + preuve d’envoi.
- Zéro CV sur téléphone perso ; WhatsApp = logistique.
- Durées de conservation écrites + purge mensuelle.
- Clauses prestataires : sécurité, suppression, incident.
La conformité n’est pas un frein : c’est un accélérateur dès qu’elle élimine le désordre (copies qui traînent, versions multiples, canaux sauvages). En 30 jours, vous pouvez sécuriser l’essentiel, rassurer les profils seniors et fluidifier votre recrutement — sans perdre le tempo business.
Vous voulez un pack clé en main (notice candidat, modèles de short-list/feedback, matrice d’accès, clauses prestataires, routine de purge) adapté Côte d’Ivoire & Afrique de l’Ouest ? On peut le déployer rapidement, sans rallonger votre time-to-hire.
Sources
- Supplementary Act on Personal Data Protection within ECOWAS (A/SA.1/01/10) — ECOWAS Commission — Statewatch (héberge le texte)
- Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel (référencée dans décisions ARTCI) — ARTCI — ARTCI
- Comprendre la protection des données personnelles en Côte d’Ivoire — African Legal Factory — African Legal Factory
- Cost of a Data Breach Report 2024 — IBM Security — IBM
