logo principal Profilr
ProduitTarifsFAQBlog
Sourcing
RGPD
11/12/2025

Sourcing, IA et RGPD : ce que la loi autorise vraiment

N'attendez plus et réservez une démo !
Je veux une démo !
Partager

Disclaimer

Je suis le CEO de Profilr, une plateforme de sourcing de talents reposant sur l’open web et l’intelligence artificielle.

Ce rôle implique un intérêt direct pour ces sujets, mais aussi une exigence de rigueur accrue : nos services doivent atteindre un niveau irréprochable en matière de sécurité, de conformité et de transparence. Avant de lancer Profilr, j’ai donc étudié en détail les cadres juridiques applicables, notamment ceux du RGPD et de la CNIL.

Par souci de clarté, j’indique explicitement ma position : le présent article ne vise ni à promouvoir un service ni à influencer un débat au bénéfice d’un acteur particulier. Il s’appuie uniquement sur des faits vérifiables, des textes juridiques et les lignes directrices des autorités compétentes.

Les explications fournies ici dépassent le cadre de Profilr : elles concernent l’ensemble des outils et pratiques du marché du sourcing et de l’IA appliquée au recrutement.

Cet article ne couvre pas tous les cas d’application du RGPD dans le recrutement ni l’ensemble des usages de l’IA dans le processus RH : il se concentre exclusivement sur le sourcing open‑web et ses implications juridiques.

Introduction

L’univers du sourcing vit une transformation profonde. Propulsée par l’essor fulgurant de l’IA générative et par l’explosion des données professionnelles disponibles sur l’open-web, la discipline du sourcing fait face à un renversement de paradigme. Pendant longtemps, l’enjeu était d’accéder à la donnée : retrouver les organigrammes, identifier les interlocuteurs, reconstituer les informations manquantes. Aujourd’hui, la donnée est partout, publique, non structurée, semi-structurée, éparpillée dans d’innombrables espaces numériques.

Le défi n’est plus de la trouver, mais de la comprendre.

Dans ce contexte, l’IA devient un allié redoutablement efficace. Capable d’ingérer des volumes massifs, d’extraire des signaux faibles et de recomposer des profils à partir d’informations publiques, elle bouleverse les méthodes traditionnelles. Et avec cette transition, les inquiétudes et les idées reçues se multiplient : l’IA va-t-elle remplacer les sourceurs ? Les outils enfreignent-ils le RGPD ? L’accès à des données publiques est-il conforme ?

Ce climat d’incertitude nourrit des débats confus. Dont on se demande parfois s'ils ne sont pas orientés.

Cet article vise à poser des repères factuels, basés sur le droit, et non sur la peur ou l’interprétation.

Rien de sorcier, juste les règles de droits. Cela permettra aux professionnels du recrutement de revoir leur copie sur le RPGD et de comprendre qu'ils peuvent saisir les innovations sur le secteur sans risques de conformité.

1. Première confusion : « la donnée appartient à LinkedIn »

L’idée circule partout : LinkedIn « posséderait » les données professionnelles de ses utilisateurs. D'abord Linkedin est très loin de couvrir l'ensemble des données professionnelles, même si la plateforme reste un acteur de référence (qu'on apprécie, par ailleurs). Ensuite, c’est juridiquement inexact. En Europe, une donnée personnelle n’appartient ni à une entreprise ni à une plateforme. Elle appartient à la personne concernée : principe fondamental du RGPD.

LinkedIn détient la propriété intellectuelle sur son interface, sa structure interne, son graph social, mais pas :

- le nom d’une personne,

- son poste,

- son entreprise,

- son parcours professionnel,

- les informations qu’elle publie volontairement.

Ces éléments sont des faits biographiques et ces faits ne sont pas protégeables par le droit d’auteur.

Les données publiques restent donc publiques : quelles que soient les CGU d’une plateforme.

Le respect du RGPD n’empêche pas l’existence de risques contractuels liés aux CGU de certaines plateformes : ces risques sont distincts du cadre légal et relèvent de la relation commerciale entre un utilisateur et un service, non de la licéité du traitement au sens du RGPD.

Votre parcours professionnel n'appartient donc qu'à vous et vous seul.

Vous pouvez demander à ce qu'il soit retiré ou mis en avant au sein de n'importe quelle plateforme.

Beaucoup de discours publics sur le sujet reposent sur des interprétations erronées du droit, ou s’appuient sur des positions influencées (volontairement ou non) par les modèles économiques des plateformes historiques. Il est donc essentiel de distinguer le cadre juridique réel des enjeux commerciaux du marché.

2. Deuxième confusion : « un outil de sourcing utilise la base LinkedIn »

Votre parcours professionnel est un fait biographique, il n'est pas protégeable par le droit d'auteur ou par un copywright. Utiliser ces faits biographiques est donc possible.

Les outils modernes d’open-web sourcing n’accèdent pas à la base privée de LinkedIn de l'intérieur, ce qui serait illégal et enfreindrait leur CGU. C'est d'ailleurs technologiquement impossible à faire sans accès API, et ces accès sont réservés aux partenaires officiels de Linkedin, et dans ce cas l'accord commercial le rend légal.

Les outils modernes exploitent trois types de données distincts, tous licites :

Données publiques indexées par Google/Bing

Profils visibles sans connexion. Le RGPD les classe comme « manifestement rendues publiques ».

Données fournies directement par l’utilisateur

Imports PDF, notes internes, profils ajoutés manuellement dans un CRM.

Données open-web externes

GitHub, Dribbble, portfolios, sites personnels, CV publics, publications.

Aucun de ces cas ne constitue un accès à la base privée LinkedIn. Ce sont des sources indépendantes, publiques ou directes.

3. Le vrai juge de paix : le RGPD

Accéder à la donnée est donc possible et légal. Mais elle n'est pas libre de droit, elle est détenue par l'individu concerné par les faits biographiques.

Donc pour déterminer si un outil est conforme, il faut s’appuyer sur la loi : pas sur les conditions d’utilisation d’un site ni sur les opinions qui circulent.

Le RGPD est le seul texte pertinent. Et l’un des points les plus mal compris est celui du consentement.

Le consentement : l’idée reçue la plus répandue… et la plus fausse

Beaucoup affirment que traiter des données sans consentement serait contraire au RGPD. C’est incorrect. Le consentement n’est qu’une base légale parmi six, et il est déconseillé dans le cadre de la collecte indirecte de données publiques (le sourcing).

La CNIL l’écrit très clairement dans son guide du recrutement : dans le cadre d’une collecte indirecte : c’est-à-dire lorsque les données ne sont pas fournies directement par la personne mais consultées en ligne : le consentement n’est pas la base légale adaptée.(source: CNIL – “Guide recrutement” (fiches pratiques, notamment fiche n°14))

D’une part, le consentement est difficilement applicable en amont, car il est par nature impossible de solliciter une personne dont on n’a pas encore les coordonnées. D’autre part, la CNIL rappelle que dans ces situations, l’employeur ou le recruteur peut tout à fait s’appuyer sur une autre base légale, parfaitement prévue par le RGPD : l’intérêt légitime, sous réserve de respecter les principes de transparence, de proportionnalité et d’information prévus par l’article 14.

Passage très utile à citer, page 76 à 78 :

« La consultation de données publiquement accessibles par le recruteur ne peut avoir pour finalité que d'apprécier la capacité du candidat à occuper l’emploi proposé ou ses aptitudes professionnelles. »

Et surtout :

« Lorsque les données relatives au candidat sont obtenues de manière indirecte, l’information peut être effectuée ultérieurement, et il n’est pas nécessaire de recueillir son consentement préalable. »

👉 Source officielle : Guide du recrutement de la CNIL

Ce n’est donc pas l’« impossibilité technique » de recueillir le consentement qui autorise un autre fondement, mais bien le cadre normal du recrutement tel que défini par le RGPD et confirmé par la CNIL : la collecte indirecte à des fins professionnelles repose sur l’intérêt légitime, accompagnée d’une information appropriée et d’un droit d’opposition effectif. (source: CNIL – “Guide recrutement” Fiche 4 (pour les bases légales)).

La base légale réellement utilisée : l’intérêt légitime (art. 6.1.f)

(source : Art. 6,1 RGPD)

Comme pour tout traitement fondé sur l’intérêt légitime, un outil ou un recruteur doit documenter un test de mise en balance (LIA) démontrant que l’usage des données est proportionné, attendu et respectueux des droits des personnes.

Ainsi l'intérêt légitime devient la base légale de :

- l’ensemble du marché du recrutement,

- les ATS,

- les jobboards,

- les cabinets,

- les outils de sourcing,

- et même de LinkedIn lorsqu’il recommande des profils.

La collecte indirecte prévue par l’article 14

(source : Art. 14 RGPD)

Lorsque la donnée ne vient pas directement de la personne, le RGPD impose :

- l’information,

- la transparence,

- le droit d’opposition.

Mais pas le consentement préalable.

Les données « manifestement rendues publiques »

Le RGPD reconnaît explicitement que les données publiques volontairement diffusées peuvent être réutilisées dans un cadre légitime. Tant que les obligations prévues par le RGPD sont respectées.

Comme pour tout traitement de collecte indirecte, l’usage des données doit rester compatible avec la finalité initiale de mise à disposition publique, conformément au principe de limitation des finalités prévu par le RGPD.

« Selon l’EDPB (Guidelines 1/2024), lorsque des données sont librement et volontairement rendues publiques par les personnes concernées, cet élément influence leurs attentes raisonnables quant à leur réutilisation. Cette circonstance peut ainsi être prise en compte dans l’analyse de l’intérêt légitime. »

👉 Source officielle : EDPB – Guidelines 1/2024 on Article 6(1)(f) legitimate interest

4. Ce que doit faire un outil sérieux pour être conforme

Le consentement n'est donc pas la base légale retenu dans la majorité des cas, et contrairement à l'idée reçu il n'est pas obligatoire pour être conforme au RGPD surtout dans la collecte indirecte.

La conformité repose sur des obligations simples et documentées :

- utiliser une base légale solide :“l’intérêt légitime”

- informer les personnes (art. 14),

- permettre l’opposition,

- limiter la collecte aux données pertinentes,

- sécuriser les informations,

- construire et documenter des registres de traitement,

- structurer ses données dans un format unique et propriétaire,

- encadrer les fournisseurs via DPA.

Ce sont ces éléments qui distinguent un outil conforme d’un outil borderline.

5. Obligations concrètes : ce que la conformité RGPD exige réellement

En pratique, la conformité au RGPD dans le sourcing open‑web repose sur trois obligations simples et clairement définies :

  1. Informer les personnes (article 14) : via une politique de confidentialité accessible, ou lors du premier contact lorsque les informations sont enregistrées dans un vivier.
  2. Gérer le droit d’opposition : offrir un canal simple pour que toute personne puisse demander la suppression ou la limitation de l’usage de ses données.
  3. Tenir un registre des traitements : documenter les finalités, bases légales, sources des données et mesures de sécurité.

Ces trois piliers constituent le socle de la conformité pour tout outil ou acteur utilisant des données professionnelles accessibles publiquement.

A noter : pour les outils de sourcing modernes, l'information se fait majoritairement via les politiques de confidentialité, car ils sont sous-traitant (au sens des RGPD) et traitent de la donnée publique. Le responsable du traitement (leur client) une fois qu'il enregistre des profils (au sein de la plateforme ou dans ses applications tierces) à lui, la responsabilité d'informer ses personnes dans un délai raisonnable et de respecter les mêmes obligations légales.

6. Pourquoi autant de confusion dans le marché RH

Je suis navré que ce sujet soit aussi mal traité par les prises de paroles publiques. Qu'elles laissent tant place à l'interprétation et à des discours d'opinions qui cultivent l'incertitude et desservent l'innovation.

Le paysage RH est en tension :

- confusion entre CGU et loi européenne,

- peur de la disparition du métier,

- méconnaissance du RGPD,

- dépendance historique à LinkedIn,

- intérêts commerciaux alignés avec Linkedin,

- montée rapide de l’IA,

- discours anxiogènes circulant sans vérification.

Le débat est émotionnel avant d’être juridique. Pourtant, le cadre légal est clair.

Nous faisons beaucoup d'éducation face à notre clientèle. Mais si les acteurs du recrutement et de l'influence RH européen, au sens large,  répandent des opinions et non des faits, ce travail ne fait malheureusement que débuter.

Je ne jette pas la pierre. Mais masquer ses intérêt commerciaux pour défendre une position, ou ne pas se renseigner avant de prendre une position aussi forte que "Ces outils sont illégaux" relèvent à minima de la faute professionnelle, au pire d'une intention claire de nuire à tout l'écosystème.

Ce sujet mérite donc une clarification factuelle.

7. À propos des labels « RGPD compliant » : ce qu’il faut vraiment savoir

Le sujet est aussi entretenu car il y a un retard des autorités juridiques pour labelliser le respect du RGPD.

Car malgré les idées reçues, il est important de rappeler qu’il n’existe aujourd’hui aucun label officiel attestant qu’un outil est “RGPD compliant”. La CNIL ne délivre plus de labels depuis 2021, et aucune certification RGPD au sens de l’article 42 n’est encore opérationnelle.

Autrement dit :

❌ aucun SaaS, ATS ou outil de sourcing ne peut légalement prétendre être « certifié RGPD »,

❌ aucun acteur ne peut afficher un « label officiel CNIL »,

✅ en revanche, un outil peut être conforme au RGPD s’il respecte les obligations prévues par le texte (information, proportionnalité, base légale, opposition, sécurité, registre des traitements).

De nombreux labels privés existent sur le marché, mais ils n’ont aucune valeur juridique : ils servent uniquement de cadre méthodologique interne.

Ce que peut légitimement revendiquer un acteur sérieux aujourd’hui, c’est :

- être conforme au RGPD,

- s’appuyer sur les lignes directrices de la CNIL,

- suivre les bonnes pratiques des référentiels européens,

- obtenir des certifications ISO par des organismes privés,

- documenter ses processus et garantir un droit d’opposition simple et effectif.

En matière de protection des données, la seule véritable certification est la rigueur, pas un badge marketing. En attendant un label officiel du régulateur.

Conclusion : innover sans crainte, avancer avec clarté

Le cadre juridique est clair : le sourcing open‑web est non seulement légal, mais pleinement compatible avec le RGPD dès lors que les obligations de transparence, de proportionnalité et de droit d’opposition sont respectées.

L’enjeu n’est plus de débattre de sa licéité, mais de s’assurer que chaque acteur : outil, cabinet, recruteur, entreprise, applique correctement ces règles.

Pour avancer sereinement, plusieurs points méritent d’être rappelés :

- D’abord, la responsabilisation du marché. Le RGPD n’est pas un frein à l’innovation : c’est un cadre qui impose de la rigueur. Les acteurs du recrutement ont tout intérêt à s’approprier ces règles plutôt qu’à s’en méfier. Elles protègent les candidats et clarifient les pratiques.

- Ensuite, l’enjeu de souveraineté. Le marché européen du recrutement est aujourd’hui extrêmement dépendant d’une poignée de plateformes en situation de quasi‑monopole. Soutenir les startups qui innovent revient à redonner du contrôle aux entreprises, à favoriser une économie plus équilibrée et à réduire la vulnérabilité structurelle du secteur.

- Enfin, le rôle de l’IA. L’IA n’est pas une menace pour les recruteurs : elle automatise ce qui est répétitif et libère du temps pour ce qui a réellement de la valeur : l’analyse, la relation humaine, l’accompagnement. Elle augmente la pratique, elle ne l’efface pas.

Le débat ne devrait pas être : « est‑ce légal ? » mais plutôt : « comment encadrer intelligemment l’innovation pour qu’elle profite aux recruteurs, aux entreprises et aux candidats ? »

Arrêtons de crier au loup. Encourageons les solutions européennes qui apportent de la valeur, allègent les budgets, améliorent les pratiques et rééquilibrent le rapport de force avec les plateformes dominantes.

C’est ainsi que l’écosystème avancera  et que le sourcing pourra réellement évoluer dans l’intérêt de tous.

Bon sourcing sur le web. En toute conformité, toujours.

Alexis, CEO - Profilr

Passez à Profilr pour augmenter vos performances web et l'UX de votre site web
Je veux une démo !
Inscrivez-vous par e-mail et recevez 15 % de réduction lors de votre première visite.
Merci pour votre inscription
Oups! Une erreur est survenue
Partager
Je veux une démo !

Vous pourriez être intéressé.e

Sourcing
17/12/2024

5 étapes pour réussir votre sourcing de talents

Le sourcing de talents est une approche proactive qui permet d'identifier et d'engager des candidats qualifiés, y compris ceux qui ne recherchent pas activement un emploi. En utilisant les bons canaux, des outils performants et une approche personnalisée, vous optimisez vos recrutements et constituez un vivier durable de profils stratégiques.

Recrutement
Sourcing
6/12/2024

Pourquoi un recruteur doit-il faire du sourcing de talents ?

70 % des talents sont passifs et échappent aux méthodes de recrutement classiques. Le sourcing permet de cibler ces profils qualifiés avant qu’ils ne cherchent un emploi, réduisant ainsi les coûts et favorisant la diversité des profils.

Fiche métier
20/12/2024

Fiche métier : Talent Sourcer

Le talent sourcer est un expert en recrutement, combinant outils numériques et compétences relationnelles pour identifier et attirer les meilleurs profils, tout en optimisant la stratégie RH des entreprises. Son rôle stratégique évolue avec les avancées technologiques, le rendant incontournable sur le marché de l’emploi.