L'embauche d'un cadre dirigeant — directeur général, directeur financier, directeur commercial, responsable d'un département technique stratégique — n'est pas un recrutement comme un autre. Le profil sélectionné accédera, dès le premier jour, à des informations confidentielles, à une base clients, à des comptes bancaires d'entreprise, à de la propriété intellectuelle, à un savoir-faire. Une erreur de casting à ce niveau ne se mesure pas en mois de période d'essai : elle se chiffre en réputation, en propriété industrielle et en exposition contentieuse. La due diligence pré-embauche est donc, pour les postes à fort enjeu, une exigence de bonne gouvernance.
Encore faut-il qu'elle soit menée dans un cadre juridique précis. Le Code du travail et le RGPD encadrent strictement la collecte d'informations sur un candidat ; la CNIL veille à l'application de ce cadre. Une due diligence menée sans méthode expose l'entreprise commanditaire à deux types de risques cumulatifs — contentieux RH et sanctions CNIL — qui peuvent annuler tout le bénéfice attendu de la vérification.
Pourquoi la due diligence pré-embauche fait sens en 2026
Trois dynamiques convergent et expliquent l'intensification de cette pratique sur le segment des cadres dirigeants.
La première est la mobilité accélérée des profils stratégiques. Les passages d'un concurrent à l'autre se sont multipliés, parfois dans des conditions juridiquement litigieuses — notre récent article sur l'extension de la règle Foncia par l'arrêt Cass. com. du 24 septembre 2025 en témoigne. Vérifier d'où vient un candidat et dans quelles conditions il a quitté son employeur précédent n'est pas une suspicion par défaut : c'est une précaution professionnelle.
La deuxième est l'élargissement de la surface d'attaque numérique. Les fraudes au président, les usurpations d'identité ciblant les directions, les manipulations de signatures électroniques exigent une fiabilité accrue des personnes habilitées aux flux financiers et aux décisions sensibles.
La troisième est la pression réglementaire croissante sur les dirigeants eux-mêmes : la fonction de direction emporte des obligations personnelles en matière de conformité (LCB-FT, RGPD, devoir de vigilance dans certaines structures, sanctions internationales). Ne pas avoir vérifié le passé d'un dirigeant peut être imputé à l'organisation en cas d'incident.
Le cadre légal français : Code du travail et RGPD
La due diligence pré-embauche s'inscrit dans un cadre légal articulé.
L'article L1221-6 du Code du travail — finalité limitée à l'aptitude
Le texte est explicite : « Les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ne peuvent avoir comme finalité que d'apprécier sa capacité à occuper l'emploi proposé ou ses aptitudes professionnelles. Ces informations doivent présenter un lien direct et nécessaire avec l'emploi proposé ou avec l'évaluation des aptitudes professionnelles. »
Ce texte délimite à lui seul le périmètre d'une due diligence licite. Vérifier le passé d'un candidat à un poste de directeur financier sur les enjeux d'intégrité comptable est légitime. Vérifier ses opinions politiques ou son orientation sexuelle, jamais — quelle que soit la fonction.
L'article L1221-8 du Code du travail — loyauté du procédé
Le procédé de vérification doit être loyal. Le candidat doit savoir que des vérifications sont conduites, dans quel but, et sur quelles bases. La captation clandestine, l'usage de faux profils sur les réseaux sociaux pour accéder à des contenus non publics, l'accès à des données protégées par un mot de passe relèvent du procédé déloyal et exposent à l'irrecevabilité du résultat, indépendamment du contrat de travail conclu ou refusé.
Le RGPD — minimisation, base légale, information
Trois exigences européennes s'ajoutent au socle français.
L'article 5 du RGPD impose la minimisation : seules les données strictement nécessaires à la finalité poursuivie peuvent être traitées. Une enquête qui collecte par défaut tout ce qui est accessible sur un profil n'est pas minimisée — elle est exhaustive, ce qui est différent.
L'article 6 du RGPD exige une base légale identifiée. Pour une due diligence pré-embauche sur un cadre dirigeant, la base est en règle générale l'intérêt légitime (article 6.1.f), dont la mise en œuvre suppose une analyse documentée du proportionnement entre l'intérêt poursuivi par l'entreprise et les droits du candidat. La CNIL admet cette base à condition que l'analyse soit formalisée et que les vérifications soient cantonnées au strict nécessaire pour le poste précis.
L'article 13 du RGPD prescrit l'information préalable du candidat. Il doit savoir, avant que la vérification ne commence : qui collecte ses données, à quelles fins, sur quelle base légale, pour quelle durée, avec quels droits associés.
La doctrine CNIL
La CNIL a édicté un guide du recrutement et publié, en 2025-2026, un projet de guide complémentaire mis en consultation publique. Ses positions convergent vers une exigence accrue de traçabilité : pour les postes à fort enjeu, la vérification est admise, mais elle doit pouvoir être restituée au candidat sur demande, dans son contenu, ses sources et son périmètre. La CNIL a déjà mis en demeure publiquement des organisations qui collectaient au-delà de la stricte nécessité — l'enseignement vaut pour la due diligence pré-embauche comme pour la candidate processing classique.
La méthode OSINT : sources publiques uniquement
L'OSINT (Open Source Intelligence) — la collecte d'informations à partir de sources publiquement accessibles — est la seule méthode compatible avec ce cadre. Elle se distingue de l'investigation classique par trois caractéristiques.
D'abord, elle ne touche que des sources accessibles à tout internaute sans authentification : registres officiels (Infogreffe pour les mandats sociaux, BODACC pour les annonces légales, RNCS, INPI pour les dépôts de marques), bases jurisprudentielles publiques (Légifrance, courdecassation.fr), presse en accès libre, publications professionnelles institutionnelles, profils publics sur LinkedIn ou X. Notre méthodologie OSINT pour les entreprises détaille les bonnes pratiques sectorielles.
Ensuite, elle exclut catégoriquement la création de faux comptes, l'accès à des contenus protégés par mot de passe, l'usage d'identités d'emprunt sur les réseaux sociaux. Ces techniques relèvent de l'ingénierie sociale, qui est admissible en cyberenquête défensive mais incompatible avec le cadre de la due diligence pré-embauche.
Enfin, elle documente scrupuleusement chaque source, chaque consultation, chaque résultat. Cette traçabilité est la clé de la défense en cas de demande de droit d'accès du candidat ou de contestation. Notre page Méthodologie expose la chaîne de traçabilité utilisée par le cabinet.
Ce qui doit rester hors de toute vérification
Quelle que soit la fonction visée, certaines informations restent hors champ.
Les données sensibles au sens de l'article 9 du RGPD — santé, origine ethnique ou raciale supposée, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, vie sexuelle, données biométriques d'identification, données génétiques — ne peuvent être ni recherchées, ni intégrées au rapport, même si elles sont visibles dans une publication publique. Le détective qui les rencontre incidemment doit les exclure activement.
La situation familiale (mariage, divorce, enfants, lieu de résidence du conjoint) sort du champ de l'évaluation de l'aptitude professionnelle, sauf cas exceptionnel documenté (poste exigeant une mobilité internationale durable, par exemple — et même alors, l'information doit venir du candidat lui-même).
Les opinions politiques et toute participation syndicale ou associative à caractère idéologique sont protégées et exclues du périmètre de vérification.
L'état de santé et toute donnée médicale, y compris déduisible de comportements publics, sont exclus — voir notre article connexe sur l'arrêt maladie abusif, qui souligne aussi l'interdit du licenciement pour motif sanitaire.
L'articulation avec l'entretien d'embauche et la période d'essai
La due diligence ne se substitue ni à l'entretien d'embauche, ni à la période d'essai. Elle s'articule avec ces deux temps RH classiques.
En amont de l'entretien, la vérification factuelle de l'expérience déclarée (mandats sociaux passés, fonctions exercées, formations diplômantes) sécurise la crédibilité de la candidature. Notre guide Vérification de CV : enjeux du recrutement détaille la méthodologie applicable.
En aval, le rapport de due diligence fournit des points d'attention à explorer lors de l'entretien — sans jamais se substituer à l'évaluation directe. La décision finale reste toujours l'apanage de la DRH et de la direction, à partir de l'ensemble des éléments réunis. L'enquête éclaire, elle ne décide pas.
Pendant la période d'essai, un complément OSINT peut être conduit si des éléments nouveaux émergent — toujours dans le respect du même cadre, et toujours après information du salarié.
La méthodologie Cabinet Normazur
Le cabinet structure chaque mission de due diligence pré-embauche autour de quatre piliers exposés en détail dans notre page Méthodologie.
Premier pilier : cadrage écrit de la mission avec la DRH ou la direction. Finalité précise, périmètre de vérification, base légale RGPD invoquée, durée de traitement, modalités d'information du candidat. Ce cadrage initial constitue la trace de la documentation d'intérêt légitime requise par la CNIL.
Deuxième pilier : investigation OSINT strictement limitée. Chaque source consultée est documentée, chaque résultat horodaté. Si la mission rencontre une donnée sensible, elle est exclue ; si elle rencontre une zone grise, le détective documente sa décision plutôt que de procéder par défaut.
Troisième pilier : rapport factuel. Pas d'interprétation, pas de jugement de valeur, pas de recommandation d'embauche ou de non-embauche. La restitution est chronologique et vérifiable ; la décision RH reste celle de l'entreprise. Cette posture sépare clairement le rôle du détective de celui du recruteur. Notre page sur la conciliation RGPD et enquête privée détaille cette articulation.
Quatrième pilier : restitution sur deux niveaux. Un rapport complet et confidentiel pour le commanditaire interne. Une note synthétique communicable au candidat sur demande, conformément à son droit d'accès RGPD.
Cette double restitution est la clé pratique du dispositif : c'est elle qui permet à l'entreprise de défendre sa procédure si le candidat conteste, et qui sécurise la chaîne de responsabilité en cas d'incident ultérieur.
Ce qu'il faut retenir pour 2026
La due diligence pré-embauche d'un cadre dirigeant n'est ni une faveur, ni une faute : c'est une exigence de gouvernance qui s'inscrit dans un cadre juridique exigeant mais maîtrisable. Trois constats pratiques en ressortent.
Le cadre français — articles L1221-6 et L1221-8 du Code du travail, complétés par le RGPD et précisés par la CNIL — est clair : la vérification est licite si elle est proportionnée, loyale, documentée et précédée d'une information du candidat.
L'OSINT, exclusivement sur sources publiques, reste la seule méthode opérationnelle compatible. Tout ce qui s'en écarte (faux profils, captation clandestine, accès aux comptes privés) compromet à la fois la recevabilité de la vérification et la sécurité juridique de l'entreprise commanditaire.
Le passage par un cabinet agréé CNAPS, avec un cadrage écrit et une chaîne de traçabilité documentée, constitue la première ligne de défense de l'entreprise. C'est aussi, pour le candidat, la garantie que la vérification respecte ses droits.
Sources
- Code du travail, article L1221-6 (informations limitées à l'aptitude professionnelle) — Légifrance
- Code du travail, article L1221-8 (loyauté du recrutement) — Légifrance
- Règlement européen 2016/679 (RGPD), articles 5 (minimisation), 6 (base légale), 9 (données sensibles), 13 (information), 83 (sanctions) — Légifrance
- Loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
- CNIL — Guide du recrutement — cnil.fr
- CNIL — Projet de guide Recrutement en consultation publique 2025-2026 — cnil.fr
- Code civil, article 9 (vie privée)
- Code de la sécurité intérieure, article L611-1 et suivants (cadre de la profession d'agent de recherches privées)
Questions fréquentes
Une enquête de due diligence pré-embauche est-elle légale en France ?
Oui, à trois conditions cumulatives. Premièrement, la finalité doit être directement liée à l'évaluation de l'aptitude professionnelle du candidat pour le poste précis envisagé (article L1221-6 du Code du travail). Deuxièmement, les procédés employés doivent être loyaux (article L1221-8) — pas de captation clandestine, pas d'accès à des comptes privés, pas de création de faux profil. Troisièmement, le candidat doit être informé préalablement que des vérifications externes seront conduites (RGPD article 13). En pratique, cette information figure dans l'offre d'emploi, le formulaire de candidature ou le premier entretien.
Quelles sources OSINT peuvent être consultées légitimement ?
Les sources publiques accessibles à tout internaute sans authentification : registres officiels (Infogreffe, RNCS, BODACC pour la vie d'entreprise), bases de données publiques (Légifrance pour la jurisprudence, INPI pour les marques), presse en accès libre, publications professionnelles (sites d'entreprises, biographies institutionnelles), profils LinkedIn et X publics, prises de parole en conférence. La règle simple : si l'information nécessite un mot de passe pour être atteinte, elle n'est pas accessible dans le cadre d'une due diligence pré-embauche.
Quelle est la position de la CNIL sur la due diligence pré-embauche ?
La CNIL admet la vérification d'informations transmises par le candidat (formation, expérience, mandats publics) lorsque la nature du poste le justifie. Elle exige toutefois la documentation de cette nécessité dans la base d'intérêt légitime (article 6.1.f du RGPD), un cantonnement strict aux finalités annoncées, et l'information préalable du candidat. Le projet de guide Recrutement en cours de consultation publique 2025-2026 confirme et précise cette ligne. La CNIL sanctionne lourdement les dérives, comme l'illustrent ses mises en demeure récentes sur la collecte excessive de données candidats.
Que doit obligatoirement contenir l'information préalable du candidat ?
L'article 13 du RGPD impose une information claire et accessible sur six points : l'identité du responsable de traitement (l'entreprise qui recrute), les finalités du traitement (évaluation de l'aptitude pour ce poste précis), la base légale invoquée (intérêt légitime pour les postes à fort enjeu, consentement à défaut), la durée de conservation des données (en règle générale, deux ans maximum après la fin du processus), les droits du candidat (accès, rectification, effacement, opposition) et l'existence d'éventuels traitements automatisés. Cette information peut être centralisée dans une politique de confidentialité dédiée au recrutement.
Peut-on contacter d'anciens employeurs ou des références sans l'accord du candidat ?
Non. La prise de références auprès d'anciens employeurs ou de personnes désignées suppose le consentement préalable du candidat, qui doit fournir lui-même la liste des personnes contactables. La prise de contact à l'insu du candidat avec un ancien employeur ou avec des tiers professionnels n'est conforme ni à l'article L1221-8 du Code du travail (loyauté), ni à l'article 13 du RGPD (information). Le rapport de vérification doit pouvoir documenter, pour chaque référence prise, le consentement explicite du candidat.
Quelles informations sont strictement interdites en vérification ?
Toutes les données sensibles au sens de l'article 9 du RGPD : santé, origine ethnique ou raciale supposée, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données biométriques d'identification, données génétiques, vie sexuelle. À ces interdictions s'ajoutent la situation familiale, les croyances, l'orientation sexuelle, et toute donnée intime sans rapport direct avec l'aptitude professionnelle. La consultation incidente de ces données dans une publication publique du candidat n'autorise pas leur intégration au rapport : le détective les exclut activement.
Comment Cabinet Normazur structure un rapport de due diligence pré-embauche ?
Quatre piliers méthodologiques. (1) Cadrage écrit de la mission avec la DRH ou la direction : finalité précise, périmètre des vérifications, base légale, durée de traitement, modalités d'information du candidat. (2) Investigation OSINT strictement limitée aux sources publiques, documentée pas à pas. (3) Rapport factuel — pas d'interprétation, pas de jugement de valeur, restitution chronologique vérifiable. (4) Restitution sur deux niveaux : un rapport complet et confidentiel pour le commanditaire interne, et une note synthétique qui peut être communiquée au candidat sur demande conformément à son droit d'accès RGPD.
Quel est le risque si la due diligence est mal conduite ?
Le risque est double et cumulatif. Vis-à-vis du candidat : action civile en réparation du préjudice (perte de chance, atteinte à la vie privée, discrimination), action prud'homale si l'enquête a influencé la décision de ne pas embaucher pour des motifs non liés à l'aptitude, demande de droit d'accès et d'effacement des données. Vis-à-vis de la CNIL : mise en demeure publique, sanction administrative pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial dans les cas les plus graves (article 83 du RGPD). Dans les deux cas, le passage par un cabinet agréé CNAPS et documenté constitue la première ligne de défense.
Président du Cabinet Normazur · Détective privé agréé CNAPS
Fondateur du Cabinet Normazur basé à Antibes. Plus de 25 ans d'expérience en investigations privées pour entreprises, professionnels du droit et particuliers en PACA et Normandie.