Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Zoho Recruit est une plateforme de gestion des candidatures éditée par Zoho Corporation. Lorsque ses pages carrière ou ses formulaires de candidature sont intégrés sur un site, le service dépose des cookies tiers, collecte les CV, noms, adresses et identifiants email, et peut transférer les données de recrutement vers des centres de données aux États Unis, en Inde ou en Australie selon la configuration du tenant.
Zoho Recruit est le système de suivi des candidatures édité par Zoho Corporation, société indienne disposant de bureaux régionaux aux États Unis, en Union européenne, aux Émirats arabes unis, au Japon et en Australie. Les sites européens intègrent généralement Zoho Recruit de trois manières : un site carrière hébergé sous un sous domaine recruit.zoho.eu, un widget JavaScript qui injecte un formulaire de candidature dans le site corporate, ou un iframe pointant vers la page de l''offre Zoho.
Quelle que soit la méthode retenue, le navigateur du candidat échange directement des requêtes avec l''infrastructure Zoho, ce qui qualifie la plateforme de tiers non strictement nécessaire au sens de l''article 5(3) de la directive ePrivacy.
Zoho Recruit dépose des cookies persistants et de session sur les domaines zoho.com, zoho.eu et zohopublic.com, parmi lesquels des jetons CSRF, JSESSIONID, ZCAMPAIGN_CSRF_TOKEN et le cookie d''authentification iamcsr. Le service lit également l''adresse IP, l''agent utilisateur, le référent et la géolocalisation approximative de chaque visiteur consultant une offre ou ouvrant un formulaire.
Dès qu''un candidat valide sa candidature, Zoho traite le CV complet, les coordonnées, l''historique professionnel, les références et tout document téléversé. Certains de ces documents (passeport, titre de séjour) peuvent constituer des données sensibles au sens de l''article 9 du RGPD.
Les cookies Zoho Recruit n''étant pas strictement nécessaires au site corporate, l''article 5(3) de la directive ePrivacy et la délibération 2020 091 de la CNIL imposent un consentement préalable, libre et éclairé avant tout dépôt. En parallèle, le traitement des candidatures relève de l''article 6(1)(b) du RGPD (mesures précontractuelles) et de l''article 88, qui permet aux États membres et aux conventions collectives d''ajouter des garanties dans le contexte professionnel.
Le responsable de traitement doit publier une information candidat qui mentionne Zoho Corporation comme sous traitant, nomme la région du centre de données, fixe la durée de conservation des candidatures rejetées (deux ans selon la CNIL) et décrit la logique d''un éventuel filtrage automatisé.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ne chargez le script Zoho Recruit qu''après acceptation de la catégorie Recrutement ou Fonctionnel par le visiteur dans votre plateforme de gestion du consentement. Encapsulez la balise script dans un chargeur conditionnel, avec un attribut type text/plain basculant en text/javascript en cas d''opt in. Les cases pré cochées et la poursuite de navigation comme expression du consentement sont jugées invalides par la CNIL.
Zoho exploite depuis 2017 un centre de données européen à Dublin et Amsterdam. Les clients européens doivent sélectionner cette région à la création du tenant, ce qui maintient les dossiers candidat au repos dans l''EEE. Les ingénieurs support en Inde et aux États Unis peuvent toutefois accéder aux données pour la gestion d''incidents, ce qui constitue un transfert ultérieur.
Signez l''avenant de protection des données de Zoho, appuyez vous sur les Clauses Contractuelles Types 2021 et documentez les mesures supplémentaires (chiffrement au repos, contrôle d''accès, analyse de transfert) selon les recommandations Schrems II du CEPD.
Inscrivez Zoho Recruit dans votre registre des traitements et votre registre des cookies, affichez une information candidat sur chaque page d''offre, bloquez le widget par défaut derrière une catégorie Recrutement. Configurez les règles de conservation dans Zoho Recruit pour supprimer ou anonymiser les candidatures rejetées au bout de deux ans, activez l''authentification à deux facteurs sur chaque compte recruteur et auditez mensuellement le journal des accès.
Les sites web utilisant Zoho Recruit doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Zoho Recruit est utilisé à grande échelle, lorsqu'il est combiné à un filtrage automatisé des candidats, lorsque des données sensibles comme des pièces d'identité ou des vérifications d'antécédents sont téléversées, ou lorsque les données de candidature sortent de l'EEE. Documenter la région du centre de données Zoho, la durée de conservation des candidatures rejetées (la CNIL recommande deux ans), les catégories de personnel RH ayant accès et la logique de tout filtrage automatisé au sens de l'article 22 du RGPD.
Exemple de texte de consentement
Nous utilisons Zoho Recruit pour afficher notre formulaire de candidature et gérer votre dossier. Avec votre consentement, Zoho déposera des cookies, recevra votre CV et vos coordonnées et pourra transférer ces données vers ses centres de données hors de l'Union européenne. Vous pouvez retirer votre consentement à tout moment via le lien de gestion des cookies dans le pied de page.
Domaines tiers contactes
zoho.comzoho.eurecruit.zoho.comrecruit.zoho.euzohopublic.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| iamcsr | Persistent | 1 year | Identity and access management CSRF token used by the Zoho authentication layer to protect form submissions on Zoho Recruit pages. |
| JSESSIONID | Session | Browser session | Java application server session identifier used by Zoho Recruit to bind candidate requests to the same backend session during a visit. |
| zccpn | Persistent | 1 year | Anti CSRF token deposited by Zoho on its public job pages and embedded widgets to prevent cross site request forgery on application forms. |
| ZCAMPAIGN_CSRF_TOKEN | Persistent | 1 year | CSRF protection token used when the careers page exposes Zoho Campaigns sign up to receive future job alerts. |
| _zcsr_tmp | Session | Browser session | Temporary session token used to authenticate candidate interactions with embedded Zoho Recruit forms. |
Zoho Recruit utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Lorsque le widget Zoho Recruit se charge, il dépose des cookies propres et tiers sur les domaines zoho.com, zoho.eu et zohopublic.com, parmi lesquels des jetons CSRF, JSESSIONID, ZCAMPAIGN_CSRF_TOKEN et le cookie d'authentification iamcsr. La plateforme lit également l'adresse IP du visiteur, son agent utilisateur et le référent. Au moment du dépôt d'une candidature, Zoho traite le CV complet, les coordonnées, l'historique professionnel, les références et tout fichier téléversé. Certains documents (passeport, titre de séjour) peuvent constituer des données sensibles au sens de l'article 9 du RGPD.
Oui. Les cookies et ressources distantes chargés par Zoho Recruit ne sont pas strictement nécessaires au site corporate, donc l'article 5(3) de la directive ePrivacy, la délibération 2020 091 de la CNIL et le TDDDG allemand exigent un consentement préalable, libre et éclairé. La balise script doit rester bloquée jusqu'à ce que la personne active accepte explicitement la catégorie Recrutement ou Fonctionnel. Les cases pré cochées et la poursuite de la navigation ne valent pas consentement, et le retrait doit être aussi simple que le recueil.
La couche cookies et traçage repose sur l'article 6(1)(a) du RGPD (consentement), combiné à l'article 5(3) ePrivacy. Le traitement des candidatures s'appuie en général sur l'article 6(1)(b) (mesures précontractuelles). Dans le contexte professionnel, l'article 88 du RGPD autorise les États membres et les conventions collectives à ajouter des garanties, et l'article 9 s'applique si le candidat téléverse des données de santé ou biométriques. Pour conserver un CV dans une CV thèque au delà d'un poste, le consentement explicite reste la base la plus solide.
Oui, potentiellement. Zoho Corporation a son siège en Inde et exploite des centres de données aux États Unis, en Inde, en Australie et dans l'Union européenne (Dublin et Amsterdam). Le tenant choisit la région à l'inscription. Même avec la région EU, les ingénieurs support hors EEE peuvent accéder aux données pour la gestion d'incidents, ce qui constitue un transfert ultérieur au sens de Schrems II. Signez l'addendum de traitement de Zoho, appuyez vous sur les Clauses Contractuelles Types 2021 et réalisez une analyse de transfert documentant chiffrement, contrôles d'accès et journalisation.
Une analyse d'impact relative à la protection des données est recommandée dès lors que Zoho Recruit est déployé à grande échelle, qu'il est couplé à un filtrage ou scoring automatisé, que des documents sensibles sont téléversés, ou que les données sortent de l'EEE. La liste des traitements à risque élevé publiée par la CNIL et les critères du CEPD considèrent l'évaluation automatisée de personnes, le traitement à grande échelle et les technologies innovantes comme déclencheurs d'AIPD. L'AIPD doit documenter les flux, la base légale, les durées, les destinataires, la part de revue humaine et les garanties applicables aux transferts.
Bloquez le widget par défaut dans votre plateforme de gestion du consentement sous une catégorie Recrutement. Ne chargez la balise script qu'après acceptation explicite de cette catégorie. Publiez sur chaque page d'offre une information candidat qui mentionne Zoho Corporation comme sous traitant, nomme la région du centre de données, fixe la durée de conservation des candidatures rejetées (la CNIL recommande deux ans) et explique toute logique automatisée. Côté Zoho, activez la double authentification sur tous les comptes recruteur, limitez les droits d'export et configurez des règles de purge automatique.
Les ATS hébergés en Europe incluent Teamtailor (Suède), Recruitee (Pays Bas), SmartRecruiters en instance UE, Greenhouse avec option de résidence UE, Personio (Allemagne) et l'ATS Welcome to the Jungle (France). Chacun stocke les candidatures dans l'EEE, signe un accord de traitement aligné RGPD et propose un contrôle d'accès par rôles. Le gain de conformité dépend surtout du choix d'un fournisseur disposant d'un stockage UE, d'une liste transparente de sous traitants et d'un mécanisme de transfert compatible Schrems II pour tout accès support hors EEE.
Ajoutez une section dédiée qui nomme Zoho Corporation comme tiers, liste les familles de cookies déposés sur zoho.com, zoho.eu et zohopublic.com avec leur finalité et leur durée, et indique que le widget reste bloqué tant que le consentement n'est pas donné. L'information candidat doit en outre préciser la base légale (art. 6(1)(b) et art. 88 du RGPD), les catégories de destinataires chez Zoho, la région du centre de données, la durée de conservation, le mécanisme de transfert (CCT et mesures supplémentaires) et les droits d'accès, de rectification, d'effacement et d'opposition.