Pourquoi nous avons supprimé les mots de passe pour les candidats (et par quoi nous les avons remplacés)
Ramenez la candidature à cinq minutes et la conversion grimpe jusqu'à 365 %. Nous avons remplacé les mots de passe des candidats par des liens magiques. Voici les chiffres à l'appui.
Ernest Bursa
Plus de la moitié des candidats qui entament une candidature ne la terminent jamais. Selon une étude LiveCareer, 57 % abandonnent précisément à cause de processus complexes et d’un manque de transparence. La principale source de cette complexité ? La création d’un compte et la définition d’un mot de passe. Nous avons entièrement supprimé les mots de passe de l’expérience candidat de Kit, au profit de liens magiques. Cet article explique pourquoi, avec les chiffres qui ont rendu la décision évidente.
La taxe du mot de passe sur le recrutement
Chaque ATS qui oblige les candidats à « Créer un compte » avant de postuler mène une expérience de conversion. Le résultat de cette expérience est constant depuis plus d’une décennie : vous perdez la majorité de vos candidats à l’écran de connexion.
Quand les candidatures prennent plus de 15 minutes — ce qui arrive vite dès que vous ajoutez la vérification d’adresse e-mail, les règles de mot de passe et les erreurs d’analyse de CV — les taux de complétion chutent de 12,5 % à 3,6 %, selon le rapport Appcast 2026 sur les benchmarks du marketing de recrutement.
Réfléchissez à ce que cela représente en dollars. Vous avez investi dans des annonces sur les sites d’emploi, dans votre marque employeur, peut-être même dans de la publicité programmatique. Vous avez suffisamment intéressé un candidat pour qu’il clique sur « Postuler ». Puis votre ATS lui a demandé d’inventer un mot de passe de 12 caractères avec un symbole spécial pour un système qu’il utilisera exactement trois fois. Il a fermé l’onglet.
Réduire le temps de candidature à cinq minutes ou moins augmente les taux de conversion jusqu’à 365 %, selon Appcast. Ce n’est pas une amélioration marginale. C’est la différence entre recruter quelqu’un et ne pas le recruter.
Ce que les candidats vivent réellement
Si vous n’avez pas postulé via Workday récemment, essayez. L’expérience est édifiante.
Le mur de l’ancien monde : Workday, Taleo, iCIMS
Workday exige un nouveau compte pour chaque entreprise. Il n’existe aucune identité candidat centralisée. Sur le subreddit r/recruitinghell, les candidats décrivent régulièrement l’expérience comme la transformation d’une tâche d’une minute en une épreuve de dix minutes. D’autres déclarent ignorer toute offre qui renvoie vers un écran de connexion Workday.
Oracle Taleo est pire. Les parcours multi-pages, les exigences rigides de mot de passe et les expirations de session fréquentes sont si hostiles que les candidats ferment leur navigateur dès qu’ils voient « taleo » dans l’URL. Les analystes du secteur notent que le produit « échoue à peu près en tout » concernant l’expérience utilisateur.
iCIMS vous demande d’envoyer un CV, puis exige immédiatement de ressaisir les mêmes informations dans des champs de formulaire distincts. Leur propre rapport 2025 sur le recrutement de terrain reconnaît un taux d’abandon de candidature de 68 % dans la seule hôtellerie-restauration.
Le juste milieu : Greenhouse, Lever, Ashby
Les plateformes modernes ont identifié ce problème. Greenhouse permet de postuler sans compte, bien que son portail optionnel « MyGreenhouse » utilise encore des mots de passe. Lever s’appuie sur l’authentification unique Google/LinkedIn, que les candidats préfèrent généralement. Ashby va plus loin avec une option native « Se connecter avec un lien magique ».
La trajectoire est claire. Le marché s’éloigne des mots de passe. La seule question est la vitesse de cette transition.
| Plateforme | Compte requis ? | Méthode d’authentification | Étapes pour postuler | Ressenti candidat |
|---|---|---|---|---|
| Workday | Oui | Mot de passe (par entreprise) | 10-15 | Très négatif |
| Taleo | Oui | Mot de passe | 10+ | Très négatif |
| iCIMS | Souvent oui | Mot de passe + ressaisie | 8-12 | Négatif |
| Greenhouse | Non | Portail mot de passe optionnel | 3-5 | Positif |
| Lever | Non | SSO (Google/LinkedIn) | 3 | Positif |
| Ashby | Variable | SSO + lien magique | 2-4 | Positif |
| Kit | Non | Lien magique | 2 | Sans friction |
Pourquoi le mobile rend les mots de passe inacceptables
Plus de 65 % des candidatures débutent désormais sur un appareil mobile, selon Appcast. Dans l’hôtellerie et les emplois de l’économie à la demande, ce chiffre dépasse 80 %.
Taper un mot de passe complexe sur un clavier de téléphone est lent et source d’erreurs. Basculer vers une application de messagerie pour un code de vérification interrompt souvent la session. Revenir au navigateur signifie tout recommencer. Ce ne sont pas des cas marginaux ; c’est l’expérience par défaut de la plupart des candidats.
Cela signifie que les organisations dotées de portails protégés par mot de passe filtrent systématiquement les candidats qui naviguent avant tout sur mobile. Cela inclut la majorité des professionnels de la génération Z, les travailleurs de terrain et les candidats passifs qui parcourent LinkedIn sur leur téléphone. Vous ne perdez pas seulement des candidatures. Vous perdez toute une catégorie démographique.
Comment fonctionnent les liens magiques
Un lien magique remplace le mot de passe par quelque chose que le candidat contrôle déjà : sa boîte de réception.
- Le candidat saisit son adresse e-mail. Un seul champ. Pas de « choisissez un identifiant » ni de « confirmez votre mot de passe ».
- Le système génère un jeton cryptographique. Il s’agit d’une chaîne à usage unique, limitée dans le temps (généralement 5 à 15 minutes de durée de vie), liée au profil du candidat.
- Le jeton arrive sous forme de lien cliquable. Envoyé par e-mail, il ouvre instantanément la session authentifiée du candidat.
- Un clic et le candidat est connecté. Le jeton est invalidé après utilisation. Pas d’attaques par rejeu, pas d’identifiants stockés.
Le point essentiel est la fréquence d’accès. Les mots de passe ont été conçus pour des systèmes utilisés quotidiennement : votre messagerie, votre banque, votre ordinateur de travail. Un candidat interagit avec un ATS peut-être trois fois sur un cycle de recrutement de 45 jours : une fois pour postuler, une fois pour planifier un entretien, une fois pour consulter une offre.
Demander à quelqu’un de créer et de mémoriser un mot de passe pour trois connexions dans toute sa vie est un anti-pattern. Quand le candidat revient deux semaines plus tard pour un entretien, il l’a oublié. Il clique sur « Mot de passe oublié ». Le processus de réinitialisation envoie un e-mail avec un lien à usage unique. C’est littéralement un lien magique avec cinq étapes de frustration en plus.
Les liens magiques font simplement du chemin de récupération le chemin principal.
La sécurité sans le théâtre
L’objection la plus fréquente des acheteurs grands comptes concerne la sécurité. « Un mot de passe n’est-il pas nécessaire pour être sécurisé ? » Non. En pratique, les mots de passe sont le maillon le plus faible de la plupart des systèmes.
Les mots de passe sont la vulnérabilité
85 % des internautes réutilisent leurs mots de passe sur différentes plateformes, dont 41 % fréquemment, selon le rapport Psychology of Passwords de LastPass. Quand les candidats utilisent le même mot de passe pour votre portail ATS et un forum compromis, vos données candidats sont exposées aux attaques par bourrage d’identifiants. Ce n’est pas théorique. Cela se produit en permanence.
Liens magiques contre passkeys
En 2026, les deux principales options d’authentification sans mot de passe sont les liens magiques et les passkeys (FIDO/WebAuthn). Les passkeys utilisent la cryptographie à clé publique stockée sur l’appareil de l’utilisateur, sécurisée par la biométrie. Elles sont cryptographiquement plus robustes et idéales pour un accès fréquent.
Mais pour les candidats, les passkeys sont surdimensionnées. Exiger d’un utilisateur temporaire qu’il génère, stocke et synchronise une passkey pour une relation de 45 jours ajoute de la complexité sans bénéfice concret. Le modèle de menace compte : un profil candidat ATS contient des CV et des coordonnées, des données largement publiques sur LinkedIn de toute façon. Le risque d’interception ciblée d’un lien magique est négligeable par rapport au bourrage d’identifiants automatisé qui affecte quotidiennement les systèmes à mots de passe.
Les liens magiques peuvent être renforcés avec des fenêtres d’expiration courtes, un rattachement à la session du navigateur et des politiques strictes d’utilisation unique. Pour le recrutement, ils offrent le bon compromis : haute sécurité, zéro friction.
Les coûts de réinitialisation s’accumulent
Les réinitialisations de mots de passe représentent 20 à 50 % de l’ensemble des tickets de support informatique, selon Gartner. Chaque réinitialisation coûte environ 70 dollars en main-d’œuvre, selon les estimations de Forrester. Pour les équipes de recrutement, cela revient à des professionnels de l’acquisition de talents qui résolvent des problèmes de connexion au lieu de chercher des candidats.
L’impact mesurable du passage au sans mot de passe
Gains de conversion
Les données d’Appcast montrent que réduire la friction dans le processus de candidature (moins de champs, moins d’étapes, pas de création de compte) produit les plus grands gains sur mobile, là où les taux de complétion de formulaire sont les plus faibles. Leurs benchmarks montrent systématiquement que les candidatures à faible friction, optimisées pour le mobile, convertissent 2 à 3 fois mieux que les parcours multi-étapes traditionnels.
Le schéma se vérifie dans tous les secteurs : supprimez les obstacles et les taux de complétion augmentent. Les plus grands gains viennent des utilisateurs mobiles, qui subissent le plus de friction lors de la saisie d’un mot de passe.
Le réengagement se transforme
Voici un chiffre qui devrait changer votre vision de votre vivier de talents. Slack a publiquement indiqué que les équipes utilisant des invitations par lien magique terminaient leur intégration 2,3 jours plus vite que celles passant par des flux de mots de passe traditionnels, avec une corrélation de 31 % sur la valeur contractuelle annuelle. La plateforme vidéo Money Alive a observé une réduction de 75 % du temps de support après avoir remplacé les mots de passe par des codes d’accès temporaires.
Ce ne sont pas des exemples spécifiques au recrutement, mais le schéma se transpose directement. Un accès peu fréquent et fortement intentionnel correspond exactement au profil d’un candidat. Quand vous envoyez à un candidat de retour un lien magique au lieu de lui demander de se souvenir d’un mot de passe créé six mois plus tôt, ils sont plus nombreux à cliquer effectivement.
Comment Kit gère l’accès des candidats sans mot de passe
En concevant Kit, nous avons pris une décision architecturale délibérée : les candidats ne voient jamais de formulaire d’inscription, de champ de mot de passe ni d’écran de création de compte. Qu’ils postulent à un poste, choisissent un créneau d’entretien, soumettent un exercice de code ou consultent une lettre d’offre, le processus est le même.
Ils saisissent leur adresse e-mail. Ils cliquent sur le lien. Ils sont connectés.
Ce n’est pas une fonctionnalité. C’est une philosophie. Si vous considérez que les candidats sont des personnes que vous cherchez à attirer, et non des quémandeurs qui devraient s’estimer heureux de pouvoir postuler, alors chaque interaction doit respecter leur temps. Les mots de passe font exactement l’inverse.
Ce que cela permet en aval
Supprimer la friction en haut de l’entonnoir produit des effets cumulatifs. Quand entrer dans le processus ne demande aucun effort, davantage de candidats qualifiés terminent leur candidature. Votre pipeline gagne en qualité de signal. Un meilleur signal signifie que votre équipe passe moins de temps en présélection et plus de temps en entretiens avec des personnes qui correspondent réellement au poste.
La même architecture de liens magiques alimente chaque point de contact candidat dans Kit. La planification d’entretiens, les exercices de code, la consultation d’offres et le suivi de candidature utilisent tous le même accès en un clic. Les candidats ne se demandent jamais quel mot de passe ils ont utilisé, parce qu’ils n’en ont jamais défini.
En résumé
Les mots de passe en recrutement sont un problème résolu. La solution est de les supprimer.
Les preuves pointent dans une seule direction. Les mots de passe causent 57 % des abandons de candidature (LiveCareer). Ils échouent sur mobile, là où postulent la plupart des candidats (Appcast). Ils créent des vulnérabilités de sécurité par la réutilisation d’identifiants (LastPass). Et ils envoient un message clair aux candidats : votre temps ne compte pas pour nous.
Les liens magiques corrigent tout cela. Ils sont plus rapides, plus sûrs pour le cas d’usage du recrutement, et ils respectent la réalité de l’interaction des candidats avec les systèmes de recrutement : rarement, sur leur téléphone, sans aucun intérêt pour la gestion d’un énième mot de passe.
Nous avons supprimé les mots de passe pour les candidats parce que les données ne nous laissaient pas d’autre choix honnête. Si votre ATS demande encore aux candidats de créer un compte, vous perdez des talents avant même qu’ils ne franchissent la porte.
Essayez Kit gratuitement et découvrez à quoi ressemble une expérience candidat sans mot de passe.
Articles similaires
Les métiers de l'ingénierie sont les plus résistants à l'IA dans la tech
Nouvelles données SignalFire 2026 : l'ingénierie est le métier tech le plus résistant à l'IA. Pourquoi les fondateurs devraient continuer à recruter des ingénieurs, et comment bien le faire.
Safe Harbor ou procès ? La clause de VDP qui vous protège
Microsoft a menacé un chercheur de poursuites pénales, puis a fait machine arrière en quelques jours. Voici comment la clause Safe Harbor de votre programme de divulgation des vulnérabilités évite ce scénario.
Le taux d'acceptation des offres s'est effondré à ~51 % : pourquoi les candidats refusent
Le taux d'acceptation des offres a quasiment été divisé par deux en deux ans (de 74 % à 51 %). Voici comment mesurer le vôtre et cesser de perdre des candidats au moment de conclure.
Quand votre ATS devient la brèche : sécuriser les données personnelles des candidats
La brèche Mercor a exposé 4 To de numéros de sécurité sociale, de passeports et d'entretiens vidéo de candidats. Voici pourquoi votre ATS est une cible de choix et les contrôles privacy-by-design qui réduisent le rayon d'impact.
Comment recruter un chauffeur poids lourd (CDL) : le guide 2026
Recrutez vite des chauffeurs poids lourd CDL sur un marché à fort turnover : classe de CDL, mentions, contrôles DOT (Clearinghouse, MVR, historique de sécurité), entretiens et rémunération.
Comment recruter un infirmier diplômé d'État en 2026 : le guide complet
Comment recruter un infirmier diplômé d'État en 2026 : vérifier l'inscription à l'Ordre et le RPPS, confirmer l'AFGSU, évaluer l'adéquation à la spécialité, mener des entretiens par scénarios et agir vite sur un marché en tension.
Pret a recruter plus intelligemment ?
Commencez gratuitement. Aucune carte de credit requise. Configurez votre premier pipeline de recrutement en quelques minutes.
Commencer gratuitement