Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats : ces opérations doivent respecter le règlement général sur la protection des données (RGPD). Afin d’accompagner les professionnels à toutes les étapes du recrutement, la CNIL vient de publier un guide en 19 fiches.
Par exemple, avez-vous le droit de demander le lieu de résidence à un candidat ? Quelles sont les précautions pour les candidats de nationalité étrangère ? Pouvez-vous filmer le candidat ? Quelles sont les règles lorsque je recherche des informations sur les réseaux sociaux ? Est-il légal de constituer un vivier de candidat ? Puis-je conserver le CV plusieurs années ?
Qu'est-ce qu'une donnée à caractère personnel ?
Dans le guide, vous découvrirez qu'une donnée à caractère personnel est une information se rapportant à une personne physique qui peut être identifiée ou identifiable, directement ou indirectement. Par exemple, dans le cadre d’un recrutement, il peut s’agir d’informations sur l’identité du candidat, telles que le nom et le prénom, ses expériences professionnelles (stages, périodes de volontariat international en entreprise, emplois occupés), sa formation (diplômes, certifications etc.), l’évaluation de ses aptitudes et compétences (résultats des tests de connaissances, de logique, de personnalité, etc.). Bien sûr, ces informations figurent sur le CV et les lettres de motivation, mais elles concernent bien évidemment également les tests réalisés par le recruteur ou encore les certificats de travail. Au delà des informations obtenues directement au cours de l’entretien, elles incluent également celle collectées indirectement auprès d’une autre source telle que les réseaux sociaux, les références obtenues auprès de relations professionnelles.
L'obligation d'un traitement de manière licite, loyale et transparente
Ces informations personnelles fournies par les candidats doivent être traitées de manière licite, loyale et transparente. A titre d'exemple, l’utilisation par un recruteur d’un dispositif de classement des candidatures engendrant des pratiques discriminatoires en lien avec l’âge, le sexe, l’origine, le handicap ou encore avec le lieu de résidence des candidats est illégal.
Demander le lieu de résidence d’un candidat est illicite, excepté dans les cas où le candidat doit participer à un dispositif de garde et d’astreinte.
De même, le fait de filmer un entretien d’embauche sans en informer le candidat ne constitue pas une collecte loyale et transparente des données.
La finalité des données collectées
Autre exemple de collecte illégitime : la constitution d’un vivier de candidats réalisé à partir de la parution d’une annonce qui correspondrait à une fausse offre d’emploi. En effet, les informations concernant les candidats doivent être collectées et conservées pour des finalités déterminées, explicites et légitimes. Par exemple, ne peut être considérée comme légitime. Seules les informations adéquates, pertinentes et limitées à ce qui est nécessaire peuvent être collectées sur les candidats à un emploi.
La collecte d'informations adéquates, pertinentes et limitées
Il est interdit de demander à un candidat des informations sur ses parents, sa fratrie, ses opinions politiques, son état de santé, son projet de parentalité ou bien son appartenance syndicale. La collecte d’informations sur les candidats peut être plus étendue pour certains emplois nécessitant la réalisation préalable d’une enquête administrative dans le cadre de laquelle des informations spécifiques peuvent être demandées.
La conservation des données pour une durée strictement nécessaire
Les données du candidat doivent être conservées pour une durée strictement nécessaire à l’objectif poursuivi par le traitement. Par exemple, la conservation par un recruteur des CV et lettres de motivation des candidats à un emploi écartés du processus de recrutement pour les recontacter en cas de nouvelles opportunités d’emploi et pour alimenter son « vivier de candidats » pendant une durée de cinq ans, est en principe excessive.
- Fiche n° 1 : Qu’est-ce qu’un traitement de données à caractère personnel dans le cadre du recrutement ?
- Fiche n° 2 : Quelles sont les finalités des traitements constitués à des fins de recrutement ? La règle de base est que les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.
- Fiche n° 3 : Qui est responsable des traitements mis en œuvre dans le cadre des recrutements ? Le RGPD prévoit trois catégories spécifiques d’acteurs : responsable de traitement, responsable conjoint de traitement et sous-traitant.
- Fiche n° 4 : Quelle base légale peut être invoquée pour constituer des traitements à des fins de recrutement ? Pour être licite, tout traitement de données doit reposer sur l’une des six « bases légales » prévues par le RGPD, décidée en amont du traitement. Ce choix emporte des conséquences, notamment sur les droits des personnes.
- Fiche n° 5 : Quelles données peuvent être collectées par un recruteur ?Seules des données adéquates, pertinentes et strictement nécessaires à la sélection du candidat à un poste donné et au déroulement de l’entretien d’embauche peuvent être collectées.
- Fiche n° 6 : Qui peut accéder aux données collectées sur les candidats ? Le recruteur doit définir les personnes habilitées à accéder aux données personnelles des candidats.
- Fiche n° 7 : Quels sont les droits des candidats sur leurs données à caractère personnel ?
- Fiche n° 8 : Comment le recruteur informe-t-il les candidats ?
- Fiche n° 9 : Quelle est la durée de conservation des données collectées à des fins de recrutement ?
- Fiche n° 10 : Comment le recruteur doit-il documenter ses traitements ? Et ce notamment au travers du registre des activités de traitement et l’analyse d’impact relative à la protection des données (AIPD).
- Fiche n° 11 : un recruteur peut-il avoir recours à des outils d’évaluation de la personnalité du candidat (tests de personnalité, jeux sérieux, jeux intelligents, etc.) ? Ces outils ne peuvent être utilisés qu’à la condition de présenter un lien objectif, direct et nécessaire avec l’appréciation de la capacité à occuper l'emploi proposé ou les aptitudes professionnelles des candidats, lesquels bénéficient d’un droit renforcé à la transparence.
- Fiche n° 12 : À quelles conditions un recruteur peut-il utiliser la vidéo dans le processus de recrutement ?
- Fiche n° 13 : Un recruteur peut-il avoir recours à des logiciels de tri, de classement et d’évaluation dans le cadre du recrutement ?
- Fiche n° 14 : Un recruteur peut-il avoir recours aux données publiquement disponibles, notamment sur Internet, dans le cadre du recrutement ? Le recueil, par un recruteur, des informations publiées par un candidat sur un réseau social ou plus généralement sur Internet constitue un traitement de données personnelles. Par conséquent, des règles doivent être respectées.
- Fiche n° 15 : Un recruteur peut-il mettre en œuvre des listes d’exclusion des candidats ? Dans le cas de certains traitements susceptibles d’exclure les candidats à un emploi en raison de leurs expériences passées, l’utilisation de ces fichiers d’exclusions sont soumises à des garanties strictes.
- Fiche n° 16 : Quel cadre juridique s’applique à la collecte du casier judiciaire et aux vérifications obligatoires ? La consultation et la délivrance d’un extrait de casier judiciaire doit présenter un lien direct et nécessaire avec le poste à pourvoir. En l’absence de texte spécifique, un recruteur ne pourra en principe pas obtenir d’extrait de casier judiciaire d’un candidat.
- Fiche n° 17 : Quel cadre s’applique à la collecte de données potentiellement discriminantes ?
- Fiche n° 18 : Quelles spécificités s’appliquent au recrutement de candidats de nationalité étrangère ? Sous réserve de ne pas utiliser la nationalité comme critère de discrimination, directe ou indirecte, de candidats au recrutement, la collecte de cette information peut être justifiée dans certains cas.
- Fiche n° 19 : Quel cadre juridique s’applique à la collecte des données sensibles ? Le traitement de données dites « sensibles » concernant le candidat (telles que les données relatives à la santé, à la prétendue origine raciale ou à l’origine ethnique, aux convictions religieuses, etc.) est interdit, sauf exceptions expressément visées par le RGPD.
Pour consulter ce guide très complet et pédagogique de 100 pages : ici
Les commentaires récents