Dans le cadre d’un processus de recrutement, le recruteur est amené à collecter, traiter, transmettre, conserver des données à caractère personnel sur les candidats par diverses opérations (analyse des candidatures, mesure des aptitudes professionnelles, etc). Ces opérations doivent répondre aux exigences du RGPD.
Les recruteurs peuvent dans certains cas être responsables de traitement (exemple : un employeur utilisant son propre site web pour recruter) ou sous-traitant (exemple : un cabinet d’outsourcing traitant les données sur instruction du responsable de traitement ou solution SaaS de gestion des candidatures).
La CNIL vient de publier un « Guide Recrutement » le 30 janvier 2023 à destination des recruteurs et autres intervenants composé de 19 fiches pratiques (https://www.cnil.fr/sites/cnil/files/atoms/files/guide_referentiel_-_recrutement.pdf).
D’autres outils ont été élaborés afin d’être mis à disposition des personnes impliquées dans le processus de recrutement :
- Une fiche dédiée aux TPE/PME : cinq questions incontournables à se poser (https://www.cnil.fr/fr/recrutement-et-donnees-personnelles-dans-les-tpepme-cinq-questions-incontournables-se-poser) ;
- Un questionnaire d’auto-évaluation au RGPD (https://www.cnil.fr/fr/recruteurs-testez-votre-conformite-au-rgpd-grace-un-questionnaire-dauto-evaluation) ;
- Une fiche pratique dédiée aux candidats à un processus de recrutement : adoptez les quatre bons réflexes pour protéger vos informations personnelles lors d’un recrutement (https://www.cnil.fr/fr/candidats-adoptez-les-4-bons-reflexes-pour-proteger-vos-informations-personnelles-lors-dun).
La CNIL a également organisé un webinaire ayant pour objectif de faire (re)découvrir les cinq règles d’or en matière de protection des données lors d’un recrutement.
Première règle : Le recruteur ne peut utiliser que les informations qui permettent d’évaluer la capacité des candidats à occuper un emploi ou à mesurer leurs aptitudes professionnelles.
Dans la mesure où l’entreprise cherche à identifier quel est le candidat le plus adapté au poste qu’elle propose, la collecte de données personnelles doit avoir pour unique but de mesurer les connaissances du candidat, son savoir-faire, son savoir être, vérifier son parcours de formation, etc.
S’il peut être tentant pour un recruteur de vouloir récolter un maximum d’informations sur le candidat, il ne peut collecter que des données personnelles qui ont un lien direct avec l’évaluation de ses capacités ou aptitudes professionnelles.
Par exemple, lors d’un entretien, le recruteur doit s’interdire de poser des questions sur la situation familiale de la personne ou ses projets parentaux. Il ne peut pas collecter le NIR du candidat ou son relevé d’identité bancaire. Des informations telles que les mensurations, le poids, la taille n’ont en principe pas vocation à être collectées, sauf dans des circonstances très particulières (emploi de mannequin, de pilote…) et à condition que l’offre définisse en amont les caractéristiques physiques du candidat. Le recruteur ne peut pas davantage utiliser des données ou images trouvées sur Facebook ou Instagram.
Deuxième règle : Le recruteur doit garantir que les informations personnelles seront traitées de manière licite, loyale et transparente.
La CNIL souligne par exemple que demander le lieu de résidence du candidat, si ce dernier n’a pas vocation à participer à un dispositif de garde ou d’astreinte, correspond à une collecte illicite d’informations personnelles.
Par ailleurs, si le recruteur venait à filmer l’entretien d’embauche sans en informer préalablement le candidat, la collecte des données personnelles du candidat serait considérée comme déloyale.
Troisième règle : Le recruteur doit garantir que les informations personnelles sur les candidats sont collectées et conservées pour des finalités déterminées (suffisamment précises et identifiées), explicites (claires et compréhensives) et légitimes.
Par exemple, pour les entreprises qui proposent des offres accessibles à personnes atteintes de handicap, une information particulière doit être rédigée pour préciser les finalités de manière explicite en prenant en compte le niveau de handicap de la personne.
Pour que la finalité soit légitime, il faut que la collecte des données soit toujours conforme à une réglementation spécifique et ne remette pas en cause une liberté fondamentale ou un principe général du droit.
Par exemple, une offre d’emploi qui spécifierait que l’entreprise recherche des personnes de moins de 35 ans pour donner une image « dynamique » à l’entreprise serait à l’origine d’une discrimination et constituerait donc une finalité illégitime.
Quatrième règle : Le recruteur doit garantir que l’accès aux informations personnelles collectées sur les candidats est bien limité.
Quand un recruteur reçoit des CV, des lettres de motivation etc, ces documents qui contiennent des données à caractère personnel n’ont pas vocation à être partagés entre toutes les personnes de l’entreprise : seul le recruteur (le manager, la personne en charge de recrutement ou le DRH) peut accéder à ces informations personnelles. Cependant, l’entreprise peut définir d’autres personnes habilitées à accéder à celles-ci au regard de leurs attributions et de la nature des missions qu’elles exercent. Ces agents doivent toutefois être soumis à une obligation de confidentialité.
Dans certains cas, l’accès aux données à caractère personnelles peut se faire à l’extérieur, on parle de destinataires des données (exemple : cabinet de recrutement), qui vont assurer une pré-sélection des candidats, pour ensuite les transmettre à l’entreprise qui opérera la sélection finale.
Les candidats disposent de l’ensemble des « droits RGPD » qu’ils sont libres d’exercer auprès de l’entreprise mais également auprès de ces cabinets.
Cinquième règle : Le recruteur doit mettre en place des garanties pour veiller au respect de la vie privée
- Information du candidat
Le recruteur doit informer les candidats de l’identité du responsable de traitement, des coordonnées du DPO, des objectifs poursuivis par le traitement de données à caractère personnel, de la finalité, de la base légale du traitement etc… (cf article 13 du RGPD).
Le candidat doit être informé de sa possibilité ou non de transmettre ses données personnelles, et s’il ne les transmet pas des conséquences en cas de non-transmission (évidemment, il s’agira de la non-prise en compte de sa candidature). Le candidat doit être informé des destinataires de ses données (internes et externes), des durées de conservation appliquées, ainsi que des conditions d’exercice de ses droits. Il doit également être informé si le traitement met en œuvre une décision automatisée (exemple : utilisation d’un algorithme pour trier les candidatures) ainsi que de sa possibilité de saisir la CNIL.
- Permettre au candidat d’obtenir une copie des informations à caractère personnelles le concernant
En mettant en œuvre son droit d’accès, le candidat doit par exemple pouvoir obtenir les informations en lien avec le traitement de sa candidature, les résultats des tests qu’il a passés, etc. Il doit également avoir accès aux données sur lesquelles le recruteur s’est fondé pour prendre une décision le concernant (et donc aux notes prises pendant l’entretien). La CNIL recommande que ces données soient transmises par écrit.
- Le recruteur ne peut garder les données personnelles que pour une durée limitée, qui correspond aux objectifs de la collecte
Une fois le processus de recrutement achevé, l’objectif de la collecte (apprécier la capacité d’un candidat à occuper un emploi ou à mesurer ses aptitudes professionnelles) est atteint, l’entreprise n’a donc plus besoin de conserver les données en « base active ». En revanche, ces informations peuvent toujours présenter un intérêt (par exemple pour la gestion de contentieux lié à une potentielle discrimination), et peuvent donc être conservées en base intermédiaire (5 ans dans ce cas), où elles ne pourront être consultées que de manière ponctuelle et justifiée. Dans le cas d’une issue négative de la candidature, les CV et lettres de motivation pourront être conservés pour une durée ne pouvant pas excéder 2 ans.
Les recruteurs doivent donc respecter les règles du RGPD et accorder une attention particulière aux données qu’ils utilisent, en limitant la récolte aux données strictement nécessaires au processus de recrutement. Les droits des candidats doivent être respectés, même pour ceux qui n’ont pas été retenus, et le traitement des données doit être sécurisé et limité dans le temps. S’il est tentant pour les recruteurs d’utiliser de nouvelles technologies, ils doivent veiller au respect de la règlementation en vigueur, qui est multiple (RGPD, loi Informatique et Libertés mais aussi la jurisprudence et les conventions collectives). Ces nouvelles technologies les amènent d’ailleurs parfois à évaluer la personnalité du candidat, traitement autorisé par le RGPD s’il respecte certaines règles spécifiques (voir la deuxième partie de notre article sur le thème des tests de personnalité).
Charlotte GALICHET
Pauline LEYVAL