Le processus de recrutement implique la collecte d’un certain nombre de données personnelles sur les candidats, afin d’évaluer leurs compétences professionnelles et de prendre des décisions éclairées quant à leur adéquation aux postes vacants.
La collecte et l’usage de ces données ne peuvent toutefois se faire que dans le respect des dispositions légales applicables, notamment les règles énoncées par le Règlement Général sur la Protection des Données. Ces règles visent à garantir une gestion responsable des données par le Responsable du Traitement et à préserver les droits des individus.
Quelles données sont concernées lors d’une phase de recrutement ?
Les données collectées dans le cadre d’un recrutement peuvent être multiples. Elles peuvent englober l’identité du candidat, son parcours professionnel, sa formation, ses compétences ou encore ses qualifications. Ces informations peuvent être obtenues directement auprès du candidat ou de manière indirecte via d’autres sources.
Elles peuvent ainsi provenir du CV, de la lettre de motivation, des certificats de travail, des entretiens d’embauche, des réseaux sociaux, ou encore des références.
Par ailleurs, certaines données peuvent être déduites par le recruteur à partir de l’analyse du profil du candidat, permettant ainsi d’évaluer ses aptitudes et compétences. D’autres encore peuvent même s’avérer être des données sensibles, nécessitant un traitement adéquat et une surveillance accrue du Délégué à la Protection des données (ou Data Protection Officer).
Quelles obligations êtes-vous tenus de respecter pour vos recrutements ?
Comme pour tout traitement de données personnelles, le recruteur doit veiller à respecter un ensemble de principes afin d’assurer la bonne protection des données à caractère personnel des personnes physiques et ainsi garantir une conformité effective du traitement en question.
Limitation de la Finalité
Concernant la limitation de la finalité dans le cadre du recrutement, seules deux finalités sont admises pour la collecte des données des candidats : évaluer leur aptitude à occuper le poste proposé et mesurer leurs compétences professionnelles.
La finalité du traitement doit être légitime, ne portant pas atteinte à une réglementation spécifique, un principe général de droit, ou une liberté fondamentale. Elle doit être définie avant tout traitement avec suffisamment de précision et être communiquée au candidat. De plus, les données collectées et traitées ne peuvent être réutilisées ultérieurement à des fins incompatibles, sans rapport avec la finalité initiale du traitement.
Licéité du traitement
Pour être considéré comme licite, tout traitement de données doit reposer l’une des bases légales prévues par le RGPD. L’identification de la base légale doit être effectuée avant le traitement et doit être communiquée aux personnes concernées.
Dans le cas où plusieurs bases légales sont envisageables pour une même finalité, il est impératif de choisir la base plus appropriée, le cumul de plusieurs bases légales pour une même finalité n’étant pas admis. La CNIL recommande de s’appuyer sur l’intérêt légitime lors de l’utilisation d’outils et de technologies innovantes pour évaluer la capacité du candidat à un emploi et mesurer ses aptitudes professionnelles. Aussi, l’exécution d’un contrat est préconisée pour la constitution d’un vivier de candidats par une agence d’intérim.
Minimisation des données
La collecte de données doit se limiter aux données strictement nécessaires à l’évaluation de la capacité du candidat à occuper le poste proposé ou à la mesure de ses aptitudes professionnelles. Ainsi, les données doivent servir uniquement à confirmer ou à rejeter une candidature, et il est interdit de recueillir des données qui n’ont pas de lien direct avec l’emploi proposé ou l’évaluation des compétences professionnelles.
Un exemple de données qui ne devraient pas être collectées dans le cadre d’un processus de recrutement serait des l’orientation sexuelle ou encore les croyances religieuses, car ces données ne sont pas directement pertinentes pour évaluer la capacité d’un candidat à occuper un poste ou à mesurer ses aptitudes professionnelles.
Ce principe permet notamment de limiter les risques en cas de violation de données, en plus de s’inscrire dans une démarche éthique de protection des données personnelles.
Limitation du partage des données
Le partage de données, que ce soit en interne entre les collaborateurs ou avec des parties externes, par exemple des sous-traitants, est possible, à condition de respecter certaines conditions. Seules les personnes chargées du processus de recrutement doivent avoir l’autorisation d’accéder aux données, et cet accès doit être restreint aux individus habilités en fonction de leurs missions.
Respect des droits des personnes
Les candidats à un emploi bénéficient de divers droits, et il est exigé de les informer de ces droits. Le recruteur doit mettre en place les mesures nécessaires pour garantir une gestion efficace de ces droits, en respectant les délais de réponse.
Limitation de la conservation des données
Les données recueillies au cours d’un processus de recrutement ne peuvent pas être conservées de manière indéfinie. Il revient au recruteur de définir préalablement la durée de conservation, qui doit être cohérente et justifiée en fonction de la finalité du traitement.
Pour conclure
La CNIL précise que les employeurs peuvent conserver en base active les candidatures non retenues jusqu’à trois mois après l’aboutissement du processus de recrutement, dans le but d’expliquer les motifs de la décision aux candidats. Par ailleurs, dans le cas où le candidat donne son consentement, la conservation peut être prolongée, et cette durée doit être déterminée en fonction du type de poste, sans dépasser deux ans à partir du dernier contact avec le candidat non retenu.
A noter que la conservation des données doit avoir pour seul but de recontacter le candidat en cas de nouvelles opportunités ou de contribuer à l’enrichissement d’une base de données.
