Protection des données personnelles : la CNIL publie un guide à l’attention des recruteurs

Pas très à l’aise avec le RGPD ? La Commission nationale de l’informatique et des libertés (la CNIL) vient de publier un guide pour vous permettre de mieux appréhender les enjeux de protection des données personnelles dans le contexte d’un recrutement.

Accessible et pédagogique, ce document comprend 19 fiches et autant de réponses à des questions bien précises, que se pose tout recruteur soucieux de ne pas porter atteinte à la vie privée des candidats. On en a sélectionné 5 pour vous !

Quelles données peuvent être collectées par un recruteur ?

Les informations recueillies sur le candidat doivent avoir pour seule finalité d’évaluer son aptitude à exercer le poste. Elles peuvent être relatives à :

• Son identification
• Son expérience professionnelle
• Sa formation
• L’évaluation de ses aptitudes et compétences.

En revanche, demander des informations sans lien direct avec l’emploi proposé ou les compétences requises est interdit. Cela recouvre notamment :

• Le numéro de Sécurité sociale du candidat et ses coordonnées bancaires
• Des informations relatives aux membres de sa famille
• Un éventuel projet d’enfant
• Ses mensurations, sa couleur d’yeux, de cheveux, de peau (sauf pour certains emplois de type mannequin, pilote de course, jockey…)

Quelle est la durée de conservation des données collectées à des fins de recrutement ?

Deux principes à retenir : la durée de conservation des données personnelles doit être définie en amont par le recruteur et doit être cohérente avec le traitement réservé à ces informations.

Dans le cadre d’un recrutement, les données des candidats ont un cycle de vie qui se déroule en deux, voire trois phases :

• L’utilisation courante: cette base active comprend les informations auxquelles le recruteur a besoin d’avoir immédiatement accès pour un recrutement en cours : CV et lettre de motivation, coordonnées… Il peut conserver ces données sur son ordinateur professionnel ou sur un serveur de l’entreprise. La durée de conservation de ces données en base active est égale à la durée du processus de recrutement.
• L’archivage intermédiaire: une fois le processus de recrutement achevé, que le candidat ait été embauché ou non, les informations collectées par le recruteur sont transférées sur une base intermédiaire. Le recruteur pourra ainsi les consulter en cas, par exemple, de contentieux (action en discrimination de la part du candidat…). La durée de conservation des données en base intermédiaire relève de l’appréciation du recruteur qui peut se baser, par exemple, sur les délais de prescription en cas de contentieux. À l’issue de cette période prédéfinie, les données doivent être supprimées ou anonymisées.
• L’archivage définitif: dans de rares cas, les informations peuvent être conservées sans limitation de durée. Il s’agit notamment des données utilisées à des fins de recherche scientifique ou historique, statistiques ou archivistiques pour le public.

Comment le recruteur informe-t-il le candidat de ses droits ?

La personne chargée de traiter les données à caractère personnel (le plus souvent le recruteur) doit donner au candidat les informations suivantes :

• Son identité et ses coordonnées
• L’identité et les coordonnées du délégué à la protection des données, le cas échéant
• L’objectif poursuivi par la collecte de ces informations
• Le cadre légal de cette collecte de données
• Le caractère obligatoire ou facultatif des données à fournir par le candidat
• Le(s) destinataire(s) de ces informations
• La durée de conservation de ces données
• Le transfert de ces données à un pays tiers, si applicable
• Les droits dont dispose le candidat (accès aux données, droit de rectification ou demande de suppression, demande de limitation du traitement…)
• Sa possibilité d’établir une réclamation auprès de la CNIL
• La nature des données collectées
• La source de ces données
• Le cas échéant, l’utilisation d’une prise de décision automatisée (par exemple pré-sélection des candidatures par un algorithme)

Ces mentions peuvent apparaître, par exemple, dans la partie recrutement du site web de l’entreprise, sur l’offre d’emploi, dans le mail qui accuse réception de la candidature.

À quelles conditions un recruteur peut-il utiliser la vidéo dans le cadre d’un processus de recrutement ?

Utiliser la vidéo présente des avantages pour le recruteur comme pour le candidat, en permettant au premier d’enregistrer l’entretien en vue d’une analyse ultérieure et au second de ne pas se déplacer.

Pourtant, il convient d’être particulièrement vigilant lors de l’utilisation de logiciels de visioconférence dans le contexte d’un recrutement, car certains d’entre eux permettent d’accéder à des données personnelles (carnet d’adresses, messageries, géolocalisation…) sans aucun lien avec le poste à pourvoir ou les compétences du candidat.

Privilégiez des solutions qui font preuve de transparence à l’égard des personnes concernées, qui collecte le minimum de données et qui ne transfère pas ces informations vers des pays tiers qui ne seraient pas encadrés juridiquement.

Le recruteur doit enfin clairement informer le candidat s’il souhaite enregistrer l’entretien et lui indiquer le traitement qui sera réservé à ces données.

Un recruteur peut-il avoir recours aux données publiquement disponibles, notamment sur internet, dans le cadre d’un recrutement ?

En vertu de l’article L. 1221-6 du Code du travail, la consultation de données publiquement accessibles par le recruteur ne peut avoir pour finalité que d’apprécier la capacité du candidat à occuper l’emploi proposé ou ses aptitudes professionnelles.

Concrètement, un recruteur peut consulter le profil d’un candidat sur un réseau social professionnel, ou bien un article sur un blog personnel dont le lien lui aurait été transmis par le candidat.

En revanche, il est illicite de prendre en compte des éléments recueillis sur des réseaux sociaux non professionnels dans le cadre du processus de recrutement.

Accéder au guide complet