Recrutement : quelles sont les obligations en matière de données personnelles des candidats ?
Les services de recrutement doivent respecter un certain nombre d’obligations dans la collecte et l’utilisation des données personnelles des candidats à un emploi, conformément au RGPD.
Dans le cadre d’un recrutement, les entreprises, et particulièrement les services RH et les recruteurs, sont amenés à collecter tout un tas d’informations à caractère personnel sur les candidats potentiels à un emploi. Il s’agit bien évidemment de leur prénom et de leur nom, de leur adresse mail, leur numéro de téléphone, mais aussi des diplômes et certifications qu’ils ont obtenus, de leurs expériences professionnelles passées ainsi que d’éventuels tests destinés à évaluer les compétences des candidats.
Données adéquates, pertinentes et strictement nécessaires
Toutes ces données personnelles sont régies par le Règlement général sur la protection des données (RGPD), qui encadre depuis 2018 la collecte et le traitement des données personnelles au sein de l’Union européenne. Dans le cadre d’un recrutement, l’entreprise peut seulement collecter « des données adéquates, pertinentes et strictement nécessaires à la sélection du candidat à un poste donné et au déroulement de l’entretien d’embauche », indique la Cnil sur son site internet.
Concrètement, elle ne peut demander des informations qui n’ont aucun rapport avec le poste à pourvoir, comme de savoir si la personne est propriétaire ou locataire de sa résidence principale, ou quelle est sa taille de vêtement (sauf si l’emploi à pourvoir est un poste de mannequin). Au-delà de la collecte et du traitement des données, il existe de toute façon des questions interdites de poser en entretien d’embauche.
Recueil du consentement pas nécessaire
Contrairement aux autres domaines où des données sont collectées, le recueil du consentement n’est pas nécessaire dans le cadre d’un processus de recrutement. La Cnil estime, en effet, qu’un candidat qui ne donnerait pas son consentement verrait ses chances d’obtenir l’emploi amoindries. En revanche, le recueil de ce consentement est obligatoire pour l’utilisation de cookies sur un site carrière ou sur les offres d’emploi d’une entreprise.
Conformément au RGPD, l’entreprise qui recrute doit aussi définir quelles sont les personnes habilitées à accéder aux données personnelles des candidats. Celles-ci sont autorisées « au regard de leurs attributions et de la nature des missions ou fonctions qu’elles exercent », précise la Cnil. L’entreprise se doit aussi de prendre des mesures pour assurer la protection de ces données personnelles.
Droits d’accès, de rectification et de suppression
Comme dans tous les domaines où une collecte de données personnelles est en jeu, régis par le RGPD, le candidat dispose de droits d’accès, de rectification, de suppression et de portabilité des données le concernant, ainsi que d’un droit d’opposition ou de limitation du traitement de ses données. Au nom de ces droits, le candidat peut notamment demander à l’entreprise qui recrute de lui communiquer l’ensemble des données le concernant et demander à connaître la source de ces informations.
Il peut aussi « demander à accéder aux données sur lesquelles le recruteur s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient fondé une décision de recrutement, les évaluations professionnelles pratiquées, les résultats obtenus aux tests réalisés) », ajoute la Cnil.
Droit à l’effacement
En plus d’un droit à la rectification, les candidats disposent d’un droit à l’effacement. Celui-ci s’applique notamment dans le cas où ces données ne sont plus nécessaires au regard de l’objectif poursuivi ou si elles ont fait l’objet d’un traitement illicite. Dans le cas d’un recrutement, la Cnil fixe à deux ans la durée de conservation des informations à caractère personnel sur les candidats non retenus. A l’inverse, ce droit peut être écarté dans des cas très limités, par exemple au nom de la protection du droit à la liberté d’expression et d’information.
Dans le cas d’une utilisation plus longue que cette durée de deux ans, par exemple si l’entreprise souhaite constituer un vivier de candidats en vue de prochains recrutements, il est conseillé aux recruteurs de demander explicitement le consentement de l’utilisateur pour la conservation de ses données personnelles.
En cas de non-respect de ces obligations, un recruteur, et plus largement toute entreprise amenée à collecter et à traiter des données personnelles, risque une amende pouvant aller jusqu’à 4% de son chiffre d’affaires. Il s’expose aussi à des sanctions de la Cnil pouvant aller du rappel à l’ordre jusqu’à la suspension des flux de données. De quoi alourdir sérieusement la facture d’un recrutement !
En résumé :
– C’est le RGPD qui encadre la collecte et l’utilisation des données personnelles. Dans le cadre d’un recrutement, recueillir le consentement du candidat n’est pas obligatoire.
– Les données collectées doivent être en rapport avec l’emploi à pourvoir.
– L’employeur doit assurer la protection de ces données. Il peut conserver les informations des candidats non retenus pendant une durée de deux ans.
– Pour travailler avec un vivier de candidats au-delà de cette durée de deux ans, l’entreprise doit demander le consentement du candidat.
– Le candidat dispose d’un droit d’accès, de rectification et de suppression de ses données personnelles.
– Si elle ne respecte pas le RGPD, une entreprise s’expose à des sanctions pouvant aller jusqu’à 4% de son chiffre d’affaires.
Bien s’équiper pour bien recruter
