Qu’est-ce que le RGPD a à voir avec le recrutement ? Pas grand-chose me direz-vous. Et pourtant, les données personnelles des candidats et des nouvelles recrues ne sont pas à négliger. Suivez nos recommandations.
Prudence sur le choix des moyens pour le recrutement !
Pour l’organisation du recrutement, une société peut avoir recours à divers moyens : outils, plateformes en ligne, cabinets de recrutement, etc.
Les prestataires fournissant ces moyens vont collecter et traiter des données personnelles pour le compte de la société qui recrute : curriculum vitae (CV), noms, prénoms, adresses postales, numéros de téléphone des candidats, etc.
Le recruteur devra veiller à ce que ses prestataires respectent le droit des données, notamment quant aux informations qui seront fournies aux candidats mais également pour la durée de conservation des données ou leur localisation. La lecture des contrats, des conditions générales des prestataires et/ou de la politique de confidentialité ne doit pas être évitée.
Si la société organise elle-même le recrutement, elle devra fournir les informations adéquates aux candidats et s’assurer qu’elle collecte des données strictement nécessaires pour le recrutement pour répondre au principe de « minimisation ».
S’il a désigné un délégué à la protection des données (DPO), l’employeur devra l’en informer afin qu’il puisse l’accompagner dans ses démarches et s’assurer que la documentation d’accountability (telle que le registre ou le listing des prestataires de la société) contient les informations appropriées ou sera mise à jour en ce sens.
Que faire des données personnelles (comme les CV) des candidats non sélectionnés ?
Une fois le processus de recrutement achevé, les données personnelles des candidats non sélectionnés ne peuvent pas être conservées pour une durée indéfinie.
La CNIL préconise de demander, à l’issue de la sélection, aux candidats non sélectionnés si elles/ils souhaitent que le recruteur conserve ou non sa candidature.
Selon les recommandations de la CNIL, à défaut d’une demande immédiate de suppression des données des candidats non sélectionnés, la société devra supprimer les données automatiquement dans un délai de deux ans après le dernier contact avec un candidat, sauf autorisation par un candidat de conserver ses données plus longtemps.
La CNIL actualise ses recommandations en matière de recrutement afin de les mettre à jour avec le RGPD. Elle a par ailleurs lancé en septembre 2021 une consultation publique sur un projet de guide visant à aider les professionnels du recrutement à respecter la protection des données. Dans l’attente de la version définitive, le projet de guide est disponible ici.
Et les données personnelles des nouvelles recrues ?
Le contrat de travail des nouvelles recrues doit contenir une clause de protection des données les informant des conditions de traitement de leurs données personnelles par l’employeur. En cas d’utilisation de l’image des nouvelles recrues, il ne faudra pas oublier de leur faire signer une autorisation de cession de droit à l’image.
Durant l’exécution du contrat de travail, les données personnelles des nouvelles recrues vont être exploitées par l’employeur conformément à la politique de gestion du personnel mise en place.
Nous recommandons de s’assurer que la documentation d’accountability de l’employeur couvre bien les aspects de gestion du personnel.
Pour plus d’information, le référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel est disponible ici.