RGPD et recrutement, c’est du déjà-vu ? Il est vrai que nous avions apporté quelques éclaircissements dans notre article dédié ici. La CNIL vient de sortir 19 fiches sous forme de questions-réponses permettant d’accompagner les professionnels à toutes les étapes du recrutement.
Pour le lire c’est ici, mais en voici 5 de notre sélection :
Qui peut accéder aux données personnelles des candidats ?
Cela peut apparaître évident mais tous les salariés d’une société recruteuse ne sont pas légitimes à accéder aux données personnelles des candidats : le recruteur doit désigner les personnes habilitées en considération de leurs fonctions et missions.
Elles peuvent appartenir à la société : dans ce cas, ils sont des « accédants » habilités, dont les fonctions justifient l’accès aux candidatures et sont soumis à une obligation de confidentialité. Il peut s’agir du responsable Ressources Humaines, du manager du futur candidat, du directeur général, etc.
Elles peuvent être externes : dans ce cas, ils sont des destinataires au sens du RGPD, devant recevoir les informations strictement nécessaires à l’exercice de leurs missions et ce, dans le cadre du processus de recrutement. Il peut s’agir des organismes gestionnaires des prestations d’assurance chômage ou maladie lorsque le processus de recrutement est achevé.
Une fois la politique d’accès aux données établie, il convient également de prévoir les mesures de sécurité pour contrôler et limiter l’accès aux données des candidats.
Ainsi, la CNIL nous donne dans son guide un exemple d’une mauvaise pratique : laisser les curriculum vitae (CV) des candidats sur un bureau accessible à toute l’équipe…
Quels sont les droits des candidats sur leurs données personnelles ?
Les candidats disposent de droits lors du traitement de leurs données personnelles à des fins de recrutement, comme accéder aux données collectées, les faire rectifier, les faire supprimer, s’opposer à un traitement, recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine, etc.
Par exemple : un candidat postule dans une société pour un poste à pourvoir à la suite d’une annonce. Le candidat se voit proposer un entretien mais quelques jours plus tard, il annonce à la société recruteuse avoir trouvé un emploi et qu’il souhaite quitter le processus de recrutement. Il est en droit de demander l’effacement des données associées à sa candidature.
En cas de demande d’exercice de ces droits, le recruteur doit répondre au candidat dans un délai d’un mois. Ce délai peut être prolongé de deux mois si la demande s’avère complexe ou si vous recevez un nombre important d’autres demandes d’exercice de droit. Dans ce cas, le recruteur devra informer le candidat avant la fin du délai de 30 jours de la prolongation de deux mois supplémentaires.
Comment informer les candidats ?
Les candidats doivent être informés par le recruteur de leurs droits et des traitements mis en œuvre. Le défi est de transmettre toutes ces informations de manière concise, transparente, compréhensible et aisément accessible.
La CNIL nous donne dans son guide des exemples de phrases qui ne sont pas suffisamment claires pour comprendre la finalité du traitement du recruteur :
- « Dans le cadre du processus de recrutement, il se peut que nous utilisions vos données à caractère personnel en vue de procéder à des vérifications » ;
- « Les informations que nous collectons dans le cadre du processus de recrutement sont susceptibles d’être réutilisées à d’autres fins ».
La CNIL recommande que cette transmission d’informations se fasse dans un écrit au moment de la collecte des données (par exemple, lorsque le candidat remplit un formulaire en ligne sur un site internet). En cas de candidature spontanée depuis le site internet de la société, il est possible de renvoyer vers une politique de confidentialité accessible sur le site.
Pour rappel, les informations à fournir sont :
- l’identité et les coordonnées du responsable de traitement ;
- le cas échéant, les coordonnées du DPO ;
- la finalité du traitement ;
- la base légale du traitement ;
- le caractère obligatoire ou facultatif des réponses ;
- les destinataires des informations ;
- le cas échéant, l’existence d’un transfert de données vers un pays tiers ;
- la durée de conservation des informations ;
- l’existence et les conditions d’exercice des droits applicables ;
- la possibilité d’introduire une réclamation auprès de la CNIL ;
- le cas échéant, l’existence d’une prise de décision automatisée.
Ce n’est pas tout : le Code du Travail comporte également des règles spécifiques. Par exemple, le candidat doit être expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d’aide au recrutement utilisées à son égard.
Quelle durée de conservation des données personnelles des candidats ?
Nous ne le répéterons jamais assez : les données collectées, y compris lors d’un processus de recrutement, ne peuvent pas être conservées indéfiniment. La durée de conservation dépend de la finalité. La CNIL fournit des repères pour les durées de conservation, mais chaque recruteur doit choisir la durée raisonnable.
La CNIL recommande d’appliquer une politique de conservation des données en 2 phases :
- une utilisation des données de façon courante dans une base active lorsque le recrutement est en cours : conservation jusqu’à 3 mois après l’aboutissement du processus de recrutement et pas plus de 2 ans à compter du dernier contact avec le candidat non retenu (avec possibilité de prolonger de deux années supplémentaires avec le consentement du candidat) ;
- un archivage intermédiaire (ou base intermédiaire) lorsque le processus de recrutement est achevé : conservation jusqu’à 5 ans à compter de la date de décision d’embauche.
Après l’expiration de la durée de conservation en base intermédiaire, les données doivent être supprimées ou anonymisées par le recruteur.
Pour les intermédiaires, comme les cabinets de recrutement, qui souhaitent conserver les données personnelles d’un candidat pour le recontacter et lui proposer de nouvelles opportunités d’emploi, la CNIL recommande au recruteur de recueillir le consentement du candidat à la conservation de son dossier de candidature pendant une durée raisonnable, qui ne devra pas excéder deux ans à compter du dernier contact avec ce candidat.
Quelles règles pour les recherches sur un candidat depuis les réseaux sociaux ?
Lors de l’étude d’un CV, il peut être tentant d’effectuer une recherche sur l’internet, et plus spécifiquement, sur les réseaux sociaux.
Or, la collecte de données personnelles publiées par un candidat sur un réseau social ou sur l’internet constitue un traitement au sens du RGPD.
Ainsi, le recruteur peut consulter les sites ou réseaux sociaux d’un candidat, lequel doit être informé de cette consultation (par exemple, dans les mentions d’information auxquelles il a accès lorsqu’il envoie sa candidature), tout en veillant à ne consulter que les contenus strictement en lien avec l’activité professionnelle de ce candidat (LinkedIn plutôt que Facebook).
La CNIL nous donne des exemples de phrases qui ne sont pas suffisamment claires pour comprendre la finalité du traitement du recruteur :
« Un cabinet de chasseur de têtes effectue une recherche sur un réseau social professionnel et enregistre plusieurs profils de candidats en vue de constituer ou compléter un vivier des candidatures.
Quand bien même les personnes concernées peuvent raisonnablement s’attendre à ce que leurs profils puissent être consultés par des recruteurs, le traitement ne se limite pas ici à une simple consultation, les profils étant enregistrés aux fins d’enrichir une base de candidatures du cabinet.
La mise en balance des intérêts conduit à ce que le cabinet ne pourra pas prétendre à une exception d’information et devra informer l’ensemble des personnes dont les profils ont été enregistrés. »
En pratique, ces situations sont difficilement contrôlables et, heureusement, cela ne fait pas de vous un « stalker ».