Recruteurs : Attention aux données collectées sur les candidats

Rappel : Toutes les opérations portant sur des données concernant les candidats (collecte, organisation, consultation, conservation, communication, suppression, etc.) sont des traitements de données personnelles au sens du RGPD.

Pour vous éviter d’être en contradiction avec le RGPD, la CNIL a publié un guide du recrutement le 30 janvier dernier : Le guide du recrutement | CNIL.

Ce guide composé de 19 fiches détaille les principes à appliquer à toutes les étapes du recrutement en matière de collecte de données personnelles via les canaux de recrutement (réseaux sociaux, publicités, moteurs de recherche…), les outils de communication (visioconférence, chatbot…), l’utilisation de l’intelligence artificielle, les outils d'évaluation des candidats …

Les TPE-PME ont ainsi accès à une synthèse de questions/réponses incontournables en matière de recrutement, ainsi qu’un questionnaire d’auto-évaluation au RGPD. Recrutement et données personnelles dans les TPE/PME : cinq questions incontournables à se poser | CNIL

Par exemple au cours d’un entretien d’embauche, demander le lieu de résidence d’un candidat est illicite, excepté dans les cas où il doit participer à un dispositif de gardes et d’astreintes. Filmer ou enregistrer un entretien d’embauche sans en informer au préalable le candidat constitue une collecte déloyale.

Le recruteur doit toujours veiller au respect de la vie privée du candidat, n’utiliser que les informations qui lui permettront d’évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles.

Les informations demandées doivent ainsi permettre d’identifier le candidat le plus adapté au poste à pourvoir et de vérifier ses compétences (notamment ses connaissances, son savoir-faire et son savoir-être) ainsi que les qualifications requises (exemple : diplômes et titres).

Quels sont les grands principes de la collecte d'information sur les candidats à l'embauche ?

Les informations demandées aux candidats doivent :

• Être en lien direct et nécessaire avec l’emploi proposé et permettre de vérifier ses aptitudes professionnelles (compétences, qualifications).
• Respecter la vie privée du candidat. Aucune personne ne peut être écartée d’une procédure de recrutement en raison de son âge, de sa situation de famille.
• Etre traitées de manière licite, loyale et transparente, conservée avec une limite de temps et pour un but précis : Vous pouvez conserver le CV et la lettre de motivation d’un candidat non-retenu pour alimenter votre CVthèque mais sans dépasser 2 ans.
• Les demandes interdites : Numéro de Sécurité sociale, coordonnées bancaires, informations sur sa famille, ses projets familiaux, ses mensurations, son poids (sauf exceptions mannequinat)

Le guide apporte une réponse aux questions ci-dessous pour éviter toute erreur dans le traitement des données. Les collectes doivent être réfléchies pour être en règle avec le RGPD.

Les 10 premières fiches rappellent la réglementation sur la protection des données dans le domaine du recrutement :

1- Qu’est-ce qu’un traitement de données à caractère personnel dans le recrutement ?

2- Quelle est la finalité d’un traitement pour un recrutement ?

3- Qui est responsable du traitement ?

4- Quelle base légale invoquer dans le cadre d’un recrutement ?

5- Quelles données peuvent être collectées par le recruteur ?

6- Qui peut avoir accès aux données sur les candidats ?

7- Quels sont les droits des candidats sur leurs données ?

8- Comment informer les candidats que l’on collecte leurs données ?

Les 9 dernières fiches traitent de la discrimination :

9- Quelle est la durée de conservation des données aux fins de recrutement ?

10- Opter pour une démarche continue de conformité : registre des activités de traitement

11- Recours aux tests d’évaluation de personnalité

12- Recours à la vidéo lors d’un entretien de recrutement

13- Peut-on recourir à un logiciel de tri et dans quelles conditions ?

14- Recours aux données publiquement disponibles sur les réseaux sociaux

15- Peut-on créer une liste des candidats écartés (ou liste noire) ?

16- Dans quels cas est-il possible de collecter les données relatives au casier judiciaire du candidat

17- Quel cadre juridique pour collecter des données potentiellement discriminantes ?

18- Dans quels cas peut-on collecter des données sur la nationalité des candidats ?

19- Quel cadre juridique pour la collecte de données sensibles ? (Santé, origine raciale ou à origine ethnique, convictions religieuses, etc)

Le recruteur (en sa qualité de personne en charge de traiter ces données à caractère personnel) doit informer les candidats de l’usage qu’il entend faire de leurs données, en leur donnant les informations suivantes :

• Son identité et ses coordonnées;
• L’identité et les coordonnées du délégué à la protection des données, le cas échéant;
• L’objectif poursuivi par la collecte de ces informations;
• Le cadre légal de cette collecte de données;
• Le caractère obligatoire ou facultatif des données à fournir par le candidat;
• Le(s) destinataire(s) de ces informations;
• La durée de conservation de ces données;
• Le transfert de ces données à un pays tiers, si applicable;
• Les droits dont dispose le candidat (accès aux données, droit de rectification ou demande de suppression, demande de limitation du traitement…);
• Sa possibilité d’établir une réclamation auprès de la CNIL;
• La nature des données collectées;
• La source de ces données;
• Le cas échéant, l’utilisation d’une prise de décision automatisée (par exemple pré-sélection des candidatures par un algorithme).

Ces mentions peuvent apparaître, par exemple, dans la partie recrutement du site web de l’entreprise, sur l’offre d’emploi, dans le mail qui accuse réception de la candidature.