Le guide de la CNIL en matière de recrutement à l'intention des employeurs : les bonnes pratiques en matière de protection des données

protection des donnéesconseil aux entreprises
Written By Nathalie Pouderoux

La Commission Nationale de l’Informatique et des Libertés (« CNIL »), (l’autorité de contrôle de la protection des données française), a publié un nouveau guide adressé aux recruteurs pour les aider à maintenir leur conformité avec le Règlement général sur la protection des données (« RGPD »). Dans cet article, nous allons mettre en lumière ses points clés.

 

Pourquoi est-il important de penser à la protection des données lors des processus de recrutement ?

Il est important que chaque service d'une organisation se conforme au RGPD, en particulier les équipes opérationnelles qui sont souvent chargées des processus de recrutement. Tout au long du processus de recrutement, les candidats confient leurs données personnelles à deux étapes critiques : lors de la candidature initiale et lors de la phase de traitement.

Par exemple, les CV des candidats peuvent contenir des informations sensibles telles que leur nom, leur adresse et leur numéro de téléphone. Le RGPD a été mis en place précisément pour protéger ce type d'informations. Par conséquent, il devient vital pour les entreprises d'établir des lignes directrices claires et transparentes en matière de protection de la vie privée, et les recruteurs ont la responsabilité de veiller à ce que les candidats aient accès à ces politiques.

 

Quand pouvez-vous utiliser les données collectées à des fins de recrutement ?

Le RGPD exige des recruteurs qu'ils ne collectent des données que pour des « finalités déterminées, explicites et légitimes ». Concrètement, cela signifie que les recruteurs peuvent recueillir des données sur les candidats à condition que les informations collectées soient directement liées au poste et qu'il y ait une intention claire de contacter les candidats dans un délai défini.

En outre, les recruteurs doivent obtenir le consentement des candidats avant de traiter toute donnée, y compris les informations relatives au handicap, à l'identité culturelle, génétique ou biométrique d'une personne. Dans ces situations, les recruteurs sont tenus de demander le consentement d'une manière claire et compréhensible et de fournir aux candidats des instructions explicites sur la manière de révoquer leur consentement, s'ils le souhaitent.

Les exemples suivants sont considérés comme des moyens déloyaux d'obtenir des informations :

  • Au cours d'un entretien d'embauche, il serait illégal de demander le lieu de résidence d'un candidat, sauf s'il doit participer à un programme de permanence ou d'astreinte.

  • Filmer ou enregistrer un entretien d'embauche sans préavis constituerait une collecte déloyale de données à caractère personnel.

Les recruteurs devront également indiquer qu'ils n'utilisent les données des candidats qu'à des fins de recrutement et préciser où ils stockent les informations. Ce point est particulièrement important, étant donné que de nombreuses grandes entreprises utilisent des systèmes de suivi des candidats (en anglais « Applicant Tracking Systems », dit « ATS ») pour rationaliser leurs procédures de recrutement. Il convient de noter que ces solutions logicielles ATS sont généralement fournies par des entreprises tierces et que, par conséquent, si ces sous-traitants ne respectent pas les exigences légales, l'entreprise de recrutement est également responsable sur le plan juridique.

 

4 points clés à prendre en compte lors de la collecte de données à des fins de recrutement

Le guide de la CNIL à l'intention des recruteurs contient des indications détaillées sur la manière dont les recruteurs peuvent collecter et traiter les données. Ce guide a été divisé en 19 fiches d'information expliquant ce que doivent faire et ne pas faire les recruteurs pour se conformer au RGPD. Nous avons divisé ces fiches en 4 étapes simples pour une meilleure compréhension.

1. Collecte des données à caractère personnel

Les données à caractère personnel des candidats ne doivent être utilisées que pour évaluer leur aptitude à occuper le poste proposé et pour mesurer leurs aptitudes professionnelles au cours du processus de recrutement.

Par exemple, la CNIL précise que les recruteurs ne doivent pas demander les informations suivantes :

  • le numéro de sécurité sociale et les coordonnées bancaires (sauf dans le cas particulier des agences de travail temporaire agissant en tant qu'employeurs)

  • des informations sur les membres de la famille

  • s'ils envisagent d'avoir des enfants

  • leurs mensurations, leur poids, la couleur de leurs cheveux, etc., sauf pour certains types d'emplois spécifiques (mannequins, pilotes de course, jockeys, etc.) ; dans ce cas, l'offre d'emploi doit préciser les caractéristiques souhaitées.

Les informations demandées doivent être utilisées pour déterminer quels candidats sont les plus aptes à occuper les postes à pourvoir et pour confirmer les connaissances, l'expertise et les compétences interpersonnelles des candidats, en plus des qualifications requises pour le poste, telles que les diplômes et les qualifications.

Les recruteurs ont la possibilité d'utiliser des outils d'analyse de la personnalité des candidats, mais il est essentiel que les informations collectées découlent directement d'un lien clair avec l'évaluation et le poste spécifique proposé.

2. Échange ou partage de données à caractère personnel

Pour répondre à des besoins spécifiques, les données collectées sur les candidats peuvent parfois être partagées en interne ou avec des parties externes à l'organisation.

Par exemple, les informations contenues dans les CV, les lettres de motivation et les documents d'entretien peuvent être distribuées aux principales parties prenantes, notamment le responsable du recrutement, le responsable des ressources humaines et le(s) responsable(s) qui supervise(nt) le candidat potentiel.

À moins que les effectifs soient exceptionnellement réduits et que les employés ou les agents aient des fonctions étendues qui leur confèrent les compétences nécessaires pour tout gérer en interne, tous les employés d'une organisation ne sont pas automatiquement autorisés à accéder aux CV et aux lettres de motivation des candidats.

En outre, dans certains cas, les cabinets de recrutement peuvent partager les profils de candidats qualifiés, sélectionnés dans leur fichier de candidats, avec des employeurs potentiels dans des secteurs spécifiques tels que le marketing, la banque ou les technologies de l'information, afin de pourvoir des postes.

3. Réutilisation des données à caractère personnel

La réutilisation des données recueillies au cours du processus de recrutement est possible, en particulier pour des objectifs supplémentaires. Une agence peut vouloir consulter à nouveau les données à caractère personnel des candidats à des fins d'analyse statistique et d'optimisation des processus pour évaluer le type de candidats qu'elle attire et la manière dont elle peut devenir plus diversifiée, par exemple.

En outre, vous pourriez être en mesure de demander et/ou d'envoyer aux organes directeurs potentiels les données à caractère personnel du candidat à la fin du processus de recrutement, qui peut être nécessaire pour des questions relatives à la mutuelle, à l'assurance maladie, à l'assurance chômage et à d'autres types d'assurance.

4. Conservation ou effacement des données à caractère personnel

Les données à caractère personnel des candidats doivent être conservées pendant une période prédéterminée. Toutefois, elles doivent être supprimées à la fin de cette période.

 

Comment Gerrish Legal peut vous aider ?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal

Nathalie Pouderoux
Previous

Amazon lance un nouveau cloud « souverain » pour protéger les données de l'UE
Next

Réglementation de TikTok : Liberté d’expression et gestion des risques pour la sécurité nationale