Astuces Recrutement
Alerte RGPD : vos recrutements sont-ils conformes ?
Wiggli Team
décembre 25, 2023
Dans le cadre d’un recrutement, les données personnelles des candidats sont collectées et utilisées. Pour préserver le caractère privé de ces informations, les entreprises européennes sont tenues de respecter le règlement général sur la protection des données : le RGPD.
Pour vous aider à respecter vos obligations en la matière, découvrez pas à pas les bonnes pratiques à suivre.
Qu’est-ce qu’un traitement de données à caractère personnel dans le cadre du recrutement ?
Dans le cadre d’un processus de recrutement, on parle de traitement de données personnelles pour désigner toutes les opérations (automatisées ou non) qui conduisent les recruteurs à accéder, utiliser, conserver, puis détruire des informations personnelles obtenues notamment lors de la recherche de profils qualifiés ou de l’analyse des CV.
Ces informations personnelles concernent l’identité du candidat, ses expériences professionnelles, l’évaluation de ses aptitudes et compétences qui figurent sur son CV, sa lettre de motivation et ses résultats à un test de personnalité.
Au préalable, l’entreprise doit définir les finalités des traitements des données à des fins de recrutement
La collecte des données candidats par un recruteur doit servir à mesurer leurs aptitudes professionnelles et leur capacité à occuper l’emploi pour lequel ils postulent. Rien d’autre. Comme le précise la CNIL dans son Guide recrutement, en pratique, les traitements mis en place par l’entreprise peuvent répondre à des finalités plus spécifiques comme :
- La recherche et l’identification de profils pertinents permettant d’engranger des candidatures : constitution d’une CVthèque, création d’une plateforme permettant le dépôt de candidatures sur le site emploi d’une entreprise, constitution d’un annuaire en ligne, consultation d’un site web proposant des offres d’emploi sur Internet aux candidats, prise des contacts à l’occasion d’un forum « emploi » ;
- La présélection des candidats : tri, enregistrement et classement des CV et des lettres de motivation sous forme papier ou dans une base de données, utilisation d’outils de scoring proposés par les sites web répertoriant des offres d’emploi sur Internet, etc.
- L’évaluation de la capacité du candidat à occuper un emploi et la mesure de ses aptitudes professionnelles : traitement des informations collectées à l’occasion des entretiens téléphoniques, en face à face, vidéos, etc.
L’employeur a-t-il l’obligation de recueillir le consentement des candidats à la collecte de données ?
Dans le cadre d’un recrutement, il n’est pas nécessaire de recueillir le consentement d’un candidat en vue de traiter ses données personnelles. La raison ? Si le candidat refuse, ses chances d’être recruté risqueraient d’être compromises. Mais pour cela, la CNIL recommande aux entreprises de fonder leur action sur la base légale de contractualisation, l’une des 6 bases légales prévues par le RGPD.
Attention : si vous envisagez d’utiliser des données personnelles pour activer votre vivier de talents, le consentement préalable des candidats est nécessaire, car cette action est dissociée du simple processus de candidature.
Enfin, dans le cas où vous utilisez des cookies sur votre site carrière, sur des outils de partage sociaux ou sur le navigateur de vos candidats à l’instar de Google Analytics, le consentement explicite est requis. Aussi, le refus des cookies doit pouvoir être réalisé facilement, afin de ne pas influencer l’internaute à donner son consentement.
Les 6 bases légales : de quoi parle-t-on ?Pour être licite, tout traitement de données doit reposer sur l’une des six « bases légales » prévues par le RGPD. Le choix de la base légale entraîne plusieurs conséquences, notamment en termes de droits ouverts aux candidats concernés. Aussi, la détermination de la base légale appropriée doit être effectuée en amont du traitement, et portée à la connaissance des personnes concernées. Vous pouvez retrouver le détail dans ce guide. |
Qui peut consulter les données personnelles collectées sur les candidats ?
C’est au recruteur de déterminer les personnes habilitées à accéder aux données à caractère personnel des candidats au regard de leurs attributions et de la nature des missions ou fonctions qu’elles exercent.
Au stade du processus de recrutement, les personnes suivantes peuvent être amenées à recevoir et à traiter des informations personnelles relatives aux candidats :
- Chargé de recrutement
- Responsable RH
- Manager qui encadrera la future recrue
- Le directeur de la structure, le CEO.
Autrement dit, toute personne qui obtient les CV et autres documents personnels des candidats sans intervenir dans le processus de recrutement n’est a priori pas autorisée à y accéder. En revanche, à l’achèvement du processus de recrutement, différentes personnes pourront accéder aux informations personnelles du candidat jugées utiles à l’exercice de leurs missions pour :
- Préparer son embauche (ex : service chargé de la gestion du handicap pour adapter le poste avant l’embauche)
- Gérer par la suite le candidat sur le plan des ressources humaines (ex : chargé de paie, de la formation, service logistique pour la création d’un badge, service informatique…).
Combien de temps conserver les données personnelles des candidats ?
Le RGPD ne définit pas, pour les traitements utilisés à des fins de recrutement, de durée précise pendant laquelle les informations doivent être conservées. C’est donc à chaque responsable de traitement de la déterminer étant entendu que celle-ci doit être cohérente et justifiée en fonction de l’objectif poursuivi par le traitement mis en œuvre.
En pratique, dans un processus de recrutement, le cycle de vie d’une donnée à caractère personnel se découpe en deux phases successives :
L’utilisation courante ou « base active »
Cette étape concerne l'utilisation des informations relatives aux candidats par le recruteur dans le cadre d’un processus de recrutement en cours. Les informations conservées en « base active » sont accessibles par le recruteur dans son environnement de travail immédiat. Ex : le CV est conservé dans l’espace de stockage de l’ordinateur du recruteur ou dans un serveur de l’entreprise.
L’archivage intermédiaire ou « base intermédiaire »
Lorsque le processus de recrutement est achevé, que le candidat ait été retenu ou non, les informations relatives à celui-ci qui ont été collectées par le recruteur ne seront plus utilisées pour apprécier ses aptitudes et l’objectif de la collecte de ces informations est donc considéré comme atteint. Par conséquent, le recruteur n’a plus besoin de conserver ces informations dans son environnement de travail immédiat, autrement dit en « base active ».
Néanmoins, ces informations peuvent encore présenter un intérêt, notamment pour la gestion d’un éventuel contentieux tel qu’une action en discrimination, ou doivent être conservées pour répondre à une éventuelle obligation légale (telles que les règles d’archivage du secteur public). Les informations peuvent alors être conservées en base intermédiaire, où elles pourront être consultées, de manière ponctuelle et motivée, par des personnes spécifiquement habilitées.
Une fois la durée de conservation en base intermédiaire expirée, les informations doivent être supprimées ou anonymisées.