Recrutement et données personnelles dans les TPE/PME : cinq questions incontournables à se poser
Quelles informations peuvent être utilisées ? Dans quel cadre les utiliser ? Combien de temps les conserver ? Quelles sont les pratiques interdites ? La CNIL vous répond.
Quelles informations peuvent être utilisées ? Pour quoi faire ?
Vous ne pouvez utiliser que les informations qui vous permettent d’évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles.
Les informations demandées doivent ainsi vous permettre d’identifier le candidat le plus adapté au poste à pourvoir et de vérifier ses compétences (notamment ses connaissances, son savoir-faire et son savoir-être) ainsi que les qualifications requises (p. ex. : diplômes et titres).
Bien qu’il puisse être tentant d’obtenir un maximum d’informations sur les candidats, vous devez veiller au respect de leur vie privée. Les questions posées doivent donc être en lien avec le contexte professionnel et la collecte d’informations qui n’auraient pas de lien direct et nécessaire avec l'emploi proposé ou avec l’évaluation des aptitudes professionnelles des candidats est interdite.
Il est notamment interdit de demander à un candidat :
- son numéro de sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d’employeur) ;
- des informations relatives aux membres de sa famille ;
- s’il souhaite avoir des enfants ;
- ses mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (mannequins, pilotes de course, jockeys, etc.) : l’annonce publiée devra alors spécifier les caractéristiques recherchées.
À quelles conditions ces informations peuvent-elles être utilisées ?
Vous devez garantir que les informations personnelles fournies par les candidats soient traitées de manière licite, loyale et transparente.
Exemples :
- Au cours d’un entretien d’embauche, demander le lieu de résidence d’un candidat est illicite, excepté dans les cas où il doit participer à un dispositif de gardes et d’astreintes.
- Filmer ou enregistrer un entretien d’embauche sans en informer au préalable le candidat constitue une collecte déloyale.
Vous devez garantir que les informations personnelles sur les candidats sont collectées et conservées pour des finalités déterminées (définies avec suffisamment de précision), explicites (claires et compréhensibles) et légitimes (c’est-à-dire ne portant pas atteinte à la réglementation ou à une liberté fondamentale).
Exemple :
La constitution d’un vivier de candidats réalisée à partir de la parution d’une annonce, qui correspondrait à une fausse offre d’emploi n’est pas considérée comme légitime.
Qui peut avoir accès aux informations personnelles collectées sur les candidats ?
Le principe : un accès limité
Seules les personnes en charge du recrutement, par exemple les managers ayant vocation à encadrer le futur agent/salarié ou encore le dirigeant embauchant par la suite le candidat, peuvent accéder aux informations personnelles des candidats.
En revanche, à l’issue du processus de recrutement avec embauche du candidat, vous pourrez demander et/ou transmettre aux organismes gestionnaires les informations personnelles des candidats nécessaires à l’assurance-chômage, la maladie, la mutuelle, etc.
Quelles garanties pour la vie privée ?
L’information des candidats
Vous devez informer les candidats comme les employés intervenant dans le processus de recrutement :
- de l’identité et des coordonnées du responsable du fichier dédié au recrutement dans votre entreprise ;
- des coordonnées du délégué à la protection des données (DPO), si vous en avez désigné un ;
- de l’objectif poursuivi (gestion des candidatures) ;
- de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur) ;
- du caractère obligatoire ou facultatif des réponses ainsi que des conséquences à en cas de défaut de réponse ;
- des destinataires des informations ;
- de la durée de conservation des informations ;
- des conditions d’exercice des droits tels que ceux d’accès, de rectification, d’effacement des informations, etc. ;
- de la possibilité d’adresser une plainte à la CNIL ;
- le cas échéant, de l’existence de prise de décision automatisée telle que l’utilisation d’une solution algorithmique de tri des candidatures.
Afin de respecter le droit du travail, vous devez également penser à informer le comité social et économique (CSE) avant d’utiliser ou de modifier des méthodes ou techniques d’aide au recrutement.
Le droit d’accès des candidats
Un candidat peut obtenir une copie des informations personnelles le concernant qui sont utilisées dans le cadre de la gestion du processus de recrutement, sur simple demande et sans avoir à la justifier.
Une durée de conservation limitée
Vous ne pouvez garder les informations personnelles sur les candidats que pour une durée limitée, correspondant aux objectifs pour lesquels elles ont été recueillies.
Exemple :
En cas d’issue négative à une candidature, conserver le CV et la lettre de motivation d’un candidat pour alimenter un « vivier de candidats » est possible sous réserve que la durée de conservation n’excède en principe pas deux ans et que le candidat en ait été informé, à compter du dernier contact avec ce candidat.
La mise en place de mesures de sécurité pour contrôler les accès aux informations personnelles des candidats
Vous devez mettre en place des mesures de sécurité appropriées.
Exemple :
Tous les salariés de votre entreprise n’ont a priori pas vocation à accéder aux CV et lettres de motivation des candidats, sauf dans l’hypothèse où les effectifs étant très réduits les salariés /agents présents ont des missions très étendues leur donnant la compétence de tout gérer sur place.
Comment documenter sa conformité au RGPD ?
Si vous avez désigné un DPO, il doit être associé à la mise en conformité de vos processus de recrutement aux règles de protection des données.
Les différents fichiers de recrutement doivent être inscrits dans un registre des activités de traitement que vous devez tenir dès lors que vous traitez régulièrement des informations personnelles dans le cadre de vos activités.
Si besoin, vous devrez également réaliser une analyse d’impact relative à la protection des données (AIPD).