Recruteurs : testez votre conformité au RGPD grâce à un questionnaire d’auto-évaluation
Recruteurs : testez votre conformité au RGPD grâce à un questionnaire d’auto-évaluation
30 janvier 2023
Ce questionnaire d’auto-évaluation permet aux recruteurs de vérifier étape par étape si les principes-clés et les exigences imposées par la réglementation sont respectés.
Dans le cadre du processus de recrutement, les différents acteurs (notamment employeurs, cabinets de recrutement, sociétés d’intérim, plateformes web, etc.) sont amenés à collecter, organiser, consulter, conserver, communiquer ou encore supprimer des données personnelles sur les candidats. Ces données leur permettent d’apprécier les capacités des candidats à occuper les emplois proposés et de mesurer leurs aptitudes professionnelles (qualifications, expériences, etc.).
Les données personnelles collectées répondent à des usages très divers tels que constituer une CVthèque, créer une plateforme permettant le dépôt de candidatures dans la rubrique recrutement du site web d’une entreprise, consulter un site web proposant des offres d’emploi sur Internet ou encore trier, enregistrer et classer les CV et les lettres de motivation dans une base de données.
Pour chacun de ces cas d’usage, les acteurs du recrutement mettent en place des traitements de données personnelles (plus communément appelés fichiers) et doivent, à ce titre, se conformer à la réglementation sur la protection des données à caractère personnel.
Le cycle de vie des données personnelles contenues dans les fichiers créés par les acteurs du recrutement est susceptible de comporter 4 étapes (les étapes 2 et 3 n’étant pas systématiques).
Étape 1 : la collecte des informations personnelles
Le principe
Dans le cadre du processus de recrutement, les informations personnelles demandées aux candidats doivent avoir pour seule finalité d’apprécier leurs capacités à occuper le poste proposé et de mesurer leurs aptitudes professionnelles.
Les informations demandées doivent permettre d’identifier les candidats les plus adaptés aux postes à pourvoir et de vérifier leurs compétences (notamment les connaissances, le savoir-faire et le savoir-être) ainsi que les qualifications requises pour le poste (p. ex. : diplômes et titres). Elles doivent avoir pour seul objectif de pouvoir valider ou non les candidatures.
Questionnaire d’auto-évaluation
Le responsable du traitement de données à caractère personnel (fichier) créé pour l’activité de recrutement est-il identifié ?
Qui fait quoi dans la collecte des informations recueillies sur les candidats ?
Qui décide ce à quoi sert le fichier, la nature des informations à recueillir sur les candidats, la durée de conservation des informations, les mesures de sécurité à appliquer, etc. ?
L’employeur direct ?
Le cabinet de recrutement ?
L’agence d’intérim ?
L’exploitant de la plateforme web mettant en relation employeurs et candidats et leur proposant divers services ?
Est-ce que plusieurs organismes agissent dans le processus de recrutement ?
Si oui, le statut de ces organismes est-il identifié ?
Les candidats ont-ils été informés de l’identité du ou des responsable(s) de traitement ?
Existe-t-il un ou plusieurs sous-traitants pour la mise en œuvre du traitement de données à caractère personnel créé pour l’activité de recrutement ?
Est-ce que j’ai sollicité les services d’un organisme pour la réalisation d’un traitement ? (Par exemple, un cabinet spécialisé dans la passation de tests linguistiques pour évaluer le niveau d’anglais des candidats)
Est-ce que je lui ai donné des instructions précises pour la réalisation de ce traitement ?
Est-ce qu’il dispose d’une marge de manœuvre dans la réalisation de ce traitement ?
En cas de recours à un sous-traitant, un contrat a-t-il été passé afin de clarifier les rôles et les obligations de chacun ?
Les candidats ont-ils été informés de l’identité du ou des sous-traitant(s) ?
La finalité (c’est-à-dire l’objectif) de chacun des fichiers créés pour gérer l’activité de recrutement est-elle identifiée ?
À quoi sert le fichier ? Quel est son objectif précis ?
Par exemple gestion de CVthèque, préselection des candidats en opérant un tri, un enregistrement des CV et lettres de motivation ?
Collecte des informations lors d’un entretien vidéo ?
Autre
Cette finalité a-t-elle été portée à la connaissance des candidats ?
Les informations personnelles sont-elles collectées pour des usages déterminés (définis avec suffisamment de précision), explicites (clairs et compréhensibles) et légitimes (c’est-à-dire ne portant pas atteinte à la réglementation ou à une liberté fondamentale) ?
Est-ce que le fichier est licite c’est-à-dire existe-t-il une base légale autorisant la création du fichier ?
Concrètement, qu’est-ce qui justifie que le recruteur soit autorisé à créer un fichier contenant des informations personnelles ?
Exemples de bases légales autorisant la création de fichiers dans le domaine du recrutement :
le contrat peut justifier la création du traitement utilisé par un recruteur direct pour réceptionner et classer les candidatures reçues suite à la parution d’une annonce en ligne ;
l’exécution d’une obligation légale peut justifier la création du traitement.
Par ex. : nécessité de vérifier l’existence d’une autorisation de travail d’un candidat étranger lorsque l'employeur transmet des documents produits par le candidat au préfet dans les conditions prévues à l’article R. 5221-41 du code du travail ;
l’intérêt légitime peut justifier la mise en œuvre de traitements pour évaluer les candidatures et vérifier leurs aptitudes professionnelles, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux des candidats notamment en cas d’utilisation de technologies innovantes.
Cette base légale a-t-elle été portée à la connaissance des candidats ?
Quelles sont les informations personnelles recueillies sur les candidats ?
Quelles sont les catégories d’informations personnelles collectées (ex. : nom, prénom, diplômes, expériences professionnelles) ?
Des données sensibles telles que les données de santé, les opinions politiques ou l’appartenance syndicale, les convictions religieuses sont-elles recueillies ?
Si oui, une telle collecte est-elle autorisée ?
Les informations personnelles recueillies sur les candidats sont-elles adéquates, pertinentes et nécessaires ?
Le recueil des informations est-il strictement indispensable au regard de l’objectif recherché par la création du fichier ?
Par exemple, est-il toujours nécessaire pour un poste de mannequin, dès la publication de l’annonce, de présenter les caractéristiques physiques potentiellement recherchées telles que mensurations, poids, couleur des cheveux ?
Les informations recueillies sur les candidats sont-elles exactes et mises à jour ?
Une procédure de mise à jour des informations personnelles collectées sur les candidats est-elle mise en place ?
Comment les candidats sont-ils avertis que des informations personnelles les concernant sont rassemblées dans des fichiers ?
L’information porte-t-elle sur l’ensemble des caractéristiques essentielles de ces fichiers (objectif, nature des informations recueillies, durée de conservation des informations, etc.) ?
Par exemple :
Une information globale du candidat est-elle apportée via une mention présente dans une rubrique dédiée au recrutement sur le site web de l’employeur direct ? Est-elle complétée d’une information présente dans l’accusé de réception de la candidature ?
Une information individuelle est-elle effectuée directement au profit du candidat au sein de l’offre d’emploi publiée par le recruteur ?
Les candidats peuvent-ils exercer leurs droits (droit d’accéder aux informations personnelles les concernant, de les rectifier, de les supprimer, de s’opposer à leur traitement, etc.)
Les candidats ont-ils été informés de leurs droits ?
Une procédure interne est-elle prévue pour leur permettre leur exercice ?
Des mesures de sécurité ont-elles été mises en place ?
Les informations recueillies sont-elles confiées à un prestataire qui en assure le stockage et la conservation ?
Si oui, un contrat de sous-traitance a-t-il été passé avec ce prestataire afin de clarifier les rôles et les obligations de chacun ?
Quel dispositif est utilisé pour assurer la sécurité des informations (mots de passe, gestion des habilitations et des accès, sécurisation de l’accès aux locaux du club quand celui-ci en dispose, etc.) ?
La conformité au RGPD est-elle documentée ?
Un registre des activités de traitement est-il tenu ?
Si les conditions sont réunies, une analyse d’impact relative à la protection des données a-t-elle été faite ?
Un délégué à la protection des données a-t-il été désigné ?
Étape 2 : en cas d’échanges ou de partage des informations personnelles
Le principe
Les informations recueillies sur les candidats peuvent parfois être communiquées à des tiers extérieurs à la structure ou même partagées en interne, pour répondre à des besoins spécifiques. Par exemple :
au sein d’un même organisme, partager entre chargé de recrutement, responsable des ressources humaines,manager(s) encadrant le futur candidat,les informations figurant dans les CV et lettres de motivations ainsi que les éléments résultant des entretiens ;
pour un cabinet de recrutement, transmettre au futur employeur les profils de candidats adaptés extraits de son vivier de candidats aux fins de pourvoir à un emploi dans un secteur d’activité déterminé tel que l’informatique, la banque, le marketing.
Questionnaire d’auto-évaluation
Quelles informations personnelles sur le candidat le recruteur échange-t-il ? Avec qui les échange-t-il ?
Un recensement des informations échangées entre acteurs intervenant au sein du processus de recrutement a-t-il été réalisé ?
Les destinataires des informations recueillies par le recruteur sont-ils identifiés ?
Les candidats sont-ils bien informés en amont que les informations personnelles les concernant recueillies lors du processus de recrutement sont échangées avec ces destinataires ?
Sauf obligation légale spécifique, les candidats ont-ils été informés qu’ils peuvent s’opposer à l’échange des informations personnelles les concernant ?
Est-ce que seules des informations strictement nécessaires sont échangées ?
Les personnes sont-elles bien autorisées à accéder aux informations dans le cadre des missions exercées au niveau de l’organisme ?
Par exemple, le salarié/l’agent qui obtient les CV et lettres de motivation des candidats sans intervenir dans le processus de recrutement n’est a priori pas autorisé à y accéder.
Une procédure de gestion des habilitations et des accès est-elle bien mise en place par le recruteur ?
Les acteurs ayant besoin d’échanger les informations personnelles recueillies dans les fichiers ont-ils des accès aux seules informations personnelles dont ils ont besoin compte tenu de leur rôle dans le processus de recrutement ?
Étape 3 : en cas de réutilisation des informations personnelles
Le principe
Les informations collectées dans le cadre du processus de recrutement peuvent être réutilisées, notamment pour répondre à d’autres objectifs. Par exemple, une agence d’intérim peut souhaiter réutiliser les données à caractère personnel des candidats afin d’en faire des statistiques pour analyser et optimiser son processus de placement des candidats.
Questionnaire d’auto-évaluation
Une réutilisation des informations personnelles recueillies par le recruteur pour un autre usage est-elle prévue ?
L’objectif de cette réutilisation est-il identifié ?
Si oui, quel est-il ?
Si le recruteur ne recueille pas le consentement des candidats concernés avant de réutiliser leurs informations personnelles ou si cette réutilisation n’est pas prévue par un texte juridique, le recruteur a-t-il procédé à une analyse pour examiner si cette réutilisation est possible ?
Cette analyse doit prendre en compte les éléments suivants :
Existe-t-il un lien éventuel entre les objectifs du fichier initial et ceux du fichier ultérieur envisagé ?
Dans quel contexte les informations personnelles portant sur les candidats sont-elles recueillies ?
Quelle est la nature des informations recueillies ?
Des données sensibles telles que des données de santé, les opinions politiques, l’appartenance syndicale sont-elles collectées (la réutilisation des données sensibles étant impossible dans ce cas) ?
Quelles sont les conséquences possibles de la réutilisation des informations personnelles pour les personnes concernées ?
Des garanties sont-elles mises en place pour assurer la sécurité des données (par exemple le chiffrement des données ou la pseudonymisation) ?
En cas de réutilisation des informations, le recruteur a-t-il veillé au respect des exigences recensées dans les étapes n° 1 et n° 2 ?
Étape 4 : la conservation et la destruction des informations personnelles
Le principe
Les informations personnelles recueillies sur les candidats doivent être conservées pour une durée déterminée. A l’expiration de cette durée, elles doivent être détruites.
Questionnaire d’auto-évaluation
Quelle est la durée de conservation prévue pour chacun des fichiers ?
Les durées de conservations prévues sont-elles justifiées par des besoins ?
Quels sont les critères pris en compte pour apprécier la durée de conservation des informations (durée prévue par un texte, éléments de contexte des fichiers, etc.) ?
La durée de conservation est-elle adaptée ?
Les candidats ont-ils été informés de ces durées de conservation ?
A l’issue de cette durée, qu’est-il prévu pour les informations personnelles recueillies sur les candidats ?
Une procédure de destruction des informations recueillies est-elle mise en place par type de fichiers ?
S’agit-il d’une destruction ou d’une anonymisation ?
En cas de destruction ou d’anonymisation, les conditions de cette opération sont-elles de nature à garantir la sécurité des informations ?
En cas de recours à un prestataire pour réaliser cette opération, cette prestation est-elle encadrée par un contrat ?