L’Autorité espagnole de protection des données (AEPD) a infligé une amende de 100 000 euros à l’entreprise PLATAFORMA CABANILLAS SA pour avoir collecté des informations personnelles excessives dans le cadre de son processus de recrutement. Ce cas souligne les obligations des employeurs lorsqu’ils traitent les données des candidats.
Une collecte disproportionnée de données sensibles
Une demande injustifiée de casier judiciaire
Le plaignant a été invité à fournir un certificat de casier judiciaire dès la phase d’entretien d’embauche, avant même toute promesse d’embauche ou vérification d’éligibilité au poste. L’entreprise a justifié cette demande par des exigences de sécurité dans le secteur aérien.
Or, l’AEPD a précisé que la réglementation ne justifie la vérification des antécédents qu’une fois le candidat sélectionné, et non au stade de la présélection. Cette demande était donc jugée excessive et non proportionnée.
Collecte excessive d’informations personnelles
Les candidats devaient également remplir un formulaire contenant l’état civil et le nombre d’enfants. Ces données n’avaient aucun lien direct avec les qualifications requises pour le poste, ni avec la sécurité aérienne.
Ce que dit le RGPD sur le traitement des données de candidats
Principe de minimisation des données
Le RGPD impose que seules les données strictement nécessaires à l’évaluation du profil soient collectées. La collecte de documents sensibles, comme un extrait de casier judiciaire, doit être encadrée, justifiée, et reportée à un stade pertinent du processus.
Base légale et transparence
Toute collecte doit être fondée sur une base légale valide (exécution d’un contrat, obligation légale, intérêt légitime, etc.). Le candidat doit être informé de la finalité du traitement, des droits dont il dispose et des durées de conservation.
Encadrement des documents sensibles
La collecte de données sensibles (état de santé, casier judiciaire, données biométriques…) est strictement encadrée. L’article 10 du RGPD dispose que les données relatives aux infractions pénales ne peuvent être traitées que dans des cas précis et encadrés par le droit national.
Sanction de l’AEPD et leçons à retenir
L’AEPD a sanctionné PLATAFORMA CABANILLAS SA à hauteur de 100 000 euros. L’autorité a rappelé qu’une politique RH non conforme peut entraîner des conséquences financières et juridiques importantes.
Ce cas montre que les entreprises doivent revoir leurs procédures de recrutement :
- Ne collecter que les données pertinentes au bon moment ;
- Informer clairement les candidats ;
- Justifier chaque collecte par une base légale solide.
Conclusion
Le respect du RGPD s’applique dès les premières interactions avec les candidats. Ce cas rappelle aux employeurs l’importance de limiter les données collectées à ce qui est strictement nécessaire et de respecter les droits des personnes, même avant l’embauche. Une conformité négligée peut coûter cher, tant sur le plan financier que réputationnel.
