testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Comment recruter en étant conforme au RGPD ?

« Je ne suis pas concerné par le RGPD » ; « le sujet ne m’intéresse pas ».

Mesdames, Messieurs, si vous avez ne serait-ce qu’un salarié au sein de votre structure, vous êtes concernés par le RGPD, et pire, vous êtes dans l’obligation de vous mettre en conformité avec les dispositions qu’il prévoit…

Le 30 janvier dernier, la CNIL publiait son guide du recrutement visant à détailler, de manière précise, les modalités de mise en œuvre des activités de traitements liés au processus de recrutement au sein d’une entité (publique comme privée).

En effet, dans le cadre d’un processus de recrutement, le recruteur est amené à consulter, collecter, conserver, communiquer ou encore supprimer des données à caractère personnel sur ses candidats. Dans ce cadre, et au même titre qu’il sera tenu de respecter les dispositions prévues par le Code du travail, l’employeur devra également veiller à respecter les dispositions prévues par la législation applicable en matière de protection des données.

Rappelons que cette fiche de traitement type n’a pas vocation à être exhaustive. Pour plus d’informations sur la gestion des recrutements, notamment sur des spécificités particulières tel que le recours à la vidéo dans le processus de recrutement, il convient de se référer au guide du recrutement publié par la CNIL.

 

Fiche module – Gestion des recrutements 

Détermination des responsabilités du traitement

Responsable du traitement :

  • L’employeur direct est responsable de traitement pour la création et la mise en œuvre du traitement constitué aux fins de répondre à son propre besoin de recrutement.
  • Cabinets de recrutement / agences d’intérim : qualifié de responsable de traitement pour le traitement qu’il met en œuvre afin de constituer un vivier de candidats qu’il utilise au titre de son activité habituelle. Le client (l’employeur direct) sera à ce stade destinataire des données. Exception faite si le cabinet de recrutement constitue une base de données spécialement pour un client déterminé, à la demande du client (il prendra alors la qualité de sous-traitant).
  • Exploitant d’une plateforme de jobboarding mettant en relation employeurs et candidats sera responsable du traitement relatif à la création et gestion des comptes personnels nécessaires aux services qu’il propose (ex : Indeed).

Sous-traitant :

Les acteurs du recrutement disposent du statut de sous-traitant s’ils traitent des informations personnelles de candidats pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Sont susceptibles d’être qualifiés de sous-traitants (liste non-exhaustive) : un cabinet spécialisé dans la passation de tests ; une société organisant un salon professionnel lorsqu’elle lance une campagne d’e-mailing de remerciements pour le compte d’une entreprise ; un prestataire externe à qui le responsable de traitement confie la conception et l’hébergement de son site web et qui met en place un espace dédié au recrutement ; etc.

Ne disposent pas de la qualité de sous-traitants les éditeurs de solutions logicielles dès lors qu’ils ne traitent pas les données des candidats (aucun accès / aucune opération de maintenance ou d’hébergement).

Responsables conjoints :

Les acteurs du recrutement sont responsables conjoints de traitement s’ils déterminent conjointement les finalités et les moyens d’un même traitement (exemple : groupe de sociétés où le processus de recrutement serait piloté à l’échelle d’une seule entité désignée coordonnatrice). Les hypothèses de responsabilité conjointe restent assez rares dans le domaine du recrutement.

Finalité 1

Recherche et identification du profils pertinents :

  • Constitution d’un CVthèque ;
  • Création de plateforme permettant le dépôt de candidatures sur le site emploi d’une entreprise ;
  • Constitution d’un annuaire en ligne ;
  • Consultation de site web proposant des offres d’emploi sur Internet aux candidats (Pôle emploi ; Indeed ; APEC ; etc).
  • Prise de contact à l’occasion d’un forum « emploi ».
Finalité 2

Présélection des candidats :

  • Tri, enregistrement et classement des CV et lettres de motivation sous forme papier/base de données ;
  • Utilisation d’outils de scoring proposés par les sites web répertorient des offres d’emploi sur Internet
Finalité 3

Evaluation des aptitudes professionnelles du candidat par le biais de tests de personnalité/logique/connaissance ; entretiens vidéos/téléphoniques/face à face ; etc).

Précisions

Afin de réutiliser des données pour une autre finalité, le recruteur responsable de traitement devra effectuer une analyse de compatibilité.

Exemple : les données ont été collectées et traitées pour répondre à une finalité de recherche de profils pertinents. Une réutilisation de ces mêmes données afin de réaliser une campagne de prospection commerciale ne pourrait être considérée comme compatible avec la finalité du traitement initial.

En revanche, si un organisme souhaite réutiliser les données à caractère personnel des candidats afin d’en faire des statistiques pour analyser et optimiser son processus de placement des candidats, cette nouvelle finalité pourrait être considérée comme compatible avec la finalité du traitement initial.

Bases légales

La fiche n°4 du guide recrutement de la CNIL liste les différentes bases légales applicables pour constituer des traitements à des fins de recrutement. Ressortent principalement :

  • L’exécution de mesures précontractuelles (article 6-1b RGPD)
  • L’intérêt légitime poursuivi par le responsable de traitement (article 6-1f RGPD)
Quid du consentement ?

Les traitements effectués dans le cadre des opérations de recrutement ne peuvent pas être fondés sur le consentement des candidats dès lors qu’un refus de leur part pourrait affecter leurs chances d’obtenir un emploi. L’usage de cette base légale n’est de fait pas recommandé.

Données personnelles traitées
  • Identité du candidat (nom/prénom) ;
  • Expériences professionnelles et formation du candidat (ex : stage ; emplois occupés ; diplômes et certifications)
  • Evaluation des aptitudes et compétences du candidat (ex : résultats des tests de connaissances, de logique, de personnalité).
  • La collecte d’informations relatives au permis de conduire des candidats n’est licite que si elle est en lien avec le poste proposé.
Données sensibles ?

Il est interdit (sauf exception) de demander à un candidat:

  • Son numéro de sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d’employeur) ;
  • Des informations relatives aux membres de sa famille ;
  • S’il souhaite avoir des enfants ;
  • Des mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (ex : mannequin).

Si certains outils / logiciels RH prévoient, dans leurs paramètres, la saisie de données sensibles (ex : numéro de sécurité sociale), leur collecte à l’occasion du processus de recrutement n’en est pas moins interdite. Il appartient au recruteur de refuser la saisie de ces informations. Pour en savoir + sur les données sensibles, vous pouvez vous référer au guide du recrutement de la CNIL (fiches n°16 / 17 / 18 et 19).

Durée de conservation des données

Il est recommandé que la durée de conservation soit raisonnable, en fonction du type de poste concerné, et en tout état de cause, n’excède en principe pas deux ans à compter du dernier contact avec la personne.

Mesures de sécurité

Restriction des habilitations aux données des candidats (matrice des droits d’accès) hors cas des TPE/PME à effectifs très réduits où les salariés présents ont des généralement des missions très étendues.

Information des personnes concernées

Le support d’information des candidats est libre : oral, écrit ou tout autre moyen. Par exemple, une information globale du candidat pourra être apportée via une mention présente dans une rubrique dédiée au recrutement sur le site web du recruteur, s’affichant au moment où le candidat postule (ou via un affichage ou une vidéo diffusée dans les salles d’attente du recruteur, etc.).

En complément, une information individuelle pourra être effectuée directement au candidat au sein de l’offre d’emploi publiée par le recruteur, et dans l’accusé de réception de cette candidature.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»