Si le 30 janvier dernier, la CNIL publiait son guide du recrutement précisant les modalités de mise en œuvre des activités de traitements liés au processus de recrutement au sein d’une entité, le 21 mars 2023, elle délivrait également son webinaire « recrutement – de nouveaux outils proposés par la CNIL ».
L’Agence RGPD revient avec vous sur les différentes questions/réponses données par la CNIL lors de son webinaire du 21 mars dernier, et qui intéresseront les entités publiques comme privées.
Une collectivité doit-elle systématiquement consulter le casier judiciaire des candidats à un emploi ?
Le casier judiciaire fait l’objet d’une fiche dédiée dans le guide du recrutement de la CNIL, et met en lumière une véritable distinction entre le secteur privé et le secteur public. En effet, il existe dans les textes, certaines obligations de consulter un type de casier judiciaire pour le secteur public. Obligations en tant qu’acteur public de collecter le bulletin n°2, dont les dispositions sont listées au sein du Code des collectivités territoriales. A titre d’illustration, la CNIL a dû collecter le bulletin n°2 de son personnel. Dans le secteur privé, la consultation du casier judiciaire peut s’avérer possible, mais reste extrêmement limitée, par exemple lorsque le métier convoité concerne des personnes vulnérables, tels que des enfants. Plus largement, la consultation d’un extrait du casier judiciaire doit présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles.
Quid de la reconnaissance de la qualité de travailleur handicapé (RQTH) en matière de protection des données ?
La RQTH est considérée par la CNIL comme une donnée de santé (la CNIL insiste), dans certaines hypothèses son recueil est accepté (ex : cabinets de recrutement spécialisés). C’est à l’initiative de la personne qui bénéficie de cet RQTH de communiquer ou non cette information.
La lecture d'un document présenté en version papier, puis remis à la personne concernée sans aucune conservation ni prise de note, constitue-t-elle un traitement de données à caractère personnel soumis au RGPD ?
La simple consultation/lecture est considérée comme un traitement de données à part entière. En revanche, s’il n’y a pas de conservation/classement/stockage (exemple : un recruteur « jette » ses notes après un entretien d’embauche), le RGPD ne s’applique pas.
La CNIL travaille-t-elle sur un référentiel « durées de conservation » en matière de ressources humaines ?
La CNIL reconnait que la gestion des durées de conservation constitue l’un des sujets les plus complexes à traiter. En matière de ressources humaines, l’élaboration d’un référentiel serait une possibilité, mais ne représente pas aujourd’hui une priorité. Il revient au responsable de traitement de maîtriser son secteur d’activité et donc les durées associées.
La prise de références (anciens employeurs) doit-elle faire l'objet d'une information ou d'une acceptation du candidat ?
Oui. Le candidat doit en être informé (principe de transparence) et être en capacité de faire jouer son droit d’opposition.
Peut-on collecter la nationalité dans le cadre de son processus de recrutement ?
Sous réserve de ne pas utiliser la nationalité comme critère de discrimination, directe ou indirecte, de candidats au recrutement, la collecte de cette information peut être justifiée : pour l’accès à certains postes de la fonction publique qui requièrent une condition de nationalité ; pour répondre à l’obligation légale de vérification des titres autorisant les personnes de nationalité étrangère à travailler en France.
Dans le cadre des candidatures spontanées, comment répondre au principe de transparence exigé par le RGPD ?
Une bonne pratique serait de mettre à disposition, sur son site internet (par exemple dans un onglet « recrutement ») une mention d’information exhaustive à destination des candidats, puis de doubler l’information dès réception de la candidature.
Dans le cadre de la fonction publique, le guide de la CNIL propose de retenir la base légale de l'intérêt légitime plutôt que l'exercice d'une mission d'intérêt public, sauf pour le recrutement des personnes dans une démarche d'insertion, est-ce une évolution de la position de la CNIL ?
Il ne s’agit pas d’un revirement. La base légale de l’intérêt légitime peut tout à fait être mobilisée. La base légale de l’intérêt public s’applique lorsque le traitement est lié à l’exercice d’une mission de service public (exemple : mission de contrôle/sanctions de la CNIL).
Pour les emplois saisonniers ou récurrents, quelle base légale pour justifier la conservation des données pour faire appel à un ancien employé de façon récurrente ?
Si la CNIL recommande une durée de conservation de deux ans maximum dans le cadre de la gestion des recrutements, rien ne s’oppose à ce qu’une durée de conservation plus longue soit mise en place, à condition que le recruteur puisse en justifier.
La CNIL acceptait auparavant que la constitution d'un vivier de candidats puisse reposer sur l'intérêt légitime. Au sein du guide du recrutement, il semble néanmoins y avoir un glissement vers le recueil du consentement ?
Il s’agit d’une évolution « douce » de la CNIL qui préfère cette base légale mais n’écarte aucunement l’intérêt légitime. C’est au recruteur, en tant que responsable de traitement, de déterminer la base légale la plus appropriée.