Recrutement et RGPD :
quelles sont les règles à appliquer ?

Dans le cadre d’un recrutement, les recruteurs collectent et utilisent les données personnelles des candidats. Pour être en conformité avec les règles, ce traitement doit respecter les pratiques établies par le Règlement Général sur la Protection des Données (RGPD).

Le numérique et l’utilisation de réseaux bouleversent chaque secteur, en France et à l’étranger. La création d’un traité est indispensable pour que les entreprises et les chercheurs d’emploi soient alignés. C’est pourquoi, le 25 mai 2018, le RGPD entre en vigueur. Ce règlement offre un cadre légal dans l’UE. L’utilisation des données est encadrée et contrôlée, en raison du droit au respect de la vie privée de chaque personne.

Le RGPD dans le recrutement est nécessaire, car un certain nombre de données est traité, collecté et conservé. Avant, les données personnelles des candidats étaient utilisées sans consentement. Aujourd’hui, chaque entreprise qui ne respecte pas le RGPD subit des sanctions allant d’une amende à la peine d’emprisonnement.

Alors, quelles sont les règles à appliquer pour répondre aux attentes du règlement dans le domaine du recrutement ?

Avoir le consentement des candidats pour la collecte de données

Dans son guide sur le recrutement publié en 2023, la CNIL recommande aux recruteurs de cibler leur action sur la base légale de contractualisation.
En effet, le contrat est l’une des six bases légales prévues par le RGPD sur laquelle peut se fonder le traitement de données personnelles.

Le recours à cette base légale indique qu’un contrat entre l’organisme traitant les données et le chercheur d’emploi doit être créé. Par ce processus, les recruteurs peuvent se passer de la collecte de consentement. Il est toutefois recommandé d’obtenir le consentement des candidats pour utiliser leurs données.

Collecter uniquement les données nécessaires

Lors d’un recrutement, un ensemble d’opérations concernant les données des candidats est effectué. Selon les articles de la CNIL sur le recrutement, seules les informations pertinentes et limitées à ce qui est nécessaire peuvent être collectées sur les candidats. Par exemple, il est interdit de demander à un candidat des informations sur sa famille, ses opinions politiques, son état de santé ou son projet de parentalité.

Il est nécessaire d’informer les personnes concernées des conditions de traitement des informations personnelles. Le recruteur doit respecter le principe de finalité prévu par l’article 5 du RGPD. Ce dernier indique que les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Pour être en conformité avec le règlement, il faut vérifier que les données collectées ne sont pas utilisées pour répondre à une autre finalité.

D’après le Code du Travail, lors d’un recrutement, les deux seules finalités admissibles concernant la collecte de données sont :

• la mesure des aptitudes professionnelles du candidat,
• sa capacité à occuper le poste à pourvoir.

Le recruteur doit documenter sa démarche lors de ces étapes afin d’être en mesure de les justifier.

Sécuriser les données

Le recruteur est responsable du partage des données du candidat. Avant d’enclencher le processus de recrutement, il doit lister les professionnels pouvant avoir accès à chaque information et ceux soumis à une obligation de confidentialité. Cette obligation peut être formalisée dans le contrat de travail ou dans une charte informatique annexée au règlement intérieur.

Le recruteur doit prendre toutes les précautions nécessaires au regard des risques présentés par son traitement pour préserver la sécurité des données personnelles collectées. Il doit empêcher ces dernières d’être déformées, endommagées ou que des personnes non autorisées y aient accès.

Par exemple, chez les ressources humaines, seuls les agents chargés du processus de recrutement ont accès aux CV et lettres de motivation enregistrés dans le logiciel RH utilisé.

Avoir un registre de traitements

La création et le maintien d’un registre de traitements sont des obligations érigées par le RGPD qui s’applique à tous les organismes, publics et privés, peu importe leur taille. Le registre est prévu pour chaque professionnel qui collecte des données à caractère personnel de manière non occasionnelle dans le cadre de leur activité.

Le registre de traitements est un outil de pilotage qui participe à la documentation de la conformité. Le recruteur peut analyser et indiquer tous les traitements de données à caractère personnel qu’il met en action lors du processus de recrutement.

Il doit identifier :

• les parties prenantes : sous-traitants et responsables conjoints
• les catégories d’informations personnelles collectées,
• le but des informations collectées (ce que le recruteur en fait), qui peut y accéder et à qui elles sont communiquées (transmission des informations nécessaires à la mutuelle, à l’assurance maladie, etc.),
• combien de temps les informations sur les candidats sont conservées,
• comment elles sont sécurisées,
• si des transferts d’informations vers des pays tiers sont prévus et, dans ce cas, les garanties associées.

Le registre est un document interne, conservé par l’organisme. Il ne doit pas être envoyé à la CNIL, sauf si elle le demande lors d’un contrôle.

Tout traitement doit avoir une finalité énoncée de manière claire, simple et compréhensible. Lors du recrutement, le recruteur doit indiquer pourquoi il collecte des données. Le candidat doit connaître les utilisations possibles des informations qu’il livre. Cette formation est nécessaire pour la tenue du registre de traitements.

Avoir un DPO

Selon la CNIL, “le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.”

Le DPO a plusieurs missions :

• il informe et conseille ses employés et l’organisme au sein duquel il exerce ses fonctions,
• il accompagne le changement dans l’usage de la data au sein de l’entreprise,
• il est disponible pour répondre aux questions des personnes concernées,
• il contrôle le respect du règlement et du droit national en matière de protection des données personnelles,
• il propose à l’organisme d’établir une analyse d’impact de la protection des données et assure son exécution,
• il assure une coopération avec l’autorité de contrôle locale,
• il peut tenir le registre de traitements avec l’aide de responsables et de sous-traitants,
• il documente la conformité de l’organisme, afin qu’en cas de contrôle, celui-ci puisse démontrer sa conformité à la réglementation applicable.

Réalisation d’une AIPD

Selon l’article 35 du RGPD, une réalisation d’une analyse d’impact sur la protection des données à caractère personnel (AIPD) est obligatoire lorsque le traitement des données peut mener à la création d’un risque pour les droits et les libertés des personnes concernées. Lors d’un recrutement, elle est nécessaire lorsque l’entreprise a recours à un traitement spécifique pour faciliter le recrutement de candidats, comme un algorithme ou un logiciel de sélection automatique.

Déterminer le statut des acteurs impliqués

Il est nécessaire de déterminer le statut des acteurs impliqués dans la manipulation des données à caractère personnel des candidats. Par exemple, on retrouve le responsable de traitement, son responsable conjoint et le sous-traitant.

Lorsqu’un organisme traite des données personnelles pour le compte d’un responsable de traitement, il est considéré comme étant son sous-traitant.
Au contraire, si le sous-traitant traite les données issues de ce traitement pour son propre compte (pour la gestion de la relation client, la comptabilité), il sera considéré comme responsable de traitement.

Il convient d’établir un contrat ou tout autre acte juridique avec les sous-traitants et les responsables conjoints de traitement pour clarifier les rôles et les obligations de chacun.

La durée de vie des données

Les informations collectées lors d’un processus de recrutement ne peuvent pas être conservées indéfiniment. Le recruteur doit définir une durée de conservation. Elle doit être cohérente et justifiée en fonction de l’objectif poursuivi. Plusieurs textes peuvent orienter le recruteur dans la délimitation de cette durée de conservation.

• La base active

Lors du recrutement, la conservation des données se fait dans une base active. C’est-à-dire qu’elles peuvent être fréquemment utilisées par l’embaucheur. Par exemple, un CV peut-être conservé dans un ordinateur ou sur un serveur pour que la personne chargée du recrutement puisse y avoir accès.

Le recruteur peut conserver chaque information jusqu’à 3 mois suivant la décision de refus d’embauche afin de pouvoir communiquer sur les raisons de cette décision. Les ressources utiles sont gardées dans la base. Le candidat peut être rappelé pour que l’entreprise puisse lui proposer d’autres offres d’emploi. Mais les données ne peuvent pas être conservées plus de 2 ans après la décision de refus et cette conservation doit reposer sur le consentement du candidat.

• La base intermédiaire

Lorsque le processus de recrutement est terminé, les données strictement nécessaires pour remplir certains objectifs peuvent être conservées dans une base intermédiaire. Les données non concernées doivent être supprimées de la base. Si elles ne le sont pas, les entreprises peuvent subir des sanctions.

La mise en place de la RGPD dans le recrutement permet d’aborder différemment sa stratégie de recrutement et sa manière de gérer les collaborateurs.

En effet, en renouvelant les accords de conservation des données des candidats, des mises à jour régulières sur la disponibilité des candidats et l’évolution de leur carrière se font. Si vous souhaitez en savoir plus sur les notions de confidentialité, droits des recruteurs et gestion des données, un guide sur le thème du RGPD en recrutement est régulièrement mis à jour par la CNIL.

Un projet en perspective ?
Contactez Timoa Group >