Les informations au sujet de potentiels candidats foisonnent sur internet, entre les réseaux sociaux, professionnels et autre. Il est tentant pour un employeur de parcourir ces informations afin de se faire une idée plus précise des qualités du candidat. Cependant, tout n’est pas permis et le Projet de guide de recrutement de la CNIL en pose les limites afin de sauvegarder la vie privée des candidats, qui reste de mise malgré l’accessibilité des contenus sur internet.
Dans quels cas la consultation des informations en ligne serait-elle permise ?
Les informations des candidats disponibles sur internet constituent des données à caractère personnel, ce qui implique que leur consultation par un employeur est apparentée à un traitement de ces données. Afin que cette consultation soit régulière, il convient de veiller à :
- limiter la finalité de la recherche à l’évaluation de la capacité ou les qualités professionnelles du candidat à occuper le poste disponible, et
- restreindre la consultation des informations à celles qui sont pertinentes et strictement en lien vis-à-vis de la finalité poursuivie.
Ces exigences sont généralement remplies lorsque l’employeur souhaite évaluer la cohérence des informations communiquées par le candidat ou lorsque le candidat a lui-même soumis des contenus en ligne à l’employeur pour illustrer ses réalisations ou capacités de travail.
Il n’est donc pas inconcevable qu’un employeur se base sur des données n’ayant aucun rapport avec les qualifications et aptitudes requises pour la sélection du candidat par rapport au poste à pourvoir.
Quid de l’exigence d’information ?
Les personnes dont les données à caractère personnel font l’objet d’un traitement doivent en être informées, conformément au RGPD.
L’employeur peut collecter les données soit de manière directe, c’est-à-dire lorsque le candidat lui communique, soit de manière indirecte, lorsqu’il consulte les réseaux ou un tiers. Dans les deux cas, certaines informations, telles que l’identité du responsable du traitement et la finalité de ce dernier, doivent être communiquées au candidat. La liste des informations à fournir figure à la page 38 du guide.
La communication de ces informations doit être faite aux candidats concernés dans un délai raisonnable, c’est-à-dire ne pouvant dépasser 1 mois à compter de la consultation ou collecte des données à caractère personnel. Si le délai n’est pas respecté, le candidat peut introduire une réclamation auprès d’une autorité de contrôle, conformément au RGPD.
Il existe certains cas d’exonération de l’obligation d’informer dans le chef de l’employeur, notamment lorsqu’il ne fait que consulter le profil d’un potentiel candidat sur un réseau social professionnel, sans en collecter les données.
Dans le cas où un employeur collecte certaines données personnelles d’un ou plusieurs candidat(s), son devoir d’information individuelle demeure. En revanche, si certaines données telles que des profils disponibles sur un réseau social professionnel, sont consultées en masses mais ne sont pas enregistrés, alors le recruteur est exonéré de son obligation d’information.
Our advice:
L’employeur ne doit pas perdre de vue que la collecte de données au départ des réseaux sociaux constitue un traitement de données à caractère personnel régi par le RGPD. Il doit donc veiller à limiter cette collecte aux information pertinentes et à informer le candidat.
Il doit aussi s’assurer que la plateforme via laquelle il souhaite collecter des données ne contient pas de clause contractuelle ou de clause générale d’utilisation limitant les possibilités d’exploitations de ces données. Ces clauses peuvent en effet interdire la collecte des données disponible sur la plateforme en question.