La Commission Nationale Informatique & Libertés (ci-après « CNIL »), a soumis à consultation publique un Projet de guide de recrutement de septembre 2021 au 19 novembre de la même année. Ce Projet de guide de recrutement a vocation à aider les professionnels à se conformer aux prescrits du RGPD pouvant être mis à mal durant la procédure de recrutement. Il vise également à répondre aux questions sur quelques points spécifiques et innovants liés au recrutement.
Quelles sont les données pouvant être collectées ?
Le processus de recrutement peut être divisé en deux étapes majeures :
- la phase de sélection et
- la phase de conclusion du contrat.
Si le recruteur collecte les données d’un (potentiel) candidat lors de ces deux phases, seules les données adéquates, pertinentes et strictement nécessaires à chacune d’entre elles pourront être collectées, et ce en vertu du principe de minimisation des données (Art. 5.1, c. du RGPD).
Lors de la phase de sélection, le recruteur pourra demander et récolter toutes les informations nécessaires à l’évaluation de l’aptitude du candidat au poste de travail proposé. Par contre, le recruteur se voit interdit de demander et de récolter certaines informations sans lien avec l’évaluation des aptitudes du candidat comme son numéro de sécurité sociale ou sa composition de ménage par exemple (page 26 du guide).
Lors de la phase de conclusion du contrat, les besoins d’informations évolueront afin que le recruteur puisse satisfaire les obligations légales, entamer les démarches administratives etc. Il ne sera alors plus interdit de demander au candidat de communiquer son numéro de sécurité sociale et toutes données nécessaires à la formalisation de son contrat de travail.
Quelle est la durée de conservation de ces données ?
Le responsable du traitement des données collectées dans le cadre du recrutement doit déterminer le temps de conservations de ces dernières, puisque le RGPD ne précise rien à propos de la durée de conservation.
Certaines données du candidat retenu peuvent être réutilisées après la décision d’embauche à des fins de gestion personnelle, ces données constituent la « base active ». D’autres données relatives au candidat se classeront dans la « base intermédiaire » lorsque l’objectif de la collecte sera considéré comme atteint : elles ne seront accessibles que pour des raisons probatoires pour une durée de 5 ans maximum à dater de la décision d’embauche et la demande d’accès devra être motivée. A l’issue du processus de recrutement, certaines données n’entreront dans aucun de ces deux cas de figures et devront être supprimées directement.
Dans le cas d’un candidat non retenu, seules les données en « base active » peuvent être conservées maximum deux ans à compter du dernier contact avec ce dernier et s’il y consent. Concernant les données en base intermédiaire, la durée de conservation des données devra être définie en amont par le recruteur responsable du traitement et ladite conservation devra être cohérente et justifiée suivant l’objectif du traitement de ces données personnelles. A l’expiration de la durée, les données devront être supprimées ou anonymisées.
Quel est le devoir d’information du recruteur ?
Le responsable du traitement doit informer le candidat de manière complète et précise sur le traitement de ses données à caractère personnel, peu importe la manière dont ces dernières ont été collectées. Cette information doit intervenir préalablement et doit porter sur la raison précise de la collecte des différentes données personnelles, l’usage qu’il en sera fait par le responsable du traitement, mais aussi la maîtrise de ses données et les droits qui en découlent.
L’information relative au traitement doit être donnée au candidat oralement ou par écrit ou par tout autre moyen mais doit être transmise de manière concise, transparente, compréhensible et aisément accessible.
Le recruteur doit informer le candidat de plusieurs éléments et notamment l’identité du responsable du traitement, la finalité et la base juridique du traitement, la durée de conservation, etc. Ces éléments sont listés à la page 38 du guide.
Notre conseil :
La collecte de données personnelles d’un candidat doit s’organiser dans le strict respect des règles imposées par le RGPD. Chaque recruteur doit collecter des données cohérentes avec la finalité du traitement envisagée, et pour la durée nécessaire à la réalisation de cette finalité. Une information relative au traitement des données doit être portée à la connaissance du candidat.
A défaut de respect de ces règles, le traitement des données à caractère personnel sera considéré comme irrégulier et susceptible d’être sanctionné.
Il est donc primordial de formaliser une politique de traitement des données à caractère personnel dans le cadre du recrutement de travailleurs et/ou de collaborateurs et ce, sous la supervision d’un délégué à la protection des données.
Notre cabinet se tient à votre disposition pour ce faire.
