Dans le cadre d’un recrutement, l’employeur est amené à collecter de nombreuses informations personnelles sur les candidats. Le Règlement général sur la protection des données (RGPD), entré en vigueur en France le 25 mai 2018, vient encadrer de manière stricte le recueil de ces données.
Dès lors, quelles informations peuvent-elles être utilisées par les employeurs, et combien de temps sont-ils habilités à les conserver ? Plus globalement, quelles règles de protection des données personnelles doivent-elles être mises en place lors d’un recrutement ?
Me Louise Milbach, avocate en droit social, répond à vos questions et accompagne les employeurs dans la mise en conformité de leurs procédures de recrutement.
- Quelles informations peuvent-elles être demandées dans le cadre d’un recrutement ?
- Qui peut avoir accès à ces informations au sein de l’entreprise ?
- Quelles sont les obligations de l’employeur pour assurer la protection des données des candidats ?
- Quels sont les droits du candidat au recrutement ou du salarié ?
- Quels sont les risques de sanction pour l’entreprise qui ne respecte pas ces règles ?
Quelles informations peuvent-elles être demandées dans le cadre d’un recrutement ?
En vertu de l’article L1221-6 du Code du travail, “les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ne peuvent avoir comme finalité que d'apprécier sa capacité à occuper l'emploi proposé ou ses aptitudes professionnelles. Ces informations doivent présenter un lien direct et nécessaire avec l'emploi proposé ou avec l'évaluation des aptitudes professionnelles.”
Dans le cadre d’un recrutement, cela signifie que les informations demandées au candidat ne doivent avoir pour finalité que l’évaluation de celui-ci à occuper le poste proposé. Par exemple, des questions sur ses qualifications, ses compétences, son expérience et ses objectifs professionnels peuvent lui être adressées.
Il est en revanche interdit de demander à un candidat des informations sur sa situation familiale, son état de santé, ses opinions politiques et/ou religieuses, son appartenance syndicale, ses origines ou encore son projet éventuel d’avoir des enfants. En effet, ces informations relèvent de sa vie privée, et n’ont pas de lien direct et nécessaire avec l’évaluation de ses aptitudes professionnelles.
Après l’embauche du candidat, l’employeur est néanmoins habilité à collecter des informations complémentaires, dès lors qu’elles présentent une utilité manifeste. Par exemple, il peut demander au candidat une copie de son permis de conduire (si cela est nécessaire), les coordonnées des personnes à prévenir en cas d’urgence ou encore des informations sur ses ayants-droits dans le cadre de la complémentaire santé obligatoire.
Qui peut avoir accès à ces informations au sein de l’entreprise ?
Les informations personnelles d’un candidat ne peuvent être consultées que par les personnes qui interviennent dans le processus de recrutement. Généralement, il s’agit des salariés en charge de la gestion des ressources humaines. Lorsque le candidat est embauché au sein de l’entreprise, les administrations concernées (assurance-chômage, caisses maladie et retraite…) sont habilitées à accéder à ses données personnelles. Par ailleurs, les supérieurs hiérarchiques des salariés peuvent accéder à certaines informations lorsque cela est nécessaire : dans le cadre d’une évaluation annuelle, par exemple.
Outre ces cas limitatifs, l’employeur ne peut divulguer les données personnelles des candidats ou des salariés que si la loi ou une décision de justice l’exige.
Il doit par ailleurs assurer la sécurité des informations des candidats et garantir que seules les personnes habilitées puissent y avoir accès. Toutes les actions effectuées sur les données des candidats par les personnes habilitées doivent, à ce titre, faire l’objet d’un enregistrement.
Quelles sont les obligations de l’employeur pour assurer la protection des données des candidats ?
Dans le cadre d’un recrutement, l’employeur a l’obligation d ’informer les candidats de l’utilisation qu’il fait des informations collectées et de l’objectif poursuivi par la collecte de ces données.
Il doit également informer les candidats de la durée de conservation des données, des conditions d’exercice de leurs droits d’accès, des modalités de rectification et d’opposition, et de la possibilité qui leur est ouverte d’effectuer des réclamations auprès de la CNIL.
Lorsqu’un candidat n’est pas retenu, le recruteur doit l’informer que son dossier sera conservé pendant une durée de 2 ans, sauf s’il en demande expressément la destruction.Si le candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Une conservation plus longue est possible, mais uniquement avec l’accord exprès du candidat.
Lorsqu’un candidat est retenu, ses données sont conservées le temps de sa présence dans l’entreprise. A son départ, certaines informations peuvent être conservées à titre d’archivage. Le RGPD indique néanmoins que les données à caractère personnel ne peuvent être conservées que “pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées”.
Chaque objectif du traitement des données personnelles (en l'occurrence, le recrutement) doit reposer sur l’une des 6 bases légales définies par le RGPD. Ici, deux bases légales peuvent être retenues :
- l'intérêt légitime du responsable de traitement (le recruteur), sous réserve de ne pas porter atteinte aux droits et libertés fondamentaux du candidat ;
- l'exécution d'un contrat ou de mesures pré-contractuelles.
En tant que données personnelles, les dossiers des candidats doivent être sécurisés et uniquement accessibles au personnel du recrutement. Les piles de CV sur la table, accessibles à la vue de tous, sont donc à proscrire.
En outre, l’employeur a l’obligation d’inscrire les informations personnelles dans le registre des activités de traitement prévu par l’article 30 du RGPD, qui permet de recenser le traitement de l’ensemble des données.
L’article 35 du RGPD prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (AIPD) lorsque le traitement des données est susceptible de créer un risque pour les droits et libertés des personnes concernées. Dans le cadre du recrutement, elle est obligatoire dès lors que l’entreprise a recours à un traitement spécifique pour faciliter le recrutement de candidats, tel qu’un algorithme ou un logiciel de sélection automatique.
Quels sont les droits du candidat au recrutement ou du salarié ?
Tout candidat au recrutement et tout salarié peut, sur simple demande non motivée, demander à accéder à ses données et à être informé de la manière dont celles-ci sont traitées, au titre de son droit à l’information.
Les candidats au recrutement bénéficient également :
- d’un droit de rectification (ils peuvent demander au recruteur de corriger ou mettre à jour leurs données) ;
- d’un droit à l’oubli (ils peuvent demander au recruteur de supprimer leurs données des bases de données de l’entreprise) ;
- d’un droit à la limitation du traitement (ils peuvent demander au recruteur de suspendre le traitement de leurs données) ;
- d’un droit à la portabilité des données (ils peuvent demander à l’employeur d’exporter l’ensemble de leurs données) ;
- d’un droit d’opposition (ils peuvent demander à l’employeur de supprimer l’ensemble de leurs données, à condition que cette demande soit justifiée par des raisons tenant à leur “situation particulière”).
Par conséquent, l’ensemble des processus de recrutement doit être revu à la lumière des dispositions du règlement RGPD. Les candidats doivent en effet être tenus informés de leurs droits à chaque étape du recrutement. Les entreprises qui recrutent via leur site Internet peuvent intégrer des formulaires de consentement afin d’expliciter leur processus et d’informer les candidats de leurs droits concernant le traitement de leurs données.
Quels sont les risques de sanction pour l’entreprise qui ne respecte pas ces règles ?
En cas de violation par l’entreprise des dispositions du RGPD, la CNIL est habilitée à prononcer des sanctions administratives contre celle-ci. En France, la CNIL est l’autorité administrative indépendante chargée de contrôler et d’assurer la bonne application du règlement RGPD.
Les sanctions varient en fonction de la gravité du dysfonctionnement constaté. En cas d’absence de tenue d’un registre des traitements, par exemple, une amende pouvant aller jusqu’à 2% du chiffre d’affaires mondial de l’entreprise peut être prononcée. Dans le cas d’un manquement plus important, une amende correspondant à 4 % du chiffre d’affaires mondial (ou 20 millions d’euros) peut être prononcée.
Enfin, des sanctions pénales (pouvant aller jusqu’à 300 000 € d’amende et 5 ans d’emprisonnement) sont prévues pour les violations les plus graves : par exemple, le détournement par l’entreprise de la finalité des données, ou la fuite des données personnelles des candidats et des salariés.
Des dommages et intérêts pourront également être réclamés sur le plan civil.
Nous l’avons vu : les entreprises ont des obligations fortes en matière de protection des données personnelles, notamment dans le cadre du recrutement. Pour vous aider à mettre l’ensemble de vos processus en conformité avec les dispositions du RGPD, n’hésitez pas à faire appel à un avocat en droit social.
Une question ? Laissez votre commentaire