Recrutement et données à caractère personnel : la Cnil publie un projet de guide

La Commission nationale de l’informatique et des libertés (Cnil) a publié un projet de guide sur le recrutement dans le but d’aider les professionnels en charge d’une telle activité à appliquer les règles relatives à la protection des données à caractère personnel.

La Cnil avait publié en 2002 une recommandation « relative à la collecte et au traitement d’informations nominatives lors d’opérations de recrutement » (délibération n° 02-017 du 21 mars 2002). Elle évoquait plus récemment les traitements de données à caractère personnel mis en œuvre dans le cadre des opérations de recrutement dans son référentiel relatif à la gestion du personnel publié fin 2019.

Ce nouveau projet de guide vise à prendre en compte les évolutions intervenues depuis ces publications, tant d’un point de vue juridique que sur le plan des évolutions technologiques et des usages professionnels.

 

*          *

*

 

Composé de 19 fiches pratiques, le projet de guide poursuit deux objectifs principaux :

 

  1. Rappeler les fondamentaux de la réglementation sur la protection des données à caractère personnel dans le domaine du recrutement

Ainsi, le projet de guide aborde notamment les questions suivantes :

 

  • Qui est responsable de traitement ?

Jobboards, cabinets de recrutement, employeurs, entreprises d’intérim,… Les types d’acteurs pouvant être amenés à traiter les données à caractère personnel de candidats peuvent être nombreux. Leurs qualifications (responsable de traitement, responsable conjoint de traitement, ou encore sous-traitant) et les responsabilités en résultant au regard de la règlementation sur la protection des données dépendent de leur rôle dans la détermination des finalités et des moyens du traitement, ce que la Cnil vient dans son guide opportunément rappeler notamment au moyen d’exemples concrets appliqués aux opérations de recrutement.

 

  • Quelle base juridique peut être choisie ?

Pour être licite, un traitement de données doit se fonder sur l’une des six bases juridiques prévues par le RGPD. Exécution d’un contrat ou mesures précontractuelles prises à la demande du candidat, intérêt légitime du recruteur, obligation légale, mission d’intérêt public ou encore consentement du candidat : plusieurs bases juridiques peuvent être mobilisées pour justifier le traitement des données à caractère personnel d’un candidat. Il appartient au responsable de traitement de déterminer la plus appropriée à chaque finalité de traitement, la Cnil rappelant à cet égard que le choix de la base juridique du traitement détermine entre autres les modalités d’exercice des droits du candidat.

 

  • Quelles données peuvent être collectées par un recruteur ?

En vertu du principe de minimisation des données, le recruteur doit collecter uniquement les données adéquates, pertinentes et strictement nécessaires pour évaluer l’aptitude professionnelle d’un candidat pour un poste proposé. Le caractère adéquat, pertinent et nécessaire d’une donnée dépend non seulement du type de poste proposé, mais également du moment du processus de recrutement lors duquel elle est collectée. Ainsi, la Cnil rappelle par exemple que la collecte du numéro de sécurité sociale d’un candidat est interdite au stade de la revue de sa candidature ou de l’entretien, mais autorisée (et encore sous certaines conditions) pour les besoins de la conclusion du contrat d’embauche.

 

  • Quelle durée de conservation pour les données personnelles collectées ?

Le recruteur est tenu de définir, en amont de la collecte, une durée de conservation des données cohérente, justifiée et proportionnée au regard de la finalité poursuivie par le traitement. Il doit prévoir une durée de conservation pour les données qu’il utilise couramment, en “base active”, par exemple dans le cadre d’un processus de recrutement en cours. A la fin du processus de recrutement, le recruteur doit supprimer les données si plus rien ne justifie leur conservation. Si le recruteur souhaite ou doit conserver les données pour d’autres finalités, comme le respect d’une obligation légale ou encore la prévention d’un éventuel contentieux, il doit les archiver “en base intermédiaire” et fixer une durée de conservation adaptée à cette nouvelle finalité. Dans le cas de la prévention d’un contentieux, la durée de conservation peut être utilement fixée en fonction des durées de prescription.

 

  • Comment le recruteur doit-il informer les candidats ? 

Le candidat doit être informé de tout traitement de données à caractère personnel le concernant par le recruteur, que ces éléments aient été collectés directement auprès de lui ou indirectement, par exemple auprès d’un ancien employeur, collègue ou client du candidat, ou encore par l’intermédiaire d’un cabinet de recrutement. Cette information doit intervenir lors du recueil de ses données en cas de collecte directe, et dès que possible en cas de collecte indirecte (et en tout état de cause dès le premier contact avec le candidat, et au plus tard dans le délai d’un mois après la collecte des données).

 

2. Apporter des réponses aux questions spécifiques des recruteurs, et notamment à celles liées aux nouvelles pratiques et technologies

A cet égard, la Cnil évoque entre autres dans son projet de guide les sujets suivants :

 

  • Un recruteur peut-il avoir recours à des outils d’évaluation de la personnalité du candidat ou aux données disponibles sur les réseaux sociaux dans le cadre de ses opérations de recrutement ?

Serious games, smart games, business games, tests de personnalité : les méthodes d’évaluation de la personnalité et du savoir-être des candidats sont aujourd’hui légion. Elles ne peuvent toutefois être employées qu’à la condition de présenter un lien direct, objectif et nécessaire avec l’appréciation de l’aptitude du candidat à occuper l’emploi proposé, et sous réserve que le caractère pertinent de ces méthodes puisse être démontré. Une obligation d’information renforcée pèse sur l’employeur qui doit renseigner les candidats, expressément et préalablement à leur mise en œuvre, sur les méthodes et outils d’aide au recrutement employés.

Ces principes (pertinence, adéquation, transparence,…) sont transposables aux pratiques de collecte d’informations sur les candidats depuis les réseaux sociaux, étant précisé que l’employeur doit en outre porter une attention particulière à ce que de telles pratiques ne portent pas atteinte à la vie privée des candidats (à titre d’exemple, seuls les réseaux sociaux professionnels peuvent éventuellement être consultés pour recueillir / vérifier des informations sur un candidat).

 

  • À quelles conditions peut-il procéder à des entretiens vidéo ?

Généralisée par la pandémie, l’utilisation d’outils de visioconférence peut mener à un traitement de données à caractère personnel et doit, en tant que tel, respecter la règlementation applicable. La Cnil rappelle à cet égard qu’il convient, outre le respect des principes de base, de choisir les outils ayant vocation à être utilisés avec soin en particulier eu égard au principe de minimisation des données (cf. de nombreux outils de visioconférence disponibles sur le marché mettant en œuvre des pratiques très (trop) intrusives en matière de collecte de données) ou encore à l’obligation d’assurer la sécurité et notamment la confidentialité des données. La Cnil rappelle en outre que, de la même manière que pour un entretien en présentiel, “aucune conservation des flux vidéo et son n’apparaît nécessaire” en principe, sauf justification très spécifique du besoin.

 

  • Quelles règles s’appliquent à la consultation du casier judiciaire du candidat ?

En l’absence de texte spécifique, le traitement et la collecte de données relatives à des infractions ou condamnations est interdite. Toutefois, en cas de nécessité en lien direct avec le poste à pourvoir (par exemple, incompatibilité prévue par les textes entre une fonction et certaines condamnations), l’employeur pourra demander à consulter, sans le conserver ni en dresser copie, le bulletin B3 du candidat. Ce dernier contient uniquement les condamnations liées aux crimes et aux délits les plus graves. Des textes spécifiques peuvent également autoriser ou requérir la consultation par l’employeur du bulletin B2 du candidat, les formalités associées à la consultation d’un tel document faisant l’objet d’un encadrement particulier. Enfin, la consultation du bulletin B1, qui recense l’ensemble des condamnations et des décisions de justice relatives à une personne, est réservée aux autorités judiciaires et aux établissements pénitentiaires, et est interdite à tout employeur.

 

  • Quelles règles s’appliquent à la collecte de données sensibles (ex: état de santé, opinions religieuses, vie et orientation sexuelles,…) ?

Le traitement de données dites “sensibles” (dont font partie les données relatives à la santé, aux opinions religieuses ou syndicales, à la vie et à l’orientation sexuelles,…) est interdit, sauf exceptions expressément visées dans le RGPD. Leur collecte ne sera donc possible que si, d’une part, l’une des exceptions prévues par le RGPD est remplie et si, d’autre part, cette collecte est adéquate, pertinente et strictement limitée aux données nécessaires pour l’appréciation des aptitudes professionnelles du candidat pour un poste donné.

 

*          *

*

 

Ce guide est soumis à consultation publique jusqu’au 19 novembre 2021. Tout un chacun, et plus particulièrement tout professionnel du recrutement, est invité à partager ses observations sur le guide, tant sur le contenu de chaque fiche que sur la pertinence, la clarté et l’intelligibilité de l’ensemble. Pour participer à la consultation publique sur le projet de guide sur le recrutement de la Cnil, cliquez ici. La Cnil annonce que le guide finalisé devrait être diffusé sur son site web en février 2022.

 

AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques de recrutement au regard notamment de la règlementation en matière de protection des données à caractère personnel mais également des dispositions législatives et réglementaires applicables en droit du travail.

 

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée