Lors d’une candidature et tout au long d’un processus de recrutement, les données personnelles des candidats sont collectées et utilisées. Les recruteurs doivent donc veiller à respecter le règlement général sur la protection des données entré en application en 2018, appelé RGPD. En effet, ce texte réglementaire encadre le traitement des données personnelles de façon égalitaire sur l’ensemble du territoire de l’Union européenne. RGPD et recrutement sont donc indissociables !
A la recherche d’une documentation complète sur le thème du RGPD en recrutement, nous vous conseillons le guide régulièrement mis à jour par la CNIL.
L’obligation de respect du RGPD est parfois vue d’un mauvais œil par les entreprises. Pourtant, derrière cette contrainte se trouve une véritable opportunité ! En effet, le consentement est l’occasion de valoriser les traitements que vous menez et campagnes de recrutement… Bref, c’est une occasion de valoriser votre marque employeur, mais aussi de veiller à inscrire vos candidats dans votre vivier au passage. Alors, quelles sont les règles à respecter et les bonnes pratiques pour mener un recrutement conforme et responsable ? Découvrez vos obligations en matière de RGPD dans les lignes qui suivent.
RGPD et recrutement : principes fondamentaux
Définition du règlement général sur la protection des données
Le RGPD (règlement général sur la protection des données) est entré en vigueur en 2018 et s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Le RGPD établit un ensemble de règles sur la collecte et l’utilisation des données sur tout le territoire de l’Union européenne.
Le RGPD a été élaboré autour de 3 principaux objectifs :
- Responsabiliser l’ensemble des acteurs traitant des données personnelles.
- Renforcer le droit des personnes.
- Faciliter la régulation grâce à la mise en place d’une coopération renforcée entre toutes les autorités de protection des données.
Ebook : Bonnes pratiques pour un recrutement responsable et conforme avec le RGPD
Maîtrisez les contraintes réglementaires liées au recrutement et recrutez en tout sécurité !
Dans le cadre d’un recrutement, le RGPD concerne plusieurs aspects tels que :
- Le recueil du consentement des candidats à l’utilisation de cookies sur le site carrière et les annonces d’emploi de l’entreprise.
- La collecte et le recueil du consentement des candidats au traitement de leurs données à caractère personnel (CV, formulaires, etc.)
- La durée maximale de conservation et de traitement des informations personnelles à la suite d’une candidature.
- Le respect des droit des personnes à propos de leur données ( droit d’accès, de rectification ou d’effacement des données des candidats, etc.).
Un petit rappel utile : la définition selon la CNIL des données à caractère personnel
La CNIL (Commission nationale de l’informatique et des libertés) décrit une donnée personnelle comme toute information se rapportant à une personne physique identifiable ou identifiée, de façon directe ou indirecte. Dans le cadre d’un recrutement, ces données personnelles peuvent être :
- Le nom et le prénom du candidat.
- Les diplômes et certifications obtenus.
- Les expériences professionnelles.
- Des tests afin d’évaluer les compétences du candidat, etc.
Pour aller plus, nous vous conseillons de consulter l’article très complet de la CNIL sur les données à caractère personnel
La plupart de ces données sont directement accessibles via le CV du candidat. Cependant, certaines d’entre elles peuvent être collectées de façon indirecte, lorsque l’entreprise se met en lien avec un ancien employeur après autorisation du candidat, par exemple.
Sachez que le RGPD vise autant les données sur format numérique… que sur format papier ! Une prise de note manuscrite pendant un entretien d’embauche, conservée dans un dossier, correspond donc à un traitement de données. C’est un point important à prendre en compte lors d’un processus de recrutement.
Concernant la notion de traitement des données, il peut s’agir, entre autres, de :
- La collecte de CV, formulaires de candidatures, questionnaires de qualification de candidat au cours d’un processus de recrutement
- Le traitement de commentaires et observations à propos d’un candidat
- La constitution de viviers de candidats et leur activation
- L’envoi de mails, SMS, etc. pour communiquer avec un candidat
Amendes et sanctions en cas de non-respect du RGPD lors d’un recrutement
Lors d’un processus de recrutement, un candidat ayant subi un préjudice en lien avec une atteinte portée à ses données peut demander à l’entreprise des dommages et intérêts.
Le non-respect de l’ensemble des obligations du RGPD peut ainsi mener à une amende administrative allant jusqu’à 4 % du chiffre d’affaires de l’entreprise. S’ajoute à cela un éventail d’autres sanctions dont la CNIL dispose telles que : rappel à l’ordre, suspension des flux de données, etc.
Les obligations du recruteur en France concernant le RGPD
1. Recueillir le consentement des candidats à la collecte de données et au dépôt des cookies
RGPD et recrutement sont intimement liés ! En tant que recruteur, vous avez donc certaines obligations à noter précisément.
En pratique, dans son guide du recrutement paru en 2023, la CNIL précise qu’il n’est pas pertinent de recueillir le consentement d’un candidat en vue de traiter ses données personnelles dans le cadre d’un recrutement. En effet, en cas de refus les chances d’un candidat pourraient en être affectées. La CNIL recommande ainsi aux recruteurs de baser leur action sur la base légale de contractualisation (c’est le but dans le cadre d’un processus de recrutement), les recruteurs pouvant alors se passer de la collecte du consentement.
En revanche, nous vous recommandons tout de même d’obtenir le consentement de vos candidats si vous souhaitez utiliser leurs données personnelles afin d’activer votre vivier. La CNIL précisant en effet que l’activation de son vivier étant dissociée du simple processus de candidature et nécessitait alors le consentement préalable.
Par ailleurs, le cas des cookies et autres traceurs possiblement employés sur votre site carrières et vos pages annonces, ceux-là nécessitent un consentement systématique. Ces outils n’étant pas nécessaires à votre processus de candidature, s’ils sont déposés sur le navigateur de vos candidats à l’instar de Google Analytics ou même des outils de partage sociaux et de visualisation de vidéos hébergées sur YouTube, tous doivent obtenir le consentement explicite des internautes de votre site carrières et pages annonces.
Vous devez alors informer les utilisateurs de façon concise, transparente, compréhensible et accessible de l’objectif de l’utilisation de cookies (publicités ciblées, personnalisation du contenu, etc.).
Après avoir informé les visiteurs, le recueil de leur consentement concernant l’utilisation de ces cookies est obligatoire. De plus, le refus des cookies doit pouvoir être réalisé facilement, afin de ne pas influencer l’internaute à donner son consentement.
2. Respecter les bonnes pratiques en matière de traitement des CV
Si dans certains pays, comme la Belgique, le candidat doit donner son consentement pour la collecte des données de son CV, ceci n’est pas nécessaire en France (même si nous venons d’aborder pourquoi il reste tout de même recommandé). En tant que recruteur, vous devez cependant respecter certaines bonnes pratiques.
En effet, le recruteur est responsable du partage des données des candidats. En amont d’un recrutement, il doit donc lister les professionnels habilités à avoir accès aux données des candidats et soumis à une obligation de confidentialité.
Par exemple, les professionnels suivants peuvent être amenés à obtenir des informations relatives aux candidats lors d’un recrutement (CV, lettre de motivation, etc.) :
- Les responsables des ressources humaines.
- Le manager chargé de l’encadrement du futur talent.
- Le directeur général de l’entreprise, etc.
L’entreprise doit être en mesure de sécuriser l’ensemble des données des candidats, que cela soit :
- Par l’intermédiaire de la mise en place d’une protection informatique → ex. mot de passe robuste changé très régulièrement, antivirus, etc.
- Via une protection d’accès aux documents papiers présents dans les locaux de l’entreprise → ex. code d’accès, fermeture à clé, etc.
Sachez également que toutes les entreprises (TPE, PME, association) doivent tenir à jour un registre d’activité de traitement des données et mener une analyse d’impact relative à la protection des données (AIPD) pour les recrutements qui présentent un risque élevé concernant les droits et libertés des candidats.
3. Collecter uniquement les données pertinentes en lien avec le processus de recrutement
Un recrutement amène automatiquement à effectuer un ensemble d’opérations qui portent sur les données des candidats. En ce sens, le RGPD recommande de minimiser les données recueillies. Elles doivent être adéquates, limitées et pertinentes selon la CNIL sur la base de la “minimisation” des données personnelles reccueillies.
Cela signifie que vous avez l’obligation de limiter au strict nécessaire la collecte de données, exit la question systématique du permis de conduire ou du diplôme pour les postes qui ne les nécessitent pas par exemple.
Le recruteur doit donc veiller à ce que les informations recueillies soient légitimes, explicites et limitées à ce dont il est nécessaire pour sélectionner un nouveau talent. Cette définition de la finalité de traitement doit être réalisée en amont de la collecte des données des candidats.
Le Code du travail indique que, lors d’un recrutement, les deux seules finalités admissibles en ce qui concerne la collecte de données des candidats sont :
- L’évaluation de leur capacité à occuper le poste à pourvoir.
- La mesure de leurs aptitudes professionnelles.
Il est, par exemple, en principe interdit de demander à un candidat :
- S’il souhaite avoir des enfants.
- Des informations sur les membres de sa famille, etc.
Soyez également vigilant à utiliser les données collectées seulement pour l’utilisation qui a été annoncée aux candidats. Dans le cas contraire, vous devez impérativement procéder à une nouvelle information auprès des talents.
4. Respecter le droit à l’accès et à la suppression des données des candidats
Lors d’un processus de recrutement, les candidats ont le droit de conserver la maîtrise de leurs données personnelles. À ce titre, sur simple demande, les candidats doivent avoir :
- Un droit d’accès à leurs données et aux informations relatives au traitement de leurs données (finalité, durée de conservation, etc.).
- Un droit de rectification afin de corriger des données inexactes ou de compléter des données en lien avec le recrutement.
- Un droit à l’effacement de leurs données.
- Un droit d’opposition aux traitements ultérieurs au recrutement de leurs données.
- Un droit à la limitation du traitement afin de geler momentanément l’utilisation de leurs données.
- Un droit à la portabilité de leurs données pour les récupérer ou les transférer vers un autre organisme.
5. Assurer la suppression des données des candidats
L’ensemble des données des candidats ne peut pas être gardé indéfiniment. Le RGPD parle de conservation des données en base active. Cela correspond à la durée nécessaire à la réalisation d’un objectif précis (ex. un recrutement).
Ainsi, dans le cadre d’un recrutement, le service des ressources humaines d’une entreprise ne peut conserver les données des candidats non retenus au-delà d’un délai que la CNIL fixe à 2 ans (source).
À moins qu’un candidat demande, avant cette échéance, la suppression de ses données et si vous avez collecté le consentement de ce dernier, vous pourrez ainsi activer un profil de candidat durant 2 ans dans votre vivier. A noter que toute nouvelle candidature reçue permet de redéfinir le délai à 2 ans, si celle-ci renouvelle le consentement au passage. Enfin, vous pouvez également automatiser l’envoi de mails de renouvellement du consentement pour tout candidat dont le consentement au traitement des données personnelles viendrait à échéance. Une démarche à activer afin de maintenir un vivier de candidats nombreux.
6. Permettre aux viviers de candidats de se désinscrire facilement
Afin de gérer facilement votre vivier de candidats tout en respectant le RGPD, n’hésitez pas à utiliser une solution dédiée, comme celle de Cegid Digitalrecruiters. En effet, notre ATS (Applicant Tracking System) vous fait gagner du temps et vous garantit d’être en conformité avec le RGPD, grâce à :
- Un portail candidats sécurisé qui leur donne un accès direct afin de pouvoir modifier ou supprimer leurs données personnelles en un clic (avec un choix de leurs préférences dans le cas de newsletters distinctes pour animer votre vivier).
- Des reportings fiables qui vous permettent de vous assurer de ne pas avoir dépassé les deux ans de conservation des données des candidats après votre dernier contact avec eux.
- L’automatisation de la suppression des données des candidats après deux années sans interactions avec eux.
- L’hébergement de votre vivier de candidats en France, avec des sous-traitants européens, etc.
7. Renouveler le consentement des talents pour conserver un vivier de candidats
Vous l’avez compris, RGPD et recrutement sont indissociables, même en ce qui concerne votre vivier de candidats. Eh oui, la conservation des données personnelles des candidats ne doit pas être prolongée dès lors qu’elle n’est plus réellement nécessaire. La CNIL recommande une durée de conservation des données de 2 ans maximum.
Sachez que la plateforme Cegid Digitalrecruiters a développé un module de gestion des consentements. Ainsi, vous pouvez paramétrer la durée pendant laquelle vous souhaitez que les données personnelles des candidats présents dans votre vivier soient conservées. Puis, à l’issue de cette durée, les candidats sont avertis afin qu’ils puissent renouveler s’il le souhaite, en un clic, leur consentement.
Vous pouvez aussi décider directement d’anonymiser automatiquement l’ensemble des données des candidats (ex. IP visiteurs).
Votre site carrières est-il en conformité avec le RGPD ?
Découvrez le JobSite Grader et faites analyser le niveau de conformité de votre site carrières avec le RGPD en 2 clics.
Crédit photo : Pixabay
