Comment recruter tout en respectant le Règlement Général sur la Protection des Données (RGPD) ?

Témoignage

Justine Cabanis, Gérante "La robe numérique" - DPO certifiée

Lors du processus de recrutement, l’organisme va être amené à collecter, organiser, consulter, conserver, communiquer ou supprimer les données à caractère personnel des candidats. Ces manipulations entraînent des obligations et conduisent l’organisme à se demander comment recruter tout en respectant le RGPD ? 

Le rappel des fondamentaux en matière de traitement de données personnelles

Les processus de recrutement font intervenir des prestataires externes à l’entreprise : cabinet de chasseur de tête, outil de gestion des candidatures, cabinet d’évaluation des compétences, … Afin de déterminer les responsabilités de chacun et leurs obligations respectives, il est nécessaire de qualifier ces acteurs dans le processus de recrutement, au regard du RGPD. Pour ce faire, l’organisme devra identifier pour chaque traitement qui définit :

  • les objectifs du traitement de la donnée ;
  • la manière d’atteindre ces objectifs.

Ces acteurs seront alors qualifiés comme les Responsables de traitement, les autres pourront être qualifiés de sous-traitants ou de co-responsable de traitement.

Face à la multitude de prestataires existants, la qualification n’est pas toujours facile à réaliser. Elle reste néanmoins primordiale car elle permet de connaître les obligations respectives de chaque intervenant entre eux, mais aussi à l’égard des candidats.

Par la suite, le recruteur doit déterminer la base légale des traitements de données, parmi les 6 proposées dans le RGPD. Plusieurs traitements de données ayant des objectifs différents, peuvent être mis en œuvre dans le cadre du recrutement. Les bases légales pourront alors être différentes.

Objectif / finalité de traitement Base légale
Recherche de profils pertinents sur un site web comme l’APEC  Intérêt légitime de l’organisme d’identifier de potentiels candidats
Analyse et réponse à une candidature reçue Mesures précontractuelles prises à l’encontre du candidat
Vérification d’un titre de séjour Obligation légale de l’employeur de s’assurer de la possibilité du candidat de travailler sur le sol français
Constitution d’une CVthèque Consentement du candidat

Il n’est pas nécessaire de demander le consentement du candidat pour le traitement de sa candidature. En effet, le CNIL définit que le consentement ne peut être réel dans le cadre de cette relation précontractuelle candidat / employeur, son refus affectant ses chances d’obtenir un emploi.

Une fois les acteurs et bases légales identifiés, les recruteurs doivent informer les candidats sur la manière dont ses données personnelles seront traitées afin qu’ils puissent conserver la maîtrise de ses informations personnelles. Pour se faire, les recruteurs doivent intégrer les informations liées au recrutement dans une politique de protection des données, disponibles sur le site internet de l’organisme. Des mentions d’informations ainsi qu’un lien vers cette politique doivent être disponible sur la page emploi ou sur l’offre d’emploi publiée par l’organisme.

Le recruteur doit aussi appliquer le principe de minimisation des données. Il ne doit collecter que les « données adéquates, pertinentes et strictement nécessaires à la sélection des candidats à un poste donné » par exemple, il est interdit de demander des informations relatives aux membres de la famille du candidat ou encore des informations nécessaires à la constitution du contrat de travail au moment de l’entretien d’embauche.

Ces données ne peuvent pas être conservées indéfiniment par le recruteur. Il doit en amont définir des durées de conservation adéquates qui doivent être cohérentes et justifiées en fonction de l’objectif poursuivi par le traitement.

Les recommandations liées aux nouvelles pratiques et technologies

De nos jours, les recruteurs peuvent avoir recours à d’autres méthodes de recrutement : serious games, business games, etc… afin d’évaluer les traits de personnalité des candidats. La CNIL estime que ces pratiques peuvent être admises uniquement si l’utilisation d’une telle méthode présente « un lien objectif, direct et nécessaire avec l’appréciation de la capacité à occuper l’emploi proposé ou les aptitudes professionnelles des candidats ». Corrélativement, l’obligation d’information pesant sur le recruteur doit être renforcée. Ainsi, le candidat doit être expressément et préalablement informé de la mise en œuvre des méthodes et techniques utilisées pour le recrutement.

En raison de la crise sanitaire, de nombreux recruteurs ont décidé de recourir à des entretiens en visioconférence. Une analyse doit être conduite pour privilégier les solutions les plus respectueuses, notamment au regard du principe de minimisation. En effet, certains outils peuvent collecter par exemple la géolocalisation des candidats. Par ailleurs, si le recruteur souhaite enregistrer l’entretien pour une analyse a posteriori, le candidat doit en être informé et doit pouvoir refuser sans que cela n’ait d’impact sur sa candidature.

De manière générale, l’utilisation d’un outil innovant dans le cadre du processus de recrutement doit toujours être précédée d’une analyse d’impact sur la protection des données, afin de réduire les risques pour les personnes concernées. Par exemple, l’utilisation de logiciels de tri, de classement et d’évaluation leurs permettant de faire une pré-sélection automatique des candidatures reçues est par principe, interdite. Cependant, si l’organisme arrive à démontrer que cela répond à des « conditions exceptionnelles » (comme par exemple, la réception d’un nombre exceptionnellement élevé de candidatures) et qu’il met en œuvre des garanties spécifiques permettant d’assurer les droits et intérêts des candidats alors cela peut être envisagé.

En conclusion, pour respecter le RGPD durant le processus de recrutement, le recruteur doit toujours se poser la question de la pertinence des moyens qu’il utilise mais aussi se questionner sur la conséquence de ces moyens sur les données personnelles et la vie privée des candidats. Pour en savoir plus sur comment recruter conformément au RGPD, nous vous invitons à lire le guide recrutement de la CNIL (projet déjà publié, version finale attendue pour février 2022) contenant un grand nombre d’exemples et de conseils.

En savoir plus

Nous vous proposons de suivre 2 webinars conscrés aux bonnes pratiques RH et RGPD

L'entretien d'embauche

Gardez en mémoire que l’entretien d’embauche est le premier contact entre votre entreprise et un éventuel futur salarié. Il est important que ce premier contact soit correct avec tous les candidats

Recruteur, pensez à préparer et à structurer vos entretiens téléphoniques

L’entretien téléphonique est très souvent utilisé par les recruteurs dans la phase de présélection des candidats, entre la sélection du dossier de candidature et l’entretien en face à face.

Comment rédiger une offre d’emploi attractive ?

Depuis la levée des restrictions sanitaires, il est fréquent d’entendre les dirigeants de certains secteurs d’activité faire état de leurs difficultés à recruter. 

des hommes entre deux mains
Pass recrutement

Vous souhaitez gagner du temps et  trouver votre nouveau collaborateur ? Confiez-nous votre recrutement !