Les processus de recrutement font intervenir des prestataires externes à l’entreprise : cabinet de chasseur de tête, outil de gestion des candidatures, cabinet d’évaluation des compétences, … Afin de déterminer les responsabilités de chacun et leurs obligations respectives, il est nécessaire de qualifier ces acteurs dans le processus de recrutement, au regard du RGPD. Pour ce faire, l’organisme devra identifier pour chaque traitement qui définit :
- les objectifs du traitement de la donnée ;
- la manière d’atteindre ces objectifs.
Ces acteurs seront alors qualifiés comme les Responsables de traitement, les autres pourront être qualifiés de sous-traitants ou de co-responsable de traitement.
Face à la multitude de prestataires existants, la qualification n’est pas toujours facile à réaliser. Elle reste néanmoins primordiale car elle permet de connaître les obligations respectives de chaque intervenant entre eux, mais aussi à l’égard des candidats.
Par la suite, le recruteur doit déterminer la base légale des traitements de données, parmi les 6 proposées dans le RGPD. Plusieurs traitements de données ayant des objectifs différents, peuvent être mis en œuvre dans le cadre du recrutement. Les bases légales pourront alors être différentes.
Objectif / finalité de traitement |
Base légale |
Recherche de profils pertinents sur un site web comme l’APEC |
Intérêt légitime de l’organisme d’identifier de potentiels candidats |
Analyse et réponse à une candidature reçue |
Mesures précontractuelles prises à l’encontre du candidat |
Vérification d’un titre de séjour |
Obligation légale de l’employeur de s’assurer de la possibilité du candidat de travailler sur le sol français |
Constitution d’une CVthèque |
Consentement du candidat |
Il n’est pas nécessaire de demander le consentement du candidat pour le traitement de sa candidature. En effet, le CNIL définit que le consentement ne peut être réel dans le cadre de cette relation précontractuelle candidat / employeur, son refus affectant ses chances d’obtenir un emploi.
Une fois les acteurs et bases légales identifiés, les recruteurs doivent informer les candidats sur la manière dont ses données personnelles seront traitées afin qu’ils puissent conserver la maîtrise de ses informations personnelles. Pour se faire, les recruteurs doivent intégrer les informations liées au recrutement dans une politique de protection des données, disponibles sur le site internet de l’organisme. Des mentions d’informations ainsi qu’un lien vers cette politique doivent être disponible sur la page emploi ou sur l’offre d’emploi publiée par l’organisme.
Le recruteur doit aussi appliquer le principe de minimisation des données. Il ne doit collecter que les « données adéquates, pertinentes et strictement nécessaires à la sélection des candidats à un poste donné » par exemple, il est interdit de demander des informations relatives aux membres de la famille du candidat ou encore des informations nécessaires à la constitution du contrat de travail au moment de l’entretien d’embauche.
Ces données ne peuvent pas être conservées indéfiniment par le recruteur. Il doit en amont définir des durées de conservation adéquates qui doivent être cohérentes et justifiées en fonction de l’objectif poursuivi par le traitement.
De nos jours, les recruteurs peuvent avoir recours à d’autres méthodes de recrutement : serious games, business games, etc… afin d’évaluer les traits de personnalité des candidats. La CNIL estime que ces pratiques peuvent être admises uniquement si l’utilisation d’une telle méthode présente « un lien objectif, direct et nécessaire avec l’appréciation de la capacité à occuper l’emploi proposé ou les aptitudes professionnelles des candidats ». Corrélativement, l’obligation d’information pesant sur le recruteur doit être renforcée. Ainsi, le candidat doit être expressément et préalablement informé de la mise en œuvre des méthodes et techniques utilisées pour le recrutement.
En raison de la crise sanitaire, de nombreux recruteurs ont décidé de recourir à des entretiens en visioconférence. Une analyse doit être conduite pour privilégier les solutions les plus respectueuses, notamment au regard du principe de minimisation. En effet, certains outils peuvent collecter par exemple la géolocalisation des candidats. Par ailleurs, si le recruteur souhaite enregistrer l’entretien pour une analyse a posteriori, le candidat doit en être informé et doit pouvoir refuser sans que cela n’ait d’impact sur sa candidature.
De manière générale, l’utilisation d’un outil innovant dans le cadre du processus de recrutement doit toujours être précédée d’une analyse d’impact sur la protection des données, afin de réduire les risques pour les personnes concernées. Par exemple, l’utilisation de logiciels de tri, de classement et d’évaluation leurs permettant de faire une pré-sélection automatique des candidatures reçues est par principe, interdite. Cependant, si l’organisme arrive à démontrer que cela répond à des « conditions exceptionnelles » (comme par exemple, la réception d’un nombre exceptionnellement élevé de candidatures) et qu’il met en œuvre des garanties spécifiques permettant d’assurer les droits et intérêts des candidats alors cela peut être envisagé.
En conclusion, pour respecter le RGPD durant le processus de recrutement, le recruteur doit toujours se poser la question de la pertinence des moyens qu’il utilise mais aussi se questionner sur la conséquence de ces moyens sur les données personnelles et la vie privée des candidats. Pour en savoir plus sur comment recruter conformément au RGPD, nous vous invitons à lire le guide recrutement de la CNIL (projet déjà publié, version finale attendue pour février 2022) contenant un grand nombre d’exemples et de conseils.