RGPD et Recrutement : gestion des Données Personnelles et Processus de Sélection

🚀 Les employeurs
face aux difficultés de recrutement

Les recruteurs internes et les agences d’intérim rencontrent de plus en plus de difficultés à recruter. Cela, à la différence de ce que croient la majeure partie des employeurs, n’a rien à voir avec l’inadéquation entre l’offre et la demande de travail. En effet, selon une enquête de la Direction de l’Animation de la Recherche, des Études et des Statistiques (Dares), ce sont les mauvaises conditions au travail qui expliquent cette grande difficulté dans le processus de recrutement, que ce soit pour les recruteurs internes ou les agences d’intérim.

Face à une telle situation, la plupart des agences d’intérim décident de conserver les informations des anciens candidats pour les recontacter en cas de besoin et ce, sans tenir compte des durées limitées de conservation de données, prévues par le RGPD.

Etant donné qu’une donnée personnelle est considérée comme étant toute information qui concerne une personne physique, et qui permet de l’identifier de manière directe ou indirecte, dans le cadre de recrutement, les agences d’intérim et les recruteurs internes vont donc conserver des données comme :

• l’identité du candidat : son nom et prénom ;
• ses expériences professionnelles, notamment ses stages et emplois qu’il a occupés ;
• sa formation comme ses diplômes et ses certifications ;
• l’évaluation de ses aptitudes et compétences telles que les résultats des tests de connaissances ou de personnalité.

💼 Quelles sont les durées de conservation de données personnelles des candidats ?

🤷 Le RGPD n’a pas prévu de durée précise en ce qui concerne le traitement mis en œuvre à des fins de recrutement. Autrement dit, ça revient à chaque responsable de traitement de la déterminer. 

Il existe de nombreux textes permettant d’orienter les responsables de traitement dans la définition de cette durée, notamment celle de l’archivage intermédiaire dont on va traiter un peu plus loin.

Par ailleurs, afin de prendre en considération les différents textes qui imposent des durées minimales de conservation, et qui seraient spécifiques au secteur du recrutement, les délais de prescription des actions contentieuses peuvent constituer un critère qui permettra d’ajuster la durée de conservation des données.

Exemple : l’article L. 1134-5 du code du travail fixe à cinq ans le délai de prescription de l’action en réparation du préjudice résultant d’une discrimination, à compter de la révélation de la discrimination.

En cas de refus :

Après avoir prononcé une réponse négative à une candidature, le recruteur est dans l’obligation d’informer le candidat de son désir à conserver son dossier, en vue de lui laisser le choix d’accepter ou de refuser cette proposition.

Dans le cas où le candidat ne demande pas au recruteur de détruire son dossier, les données qu’il a transmises doivent, systématiquement, être détruites deux ans après le contact. En revanche, si le candidat a été pris pour le poste, ses données personnelles pourraient être conservées tout au long de la période de sa présence dans l’organisme. Seules des informations spécifiques peuvent être conservées après le départ du salarié, comme les bulletins de paie, à titre d’exemple (5 ans après son départ).

Activités de traitement	Détails du traitement	Durées d’utilisation	Durée de prescription	Références légales
Recrutements	Destruction immédiate des informations si le candidat n’est pas retenu sauf du CV qui peut être conservé pendant une durée de deux ans	Traitement des informations recueillies pendant le processus de recrutement y compris par chatbot	NA	« Recommandation de la CNIL n°02-017 du 21 mars 2002 »

📌 Quelles règles un recruteur doit appliquer dans le cadre de conservation des données personnelles de ses candidats ?

Dans le cadre de recrutement RGPD, on distingue deux principales phases successives du cycle de vie d’une donnée personnelle :

L’utilisation courante :

C’est une étape qui implique l’utilisation des données transmises par le candidat et ce, en ce qui concerne un processus de recrutement en cours. Toutes les informations collectées dans cette phase vont être accessibles par le recruteur dans un environnement de travail immédiat. Par exemple, si un recruteur reçoit un CV ou une lettre de motivation de la part d’un candidat, il peut les télécharger sur son ordinateur professionnel ou sur un serveur de l’entreprise, pour qu’il puisse les consulter à sa convenance, n’importe quand, tout au long de la période de recrutement jusqu’à la prise de décision d’embauche. Ce qui nous mène à la deuxième phase.

L’archivage intermédiaire :

Une fois le processus de recrutement achevé et que la décision d’embauche a été prise, l’objectif de traitement des données collectées sera donc atteint. En effet, toutes les informations transmises par les candidats ont été collectées pour une finalité de gestion de recrutement.

Cela veut dire qu’à la différence de la première phase, dans la deuxième, le recruteur n’a plus besoin de conserver les informations des candidats dans son ordinateur professionnel ou dans un serveur de l’entreprise.

Au cas où la conservation de celles-ci pourrait présenter un intérêt, notamment en ce qui concerne la gestion d’une action de discrimination, ou pour répondre à une obligation légale, même après la phase de l’utilisation courante, les informations des candidats pourraient être conservées en base intermédiaire. Une base où elles pourront être consultées de manière ponctuelle par des personnes expressément habilitées.

En revanche, la phase de l’archivage intermédiaire a elle aussi une durée limitée. Dans ce cas, toutes les informations doivent être supprimées ou, du moins, anonymisées. Il faut donc chercher l’objectif derrière une pareille conservation, en vue de ne garder que les informations nécessaires qui permettent de satisfaire cet objectif. 

⚠️ Comment informer les candidats sur le traitement de leurs données personnelles ?

Parmi les droits dont disposent les candidats est celui d’être informé du traitement de leurs données personnelles. Un droit qui leur permettra de maitriser les informations personnelles qu’ils transmettent dans le cadre du recrutement.

Pourquoi informer ?

Dans le cadre du RGPD, un responsable de traitement est dans l’obligation de fournir aux personnes concernées une information précise sur le traitement mis en œuvre de leurs propres données personnelles. Il va sans dire que la manière avec laquelle cette information doit être présentée doit être adaptée à un contexte de recrutement.

Il s’agit donc du principe d’apparence, qui permet aux candidats :

• Une connaissance précise de la raison pour laquelle leurs informations personnelles ont été collectées et donc traitées (exemple : compétences professionnelles, CV, test de connaissances, etc.) ;
• Une compréhension générale de l’usage qui sera fait ces données là (le contexte dans lequel elle vont être consultées, et pendant combien de temps) ;
• Une garantie de maitrise de leurs informations en facilitant l’exercice de leur droit.

De l’autre côté, pour les recruteurs, cela permet d’instaurer une relation de confiance entre recruteurs et candidats et ce, même en cas de réponse négative au recrutement.

Les cas où le recruteur doit informer les candidats :

Dés lors qu’il traite des données personnelles, un recruteur est dans l’obligation d’informer les personnes concernées et ce, peu importe la manière dont ces données ont été collectées (directe ou indirecte).

Les modalités d’information sont donc différentes en fonction de la manière dont les données ont été collectées. Autrement dit cela va dépendre du fait que les données ont été collectées de manière directe (CV ou lettre de motivation transmis par le candidat), ou de manière indirecte (un site internet, un collègue, etc.).

Collecte directe :

C’est, généralement, quand le candidat a transmis ses données directement au recruteur, peu importe le moyen. Ça peut être sous forme d’un CV ou une lettre de motivation, une communication d’un diplôme ou d’un certificat de travail, un remplissage d’un formulaire ou des réponses apportées aux questions posées lors d’un entretien.

Collecte indirecte :

La collecte de données de manière indirecte peut être sous forme de prise de références auprès d’un ancien employeur du candidat, ça peut être une information obtenue via un annuaire d’anciens élèves ou une information obtenue sur les réseaux sociaux professionnels.

💼 Est-ce qu’un recruteur a le droit de contacter un candidat ?

Un recruteur a le droit de contacter un candidat pour un poste s’il a obtenu son information à partir d’une source publique, telle qu’une annonce d’emploi ou un profil en ligne et ce, sans demander son consentement. Cependant, il est toujours préférable pour les recruteurs de demander le consentement des personnes concernées avant de les contacter, afin de respecter leur vie privée et de s’assurer que le contact est approprié.

Il est également important de noter que certaines lois sur la protection des données peuvent exiger un consentement explicite de la part du candidat avant de recevoir des communications de la part d’un recruteur.

Par ailleurs, un employeur a le droit de chercher des informations qui concernent les candidats sur internet. Il existe des sites de recrutement qui proposent un accès payant comme Monster, APEC, Cadremploi… Dans ce cas, la recherche est considérée comme étant loyale, puisqu’en s’inscrivant sur ces sites, les candidats vont devoir donner leur consentement pour la diffusion de leurs données personnelles.

Pareil pour les réseaux sociaux professionnels comme LinkedIn ou Indeed. L’objectif des candidats est déjà identifié. De plus, aucune donnée personnelle qui concerne la vie privée des utilisateurs n’apparait sur les réseaux sociaux professionnels. La maitrise des données personnelles appartient donc aux personnes concernées.

Cependant, un recruteur n’a pas le droit de chercher des informations sur des réseaux sociaux personnels (ex : Facebook, Instagram, ou taper le nom du candidat sur Google). Ce genre de sites proposent des informations qui concernent la vie privées des personnes concernées. Le recruteur n’a donc pas le droit de collecter ou de traiter ces données.

📕 Cas des agences d’intérim
et des agences de recrutement

Une agence d’intérim est considérée comme étant une entité qui a comme principale mission de trouver des salariés et de les embaucher et ce, en vue de répondre à un besoin à l’enceinte d’une entreprise cliente.

Dans le cadre de leur activité principale, les agences d’intérim peuvent être qualifiées de :

• Responsables du traitement créé pour constituer un vivier de candidats compétents dans certaines branches d’activité ;
• Responsables des traitements constitués spécifiquement pour l’activité d’intérim, aux fins de gestion de la mise à disposition des salariés intérimaires au sein des entreprises utilisatrices et de leurs rémunérations par les entreprises de travail temporaire.

Une agence d’intérim est amenée donc à collecter et à traiter les données à caractère personnel des candidats qui s’inscrivent sur sa plateforme en ligne, en vue de leur proposer des offres d’emploi. Les agences d’intérim souhaiteraient donc réutiliser les données personnelles des candidats afin de mener des analyses d’optimisation du processus de placement des candidats. Il s’agit d’une finalité qui entre dans le cadre du respect du RGPD puisqu’il n’y a pas de conséquences sur les personnes concernées.

Dipeeo compte parmi ses clients différentes agences spécialisées dans le recrutement, et en particulier, des agences d’intérim comme : Hunteed, TalentAddict, Student Pop, LeHibou et Emploi-Collectivités.

😯 Sanctions RGPD et RH

Etant donné que le RGPD impose des obligations aux recruteurs pour garantir la protection des données personnelles des candidats, ces derniers peuvent déposer une plainte au cas où leurs données n’ont pas été traitées de manière conforme au RGPD. Le conséquences peuvent être sous forme d’amendes, de sanctions administratives et de dommages-intérêts en cas de violation grave des obligations du RGPD.

Il faut noter que les amendes prononcées par la CNIL ne sont pas forcément les sanctions RGPD appliquées immédiatement par le régulateur de données personnelles. Ce derniers peut appliquer et prononcer l’une ou plusieurs de ces mesures là :

• Un rappel à l’ordre : il s’agit d’un avertissement de la CNIL de prendre les mesures qui s’imposent pour corriger la défaillance ;
• Une injonction de se mettre en conformité, qui peut être assortie d’une astreinte pouvant aller jusqu’à 100.000 € par jour de retard ;
• Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
• Le retrait d’une certification ;
• La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
• L’amende administrative.