RGPD : la CNIL publie un guide pour les recruteurs

Le nouveau guide de la CNIL est destiné à accompagner les professionnels lors des différentes étapes du recrutement.

Avec ce guide, la CNIL souhaite répondre à un besoin des recruteurs de disposer d’un accompagnement et de la position de la CNIL sur l’exploitation des données personnelles issues des nouvelles technologies :

• canaux de recrutement (réseaux sociaux, publicité, moteurs de recherche spécialisés) ;

• outils de communication (visioconférence, chatbots) ;

• utilisation de l’intelligence artificielle ;

• recours à des outils pour évaluer le « soft skills » des candidats (compétences comportementales, savoir-être).

Ce guide a pour objectif d’accompagner les recruteurs afin qu’ils soient en conformité avec le RGPD. D’une centaine de pages, ce dossier est rédigé en 2 parties :

• une qui rappelle la réglementation sur la protection des données dans le domaine du recrutement (10 fiches) ;

• une seconde qui est consacrée à l’utilisation des nouvelles technologies et sur la discrimination (9 fiches).

Il comprend 19 fiches rédigées sous forme de questions-réponses. Parmi les questions posées, on peut citer par exemple :

• qui est responsable des traitements mis en œuvre dans le cadre des recrutements ?

• quelle base légale peut être invoquée pour constituer des traitements à des fins de recrutement ?

• quelles données peuvent être collectées par un recruteur ?

• qui peut accéder aux données collectées sur les candidats ?

• quels sont les droits des candidats sur leurs données à caractère personnel ?

• quelle est la durée de conservation des données collectées à des fins de recrutement ?

• un recruteur peut-il avoir recours à des outils d’évaluation de la personnalité du candidat (tests de personnalité, jeux sérieux, jeux intelligents, etc.) ?

• à quelles conditions un recruteur peut-il utiliser la vidéo dans le processus de recrutement ?

• un recruteur peut-il avoir recours aux données publiquement disponibles, notamment sur Internet, dans le cadre du recrutement ?

• quel cadre juridique s’applique à la collecte du casier judiciaire et aux vérifications obligatoires ?

• quelles spécificités s’appliquent au recrutement de candidats de nationalité étrangère ?

Ce guide étant très dense, la CNIL propose également aux TPE-PME une synthèse des 5 questions incontournables à se poser.

Cette synthèse aborde notamment la question des informations qui peuvent être utilisées lors d’un recrutement. Ainsi, dans le respect du principe de non-discrimination, les informations demandées aux candidats doivent être en lien direct et nécessaire avec l’emploi proposé, permettre de vérifier ses aptitudes professionnelles (compétences, qualifications).

Vous devez respecter la vie privée du candidat. Aucune personne ne peut être écartée d’une procédure de recrutement en raison de son âge, de sa situation de famille. La CNIL rappelle qu’il est interdit de demander à un candidat :

• son numéro de Sécurité sociale, ses coordonnées bancaires ;

• des informations sur sa famille, ses projets familiaux ;

• ses mensurations, son poids, sauf exceptions (postes de travail particuliers comme par exemple, le mannequinat, les sports hippiques).

Il faut également vous assurer que l’accès aux informations recueillies lors du recrutement est limité aux seules personnes chargées du recrutement. Les managers, par exemple.

Vous devez également garantir que les informations sont traitées de manière :

• licite. Vous devez respecter la réglementation. Par exemple, il est illicite de préciser dans l’annonce que vous recherchez un homme de 25 ans. Dans une telle situation, on est en présence d’une discrimination à l’embauche ;

• loyale. Par exemple, si l’entretien est filmé vous devez informer le candidat ;

• transparente. Ainsi, vous devez préciser dans des termes clairs, simples et compréhensibles pourquoi vous collectez des données sur le candidat afin que ce dernier puisse savoir quelle sera leur utilisation possible. Par exemple, si la personne est filmée pendant l’entretien, préciser l’objectif de l’entretien vidéo. La CNIL donne l’exemple qui pourrait justifier le recours à la vidéo : mesurer l’aptitude du candidat dans le cadre d’un processus de recrutement.

La conservation des données doit également être limitée dans le temps. La CNIL indique qu’il est possible de conserver le CV et la lettre de motivation d’un candidat non-retenu afin d’alimenter « un vivier de candidats » mais, sous réserve, que cette conservation n’excède pas plus de 2 ans.

Si vous conservez ces documents, il est important d’informer le candidat sur le processus de recrutement (le responsable du fichier de recrutement, voire DPO, s’il existe dans l’entreprise, la durée de conservation des données, les conditions d’exercice de ses droits notamment d’accès, de rectification ou d’effacement d’information).

En présence d’un délégué à la protection des données (DPO), ce dernier doit être associé à la mise en conformité de vos processus de recrutement aux règles de protection des données.

Afin de tester votre conformité au RGPD, la CNIL propose un questionnaire d’auto-évaluation en 5 étapes.