Vous retrouverez sur le site les grands principes du RGPD au sujet des salarié·es ainsi qu’un article dédié à la clause du contrat de travail sur la protection des données. Mais la sécurisation des données personnelles commence même avant l’embauche. Voici donc un focus sur le recrutement et sur les ressources mises à dispositions par la CNIL.

RGPD pendant un recrutement

Dans le cadre d’un processus de recrutement, l’entreprise collecte, organise, consulte, conserve, communique ou encore supprime des données à caractère personnel sur les candidat·es. Toutes ces opérations sont des opérations de traitement de données à caractère personnel au sens du RGPD.

Pour rappel, pour traiter des données personnelles, il faut une finalité légitime. Dans le cadre du recrutement, il y en a deux et seulement deux :

• apprécier la capacité à occuper l’emploi proposé,
• mesurer les aptitudes professionnelles.

Ainsi, la personne qui recrute ne peut demander (et traiter) que des données pertinentes par rapport à ces finalités. Elle s’abstient donc de collecter toute donnée personnelle non nécessaire (situation familiale, religion, politique ou autres). Si le ou la candidat·e communique spontanément une information, le recruteur peut conserver le document mais ne peut pas extraire la donnée sensible pour l’utiliser.

Par exemple : l’entreprise peut conserver un CV ou une lettre de motivation indiquant un engagement dans une organisation politique, syndicale ou religieuse. Ce sont toutefois des données sensibles qui ne peuvent pas être traitées en elle-mêmes.

Informer les candidat·es

Les candidat·es doivent notamment être informé·es des :

• des méthodes et techniques d’aide au recrutement utilisées, préalablement à leur mise en œuvre (tests, vidéo, logiciel de tri, etc.)
• l’identité et les coordonnées du responsable de traitement
• la finalité du traitement, cf. plus haut
• la base juridique du traitement
• les destinataires des informations
• la durée de conservation des informations
• les droits des candidat·es : accès, rectification, effacement des données, limitation ou opposition au traitement
• la possibilité d’introduire une réclamation auprès de la CNIL

Vous trouverez un modèle de notice d’information dans la fiche n°8 du guide de la CNIL.

Pour les candidat·es non-retenu·es, il faut également prévoir une information si les données sont conservées.

Données sensibles

Au sens du RGPD, les données sensibles sont :

• la prétendue origine raciale ou l’origine ethnique ;
• les opinions politiques ;
• les convictions religieuses ou philosophiques ;
• l’appartenance syndicale ;
• la santé ;
• la vie sexuelle ou l’orientation sexuelle.
• les données génétiques ou biométriques traitées aux fins d’identifier une personne physique de manière unique.

Il est, en principe, interdit de traiter ces données. Les exceptions sont strictement encadrées et doivent être liées à « une exigence professionnelle essentielle et déterminante » (L. 1133-1 du code du travail).

Casier judiciaire

Sans être une donnée sensible, les informations relatives aux infractions et condamnations pénales disposent d’un régime particulier.

En effet, pour certains emplois (notamment en lien avec les enfants), il est licite que l’employeur vérifier le bulletin n°3 du casier judiciaire. Ce dernier a toutefois la charge de vérifier qu’il existe des dispositions légales lui permettant cette pratique.

Par ailleurs, l’entreprise ne peut que vérifier le bulletin n°3 sans le conserver.

Tableau issu de la fiche 16 du guide de la CNIL

Candidat·e de nationalité étrangère

La capacité à occuper le poste suppose, pour les candidat·es de nationalité étrangère (hors UE), d’avoir une autorisation de travail en France. Les informations relatives à la possession de cette autorisation font donc partie des données pouvant être collectées dans le cadre de recrutement.

Toutefois, pendant le recrutement, l’entreprise se limite à la vérification de l’autorisation de travail. Elle ne pourra demander d’autres informations que lors de la phase d’embauche.

Tableau issu de la fiche 18 du guide de la CNIL

Les ressources de la CNIL

Pour plus d’informations, la CNIL vous propose de nombreuses ressources :

• Webinaire : https://www.CNIL.fr/fr/revoir-le-webinaire-recrutement-de-nouveaux-outils-proposes-par-la-CNIL
• un guide exhaustif à destination des recruteurs et autres intervenants
• une fiche dédiée aux TPE/PME : cinq questions incontournables à se poser
• un questionnaire d’auto-évaluation au RGPD 
• une fiche pratique dédiée aux candidats à un processus de recrutement