La Cnil publie un guide sur le recrutement et l’utilisation des données personnelles des candidats

Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats : ces opérations doivent respecter le règlement général sur la protection des données (RGPD). Afin d’accompagner les professionnels à toutes les étapes du recrutement, la CNIL publie un guide en 19 fiches sur son site internet.

Publié le 19 septembre 2023 à 11:51

Ce guide, outil d’accompagnement, comprend un rappel de la réglementation et des éclairages sur les bonnes pratiques à mettre en place pour garantir une conformité au RGPD, explique la Cnil. Il répond notamment aux enjeux juridiques liés à l’utilisation des nouvelles technologies lors du recrutement.

Dans les 10 premières fiches du guide recrutement, la Cnil rappelle les fondamentaux en matière de réglementation sur la protection des données personnelles : définition du traitement de données à caractère personnel dans le cadre du recrutement, finalité des traitements, base légale pour constituer des traitements à des fins de recrutement, données pouvant être collectées par un recruteur, etc.

Chaque fiche est composée de l’essentiel à retenir sur chaque question abordée, du cadre juridique applicable, de conseils pour se mettre en conformité ainsi que du rappel des références juridiques utiles.

Dans les 9 fiches suivantes, sont abordés les questions relatives à l’utilisation des nouvelles technologies par les recruteurs.

Fiche n° 1 : Qu’est-ce qu’un traitement de données à caractère personnel dans le cadre du recrutement ?
Toutes les opérations portant sur des données concernant les candidats (collecte, organisation, consultation, conservation, communication, suppression, etc.) sont des traitements de données personnelles au sens du RGPD.

Fiche n° 2 : Quelles sont les finalités des traitements constitués à des fins de recrutement ?
Comme tout responsable de traitement, le recruteur doit respecter le principe de finalité prévu par l’article 5 du RGPD : les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Fiche n° 3 : Qui est responsable des traitements mis en œuvre dans le cadre des recrutements ?
Le RGPD prévoit trois catégories spécifiques d’acteurs : responsable de traitement, responsable conjoint de traitement et sous-traitant. Cette qualification emportant différentes obligations pour les acteurs, il est essentiel d’y apporter un soin particulier en amont du traitement.

Fiche n° 4 : Quelle base légale peut être invoquée pour constituer des traitements à des fins de recrutement ?
Pour être licite, tout traitement de données doit reposer sur l’une des six "bases légales" prévues par le RGPD, décidée en amont du traitement. Ce choix emporte des conséquences, notamment sur les droits des personnes.

Fiche n° 5 : Quelles données peuvent être collectées par un recruteur ?
Seules des données adéquates, pertinentes et strictement nécessaires à la sélection du candidat à un poste donné et au déroulement de l’entretien d’embauche peuvent être collectées.

Fiche n° 6 : Qui peut accéder aux données collectées sur les candidats ?
Le recruteur doit définir les personnes habilitées à accéder aux données personnelles des candidats au regard de leurs attributions et de la nature des missions ou fonctions qu’elles exercent.

Fiche n° 7 : Quels sont les droits des candidats sur leurs données à caractère personnel ?
Les candidats disposent de plusieurs droits qui leur permettent de conserver la maîtrise de leurs données tout au long du processus de recrutement.

Fiche n° 8 : Comment le recruteur informe-t-il les candidats ?
Les candidats ont le droit d’être informés des traitements de données mis en œuvre. Cette information leur permet de conserver la maîtrise de leurs données personnelles dans le cadre du recrutement.

Fiche n° 9 : Quelle est la durée de conservation des données collectées à des fins de recrutement ?
Les données personnelles collectées à l’occasion d’un processus de recrutement ne peuvent pas être conservées indéfiniment par le recruteur. Une durée de conservation cohérente et justifiée doit être définie en amont.

Fiche n° 10 : Comment le recruteur doit-il documenter ses traitements ?
Le principe de responsabilisation des acteurs commande aux recruteurs d’adopter certains outils prescrits par le RGPD pour assurer la conformité de leurs traitements, en particulier : le registre des activités de traitement et l’analyse d’impact relative à la protection des données (AIPD).

Fiche n° 11 : un recruteur peut-il avoir recours à des outils d’évaluation de la personnalité du candidat (tests de personnalité, jeux sérieux, jeux intelligents, etc.) ?
Ces outils ne peuvent être utilisés qu’à la condition de présenter un lien objectif, direct et nécessaire avec l’appréciation de la capacité à occuper l'emploi proposé ou les aptitudes professionnelles des candidats. Ces derniers bénéficient à cet égard d’un droit renforcé à la transparence.

Fiche n° 12 : À quelles conditions un recruteur peut-il utiliser la vidéo dans le processus de recrutement ?
Quel que soit l’outil mis en œuvre par un recruteur, toutes les règles existantes en matière de protection des données doivent être respectées : le recruteur doit notamment privilégier les solutions les plus respectueuses du principe de minimisation des données des candidats.

Fiche n° 13 : Un recruteur peut-il avoir recours à des logiciels de tri, de classement et d’évaluation dans le cadre du recrutement ?
Au regard du volume conséquent de candidatures traitées, des recruteurs peuvent souhaiter s’appuyer sur certains outils de classement automatique, voire d’évaluation des candidatures. De tels procédés sont, sauf exceptions.

Fiche n° 14 : Un recruteur peut-il avoir recours aux données publiquement disponibles, notamment sur Internet, dans le cadre du recrutement ?
Le recueil, par un recruteur, des informations publiées par un candidat sur un réseau social ou plus généralement sur Internet constitue un traitement de données personnelles. De ce fait, il est soumis à l’ensemble des principes, conditions et règles posées par la réglementation en la matière.

Fiche n° 15 : Un recruteur peut-il mettre en œuvre des listes d’exclusion des candidats ?
Dans le cadre du recrutement, certains traitements sont susceptibles d’exclure les candidats à un emploi en raison de leurs expériences passées. Ces fichiers d’exclusions peuvent engendrer des conséquences importantes pour les candidats et leur utilisation doit donc être soumise à des garanties strictes.

Fiche n° 16 : Quel cadre juridique s’applique à la collecte du casier judiciaire et aux vérifications obligatoires ?
La consultation et la délivrance d’un extrait de casier judiciaire doit, comme pour toute donnée à caractère personnel collectée à l’occasion du processus de recrutement, présenter un lien direct et nécessaire avec le poste à pourvoir. À cette règle s’ajoute une interdiction de principe du traitement et de la collecte des données relatives à des infractions, sauf exception prévue par un texte spécifique. Aussi, en l’absence de texte spécifique, un recruteur ne pourra en principe pas obtenir d’extrait de casier judiciaire d’un candidat.

Fiche n° 17 : Quel cadre s’applique à la collecte de données potentiellement discriminantes ?
Le principe de non-discrimination est prévu par dans la loi. Il doit être respecté par le recruteur, tout au long du processus de recrutement, conformément aux critères posés par les textes.

Fiche n° 18 : Quelles spécificités s’appliquent au recrutement de candidats de nationalité étrangère ?
Sous
réserve de ne pas utiliser la nationalité comme critère de discrimination, directe ou indirecte, de candidats au recrutement, la collecte de cette information peut être justifiée dans certains cas.

Fiche n° 19 : Quel cadre juridique s’applique à la collecte des données sensibles ?
Le traitement de données dites « sensibles » concernant le candidat (telles que les données relatives à la santé, à la prétendue origine raciale ou à l’origine ethnique, aux convictions religieuses, etc.) est interdit, sauf exceptions expressément visées par le RGPD.

Candidats : adoptez les 4 bons réflexes pour protéger vos informations personnelles lors d’un recrutement

Recrutement et données personnelles dans les TPE/PME : cinq questions incontournables à se poser

Recruteurs : testez votre conformité au RGPD grâce à un questionnaire d’auto évaluation

Guide recrutement


Photo

Publié par Pascale CARBILLET



Questions
Photo

En cliquant sur publier vous acceptez les [conditions générales d'utilisation]

Voir notre Politique des données personnelles