La CNIL a mis à jour son guide à destination des RH et autres recruteurs
Quelles informations peuvent être utilisées ? Dans quel cadre les utiliser ? Combien de temps les conserver ? Quelles sont les pratiques interdites ?
Pour résumer le texte, je dirais que les RH et recruteurs doivent respecter le cercle privé des candidats, réduire les questions pertinentes à l’essentiel et conserver les réponses le moins de temps possible.
1. Quelles informations peuvent être utilisées ? Pour quoi faire ?
Vous ne pouvez utiliser que les informations qui vous permettent d’évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles.
Il est notamment interdit de demander à un candidat :
- son numéro de sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d’employeur) ;
- des informations relatives aux membres de sa famille ;
- s’il souhaite avoir des enfants ;
- ses mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (mannequins, pilotes de course, jockeys, etc.) : l’annonce publiée devra alors spécifier les caractéristiques recherchées.
2. À quelles conditions ces informations peuvent-elles être utilisées ?
Vous devez garantir que les informations personnelles fournies par les candidats soient traitées de manière licite, loyale et transparente.
La constitution d’un vivier de candidats réalisée à partir de la parution d’une annonce, qui correspondrait à une fausse offre d’emploi n’est pas considérée comme légitime.
3. Qui peut avoir accès aux informations personnelles collectées sur les candidats ?
Seules les personnes en charge du recrutement, par exemple les managers ayant vocation à encadrer le futur agent/salarié ou encore le dirigeant embauchant par la suite le candidat, peuvent accéder aux informations personnelles des candidats.
4. Quelles garanties pour la vie privée ?
Vous devez informer les candidats comme les employés intervenant dans le processus de recrutement :
- de l’identité et des coordonnées du responsable du fichier dédié au recrutement dans votre entreprise ;
- des coordonnées du délégué à la protection des données (DPO), si vous en avez désigné un ;
- de l’objectif poursuivi (gestion des candidatures) ;
- de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur) ;
- du caractère obligatoire ou facultatif des réponses ainsi que des conséquences à en cas de défaut de réponse ;
- des destinataires des informations ;
- de la durée de conservation des informations ;
- des conditions d’exercice des droits tels que ceux d’accès, de rectification, d’effacement des informations, etc. ;
- de la possibilité d’adresser une plainte à la CNIL ;
- le cas échéant, de l’existence de prise de décision automatisée telle que l’utilisation d’une solution algorithmique de tri des candidatures.
5. Comment documenter sa conformité au RGPD ?
Si vous avez désigné un DPO, il doit être associé à la mise en conformité de vos processus de recrutement aux règles de protection des données.
Les différents fichiers de recrutement doivent être inscrits dans un registre des activités de traitement que vous devez tenir dès lors que vous traitez régulièrement des informations personnelles dans le cadre de vos activités. par exemple un gestionnaire de prospects tel que PrestOffice.
Lire l’article complet sur le site de la CNIL.
Téléchargez le guide de la CNIL.