Le recrutement de futurs collaborateurs doit s’effectuer dans le respect des législations et/ou règlementations en vigueur dans le pays ou l’espace économique/communautaire concerné. Entre autres exemples de règlementations qui s’appliquent dans l’espace européen, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit Règlement Général sur la Protection des Données (RGPD).
Contexte
Le RGPD s’applique dès lors qu’un traitement de donnée à caractère personnel s’opère. Pour rappel, une donnée à caractère personnel est toute information permettant d’identifier directement ou indirectement une personne physique.
Un traitement, quant à lui, est toute opération portant sur des données à caractère personnel (collecte, enregistrement, modification, hébergement…).
Ainsi, le recrutement nécessitant le traitement d’informations sur des candidats obtenues aussi bien via les Curriculum Vitae et les documents échangés que lors des entretiens, le RGPD doit être respecté.
Concrètement, quelles sont les obligations découlant de la règlementation en matière de protection des données pour le recruteur ?
La définition d’une finalité du traitement
Le recruteur doit avoir un objectif déterminé en amont (mais pouvant évoluer avec le temps), explicite et légitime qui justifie la mise en place du traitement de données.
La détermination/qualification des différents acteurs impliqués dans le recrutement
Trois types de statuts principaux peuvent être utilisés pour qualifier les différents acteurs du recrutement.
D’abord le statut de responsable de traitement : le recruteur bénéficie de cette qualification lorsqu’il définit les finalités et les moyens du traitement de données.
Ensuite, le statut de responsable conjoint du traitement : la responsabilité conjointe du traitement est retenue pour le recruteur lorsque ce dernier définit conjointement avec un autre acteur les finalités et moyens du traitement.
Enfin, le statut de sous-traitant : ce dernier statut concerne le recruteur qui agit pour le compte et sur instruction d’une autre structure. C’est le cas par exemple du recruteur qui traite les candidatures dans le cadre du recrutement pour une structure l’ayant missionné.
La définition d’une base légale
Comme tout traitement de données, ceux effectués dans le cadre du recrutement doivent se fonder sur l’une des bases légales du RGPD. En pratique, quatre de ces six bases sont mobilisables dans le cadre du recrutement au regard de la finalité du traitement. Ce peut être le consentement, le contrat, l’intérêt légitime ou encore l’intérêt public.
La collecte de données strictement nécessaires
Le recruteur ne peut déroger au principe de minimisation des données qui consiste à traiter des données strictement nécessaires au recrutement. La Commission Nationale Informatique et Libertés (CNIL) recommande aux recruteurs de ne collecter que les informations devant permettre d’identifier le candidat le plus adapté au poste et de vérifier les compétences ainsi que les qualifications requises pour ledit poste.
Ainsi, la collecte des données relatives aux membres de la famille d’un candidat ou de ses projets d’avoir des enfants est interdite car disproportionnée par rapport à la finalité du recrutement.
Le contrôle des accès aux données des candidats
Les données à caractère personnel des candidats ne sont pas la propriété des recruteurs. Dès lors, ces derniers doivent mettre en place des mesures garantissant que seules les personnes habilitées au regard de leurs fonctions dans le processus de recrutement aient accès à ces données.
Le respect des droits des candidats
Le recruteur doit veiller au respect des droits des personnes concernées par le traitement de données mis en place dans le cadre du recrutement. Il doit, d’une part, être transparent vis-à-vis des candidats en leur fournissant toutes les informations relatives au traitement de façon concise, transparente, compréhensible et aisément accessible. D’autre part, il doit garantir le respect des autres droits conférés par le RGPD aux personnes concernées notamment le droit d’accéder aux données, de demander leur rectification, leur limitation, leur portabilité, leur effacement ainsi que le droit de s’opposer au traitement.
La définition d’une durée de conservation des données
Le traitement des données pour des finalités de recrutement ne déroge pas au principe de la limitation des durées de conservation. En effet, selon ce principe, les données doivent être traitées pour une durée définie en amont et ne peuvent être conservées indéfiniment. Le recruteur devra donc respecter ce principe en définissant une durée qui ne devra excéder celle nécessaire à l’atteinte des objectifs pour lesquels lesdites données ont été collectées.
Dans son « guide recrutement », la CNIL précise des durées de conservation sur lesquelles pourront s’appuyer les recruteurs responsables de traitement en fonction de différentes finalités.
La documentation des traitements
Enfin, afin de respecter « l’accountability » qui consiste à responsabiliser les organismes mettant en place des traitements de données à caractère personnel, le recruteur doit documenter tous ses traitements. Cette documentation passe par la mise en place d’un registre des activités de traitement, d’un registre des violations de données et, dans certains cas, par la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD).
La protection des données à caractère personnel comporte des obligations dont ne peut se passer aucun recruteur. Le non-respect de celles-ci pourrait conduire à des sanctions de divers ordres.
#RGPD #Protectiondesdonnées #RessourcesHumaines #Recrutement #Donnéesderecrutement