La protection des données personnelles dans le cadre du recrutement

SOCIAL RGPD
Actualité

Dans le cadre de vos recrutements, vous êtes amené à collecter et traiter des données personnelles des candidats et futurs embauchés : identité, adresse, numéro de téléphone, numéro de sécurité sociale, ...

Accès à votre contenu
même hors ligne

Télécharger maintenant

Dans le cadre de vos recrutements, vous êtes amené à collecter et traiter des données personnelles des candidats et futurs embauchés : identité, adresse, numéro de téléphone, numéro de sécurité sociale, situation familiale, RIB, permis de conduire, ayants droits, etc…

Soyez prudents ! La CNIL vient d'annoncer qu'elle concentrera ses contrôles sur les traitements liés au recrutement au second semestre 2018.

Les informations collectées lors du recrutement

Dans le cadre d’un recrutement, les données collectées ne peuvent vous servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé (qualification, compétences, expérience, etc…).

Ainsi par exemple, vous ne pouvez pas demander à un candidat à un emploi son numéro de sécurité sociale, des informations sur ses parents, ses frères et soeurs, ses opinions politiques, son appartenance syndicale, etc...

En revanche, vous êtes amené à collecter les données nécessaires à l’établissement de la DPAE, du contrat de travail, etc… 

L’accès aux données personnelles

L’accès aux données personnelles des candidats et futurs embauchés doit être strictement limité aux seules personnes intervenant dans le processus de recrutement :

  • Les personnes en charge des RH, de la gestion du personnel ;
  • Les administrations concernées ;
  • Les responsables hiérarchiques mais uniquement pour les données nécessaires à l’exercice de leurs fonctions (évaluations, rémunération, etc…) ;
  • Les représentants du personnel mais uniquement pour les données figurant dans le registre du personnel ou dans le cadre de l’exercice de leurs missions.

Les droits du candidat ou futur embauché

Aucune information concernant un candidat à l’embauche ou un futur employé ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance.

Vous êtes tenu d’informer les représentants du personnel ainsi que le candidat à l’embauche des techniques d’aide au recrutement employées et/ou des fichiers de gestion du personnel.

Vous devez également informer le candidat de :

  • L’identité du responsable du fichier (cabinet de recrutement ou service RH) ;
  • L’objectif poursuivi (gestion des candidatures ou gestion du personnel) ;
  • La base légale du dispositif (obligation issue du code du travail ou intérêt légitime de l’employeur) ;
  • Caractère obligatoire ou facultatif des réponses ainsi que des conséquences à leur égard d’un défaut de réponse ;
  • Des destinataires des informations ;
  • La durée de conservation des données ;
  • Des conditions d’exercice de son droit d’opposition, d’accès et de rectification ;
  • La possibilité d’introduire une réclamation auprès de la CNIL.

Tout candidat peut, sur simple demande, obtenir une copie des données qui le concernent.

La durée de conservation des données

Lorsqu’un candidat n’est pas retenu, l’employeur doit l’informer du fait qu’il souhaite conserver son dossier de candidature, afin de lui laisser la possibilité d’en demander la destruction.

Dès lors que le candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Seul l’accord formel du candidat permet une conservation plus longue.

Si l’employeur a désigné un Délégué à la protection des données (DPO), celui-ci doit être associé à la mise en œuvre de tous ces fichiers. Les différents fichiers de recrutement ou de gestion du personnel doivent être inscrits au registre des activités de traitement tenu par l’employeur.

Références

RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).