Recrutement : les conseils de la Cnil 

Dans le cadre de leurs activités de recrutement, les entreprises doivent respecter les règles relatives à la protection des données personnelles. 

A cette fin la Commission nationale de l’informatique et des libertés a mis en place de nombreux outils permettant aux recruteurs de traiter les données à caractère personnel de candidats de façon conforme : guide, foire aux questions, questionnaire d’auto-évaluation etc. 

Le guide du recrutement publié par la Cnil 

Ce guide s’inscrit dans le cadre des missions de conseil et d’accompagnement de la Commission nationale de l’informatique et des libertés, en matière de traitement et de protection des données à caractère personnel. Il est décliné en 19 fiches pratiques rappelant aux professionnels concernés les règles à appliquer afin de respecter le Règlement général sur la protection des données. 

La Commission nationale de l’informatique et des libertés (ci-après, la « Cnil ») a rédigé un guide instructif visant à accompagner les recruteurs dans la mise en conformité de leurs processus de recrutement avec le Règlement général sur la protection des données (ci-après, le « RGPD ») et leur permettre de comprendre les enjeux liés au respect des données personnelles des candidats. 

Dans une première partie, la Cnil fait un rappel de la réglementation concernant la protection des données personnelles qui correspond aux fiches pratiques n°1 à 10, avec les grands principes du RGPD, tels que les bases légales pour collecter et traiter les données des candidats, la minimisation des données, l’information des candidats sur l’usage de leurs données, la durée de conservation des données et leur suppression et les droits des candidats (accès, rectification, suppression, etc.).

Dans une deuxième partie, la Cnil a élaboré des questions-réponses sur certains cas particuliers et propose des conseils opérationnels, notamment sur l’utilisation des nouvelles technologies par les recruteurs et sur la discrimination, qu’on retrouve dans les fiches pratiques n° 11 à 19. Il s’agit là des tests et évaluations des candidats, du recrutement automatisé avec l’IA, des entretiens vidéo où encore des informations sur les candidats disponibles sur internet.

Les questions essentielles à se poser sur le traitement des données personnelles en tant que TPE/PME 

La Cnil a également créé un questionnaire spécifique adressé aux très petites entreprises (ci-après « TPE ») et aux petites ou moyennes entreprises (ci-après « PME »). 

Elle les invite à se poser des questions essentielles concernant le traitement des données personnelles des candidats. 

Les TPE/PME doivent se demander quelles informations peuvent être utilisées et la finalité de leurs traitements par les recruteurs. Les recruteurs ne peuvent utiliser que les informations permettant d’évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles. 

Il faut également se demander dans quelles conditions ces informations peuvent être utilisées. Les informations personnelles des candidats peuvent être utilisées par les recruteurs à condition qu’elles soient traitées de manière licite, loyale et transparente.

Les recruteurs doivent se demander qui peut avoir accès aux informations sur les candidats. En principe, seules les personnes en charge du recrutement ont la possibilité d’avoir accès aux informations personnelles des candidats. 

Le questionnaire d’auto-évaluation relatif à la conformité au RGPD 

Le questionnaire d’auto-évaluation élaboré par la Cnil permet la vérification par les recruteurs, étape par étape, du respect des exigences imposées par le RGPD. Il y a quatre étapes dans le questionnaire d’auto-évaluation, correspondant aux différentes phases de traitement des données personnelles des candidats par les recruteurs. 

La première étape correspond à la collecte des données personnelles. Les informations demandées doivent permettre d’identifier les candidats les plus adéquats aux postes et vérifier leurs qualifications. 

La deuxième étape est relative au partage des informations personnelles. Les informations personnelles des candidats peuvent être communiquées au sein d’un même organisme ou à des tiers extérieurs, mais uniquement pour répondre à des besoins spécifiques. 

La troisième étape concerne la réutilisation des informations personnelles des candidats collectées dans le cadre du recrutement. Ces informations peuvent être réutilisées pour répondre à d’autres objectifs, tels que la réalisation de statistiques pour analyser et optimiser le processus de placement des candidats dans une agence d’intérim.

La quatrième étape est relative à la conservation et la destruction des informations personnelles. Ces informations doivent être conservées pour une durée limitée et détruites une fois que cette durée est expirée. 

Le webinaire de la Cnil : recrutement, de nouveaux outils proposés par la Cnil

La Cnil propose également un webinaire intitulé "Recrutement : de nouveaux outils proposés par la CNIL" présentant les outils de protection élaborés dans le cadre du recrutement, pour accompagner les acteurs dans leur conformité au RGPD et notamment:

• Le guide exhaustif à destination des recruteurs et autres intervenants, détaillant les bonnes pratiques en matière de protection des données personnelles lors des processus de recrutement.

• La fiche dédiée aux TPE/PME intitulée "Cinq questions incontournables à se poser", offrant des conseils adaptés aux spécificités de ces structures.

• Le questionnaire d’auto-évaluation au RGPD, permettant aux recruteurs de vérifier leur conformité aux exigences réglementaires en matière de collecte, conservation, partage et réutilisation des données personnelles.

• Une fiche pratique destinée aux candidats, les incitant à adopter quatre bons réflexes pour protéger leurs informations personnelles lors d'un recrutement.