Que vous en soyez à l'étape de vos premiers recrutements ou que vous en soyez à une étape de structuration plus avancée, il est indispensable de penser conformité au RGPD dans le cadre de cette activité RH.
Et oui, il est parfois possible de l'oublier, mais la protection des données personnelles s'applique également à vos candidat(e)s, stagiaires, alternant(e)s et salarié(e)s !
Alors quelles sont les 5 bonnes pratiques à respecter pour ne pas prendre un carton rouge de la CNIL ?
1. Ne collectez que les données nécessaires à l'analyse de la candidature et gérez les habilitations à ces données
Cela pourrait paraître être du bon sens pour certain(e)s d'entre vous, mais la première bonne pratique est : ne collectez que les données qui vous seront nécessaires pour apprécier la capacité du(de la) candidat(e) à occuper l'emploi ou le stage proposé ainsi qu'à mesurer son aptitude professionnelle. Et ne collectez RIEN D'AUTRE !
- Vous pouvez donc par exemple demander à vos candidat(e)s : des informations concernant leurs expériences professionnelles précédentes, leurs formations ou encore leur demander la réalisation d'un cas pratique.
- Vous devez par contre vous abstenir de les questionner sur : leurs désirs d'avoir des enfants, sur leurs mensurations (sauf cas exceptionnel du fait de la nature du poste) ou encore sur les membres de leurs familles.
Une fois ces données collectées, il faudra vous assurer que celles-ci ne seront transférées qu'au personnel de votre organisme en charge du recrutement, c'est à dire (généralement) une personne de votre département RH et le(a) manager du poste ouvert. Il sera donc primordial de vous assurer, notamment par le biais du cloisonnement des accès, que tous vos salariés ne puissent pas avoir accès à ces données !
2. Informez les candidat(e)s des traitements réalisés
Comme pour tout traitement de données personnelles, la personne concernée se doit d'être informée par l'organisme des modalités entourant le traitement de ses données personnelles et ce de manière claire, concise et transparente.
Pour ce faire, nous vous recommandons :
- si les traitements de données réalisés sur votre site internet sont assez modestes, d'ajouter ce traitement au sein de votre Politique de Confidentialité,
- si les traitements de données réalisés sur votre site internet sont assez nombreux, de vous doter d'une Politique de Confidentialité dédiée aux traitements liés à vos activités de recrutement,
- dans tous les cas, d'insérer un lien renvoyant vers cette Politique au sein de vos offres d'emploi, de stage et d'alternance et d'ajouter une mention d'information sous le formulaire de candidature en ligne.
3. Déterminez une durée de conservation et appliquez-là
La troisième bonne pratique est de déterminer une durée de conservation adaptée à votre traitement de gestion des recrutements et surtout, de l'appliquer.
Là encore, vous nous direz (enfin, on l'espère…) : “Mais c'est du bon sens ! Bien sûr que nous n'allons pas conserver de manière indéterminée les données de nos candidat(e)s !”
Concernant les durées à appliquer, nous vous recommandons de conserver les données de recrutement :
- en base active jusqu'à 3 mois après la date de signature de contrat de la personne retenue afin de pouvoir faire un retour aux candidat(e)s non retenu(e)s si ils(elles) le souhaitent, et
- en base intermédiaire, pour les données que vous jugerez adaptés, pendant une durée de 6 ans à des fins probatoires en cas de dépôt de plainte pour discrimination à l'embauche.
Et après chacun de ces délais : nous vous recommandons tout simplement de supprimer toutes ces données (de la base active, puis de la base intermédiaire) !
4. Mettez vos CVthèques en conformité
Vous souhaitez créer une CVthèque afin de pouvoir recontacter des candidat(e)s dont vous avez trouvé les profils intéressants ? Vous pouvez tout à fait le faire mais en vous assurant de respecter les conditions suivantes :
- en informant la personne concernée de la réalisation de ce traitement au moment de la collecte de ses données,
- en recueillant son consentement à la réalisation de ce traitement ou en lui offrant la possibilité de s'opposer à ce traitement, suivant la base légale que vous aurez choisi d'utiliser (nous vous informons que la CNIL a indiqué dans un webinaire daté du 21 mars 2023 qu'elle recommandait l'utilisation de la base légale du consentement),
- en ne conservant ces données pas plus de 2 ans. Il est à noter que passé ce délai, il vous sera possible de conserver ces données pour une durée additionnelle de 2 ans en recueillant le consentement de la personne concernée (par exemple, en lui envoyant un courriel lui demandant si elle souhaite rester dans votre base de vivier de candidat(e)s) et en lui demandant de vérifier l'exactitude de ses données.
5. Encadrez les traitements réalisés par les Job Boards ou cabinets de recrutement que vous utilisez
Lorsque vous avez recours à des Job Boards et/ou à des cabinets de recrutement, vous entrez dans une relation avec une tierce partie au sein de laquelle des traitements de données personnelles seront impliquées.
Il conviendra donc que vous définissiez au cas par cas, au sein des contrats vous liant à ces entités :
- les statuts de chacune des parties - Responsable de Traitement, Sous-Traitant ou Responsables Conjoints, et
- que vous encadriez les rôles et responsabilités de chacun par rapport aux traitements qui seront réalisés.
Nous vous rappelons que dans le cadre d'une relation de sous-traitance, il vous faudra vous assurer de la conformité du contrat à l'Article 28 du RGPD.
Pour plus d'informations, nous vous conseillons de prendre connaissance du guide de la CNIL dédié au recrutement publié le 30 janvier dernier et consultable ici.
