Procédure de recrutement : quel régime pour les données des candidats ?

Dans le cadre de la gestion de candidatures, qu’elles soient ou non spontanées, l’employeur est amené à collecter, traiter et stocker de grandes quantités de données à caractère personnel.

Une série de questions se pose à cet égard : quelles informations peut-il traiter ? Combien de temps sont-elles conservées ? Les candidats peuvent-ils avoir accès à l’intégralité de leurs données?

gdpr_procedure-recrutement_artikel

Quelles données à caractère personnel ?

Dans le cadre d’une procédure de recrutement, l’employeur demande au candidat, que ce soit à l’occasion d’un entretien ou via un formulaire en ligne, toute une série d’informations destinées à apprécier ses aptitudes professionnelles. Bon nombre d’entre elles sont des données à caractère personnel. 

Dès lors, conformément au principe de minimisation, l’employeur ne peut solliciter que les informations en lien direct et nécessaire avec l’emploi proposé ou avec la capacité du candidat à l’occuper. Des questions sur la vie privée ne se justifient que si elles sont pertinentes en raison de la nature et des conditions d'exercice de la fonction. En d’autres termes, seules les données sans lesquelles l’employeur n’est pas en mesure de prendre une décision de sélection peuvent être collectées.

À titre d’exemples, mentionnons les données habituellement reprises dans les CV et lettres de motivation : données d’identification, expériences professionnelles passées, parcours académiques, prix éventuels, etc.

À l’inverse, l’employeur ne peut pas demander au candidat son numéro de sécurité sociale, des informations sur ses parents ou son historique d’adresses privées.

L’employeur peut-il consulter le profil du candidat sur les réseaux sociaux ?

De la même manière, les informations relatives à un employé potentiel, accessibles au public (par exemple, via les réseaux sociaux) ne pourront être collectées que si elle sont pertinentes pour l’exécution du travail faisant l’objet de la demande. Par exemple évaluer un risque relatif en vue d’une fonction spécifique.

En aucun cas l’employeur ne peut exiger de devenir « ami » avec le candidat pour prendre connaissance des informations qui ne sont pas publiquement accessibles.

Données relatives à des critères de discrimination potentielle

Par ailleurs, il est interdit à l’employeur de collecter des données qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle des personnes, même si celles-ci ont donné leur consentement. En effet, en plus du RGPD, la législation interdisant la discrimination ainsi que les conventions collectives de travail n° 38 et 95 s’y opposent.

En effet, de telles informations ne pourraient être collectées que, dans certains cas, lorsqu’elles sont dûment justifiées par la spécificité du poste à pourvoir. À titre d’exemple, prenons l’hypothèse d’un syndicat, qui peut, selon l’Autorité de Protection des Données, demander si le candidat soutient ses fondements syndicaux. De même, une école catholique peut demander à un candidat professeur de religion catholique s'il adhère à cette croyance.

Des questions peuvent-elles être justifiées par des mesures de « discrimination positive » ? Des mesures d’action positive sont prévues par la législation belge, mais l’arrêté royal qui devait les encadrer n’a jamais été adopté. Dès lors, il est prudent pour un employeur de demander l’avis d’Unia avant de mettre en place un tel système. Par ailleurs, ces mesures ne peuvent viser qu’une égalité des chances (maximiser les candidatures de candidats issus de minorités) mais pas les favoriser par rapport aux autres lors de l’attribution du poste.

L’information des candidats

En tant que personne concernée, le candidat doit être informé du traitement qui va être opéré sur ses données à caractère personnel.

Dès lors, lorsqu’une personne introduit sa candidature via un formulaire en ligne, une mention doit renvoyer vers la police vie privée. De cette manière, le candidat est correctement informé des traitements envisagés avant de s’engager dans le processus de recrutement. Par exemple, à défaut de l’avoir précisé, l’employeur ne pourra pas consulter le profil du candidat sur les réseaux sociaux s’il ne l’a pas mentionné préalablement.

En tout état de cause, l’employeur doit veiller à viser ce traitement dans son registre des traitements.

Un accès restreint et contrôlé

L’employeur doit veiller à s’assurer que seules les personnes intervenant dans le processus de recrutement (psychologues, bureau de sélection, service RH, etc.) peuvent accéder aux informations du candidat.

En d’autres termes, seules les personnes habilitées peuvent prendre connaissance des données traitées et ce, uniquement en raison de la finalité poursuivie.

Les candidats disposent-ils d’un droit d’accès à leurs données ?

L’employeur doit naturellement éviter  les commentaires outranciers, voire subjectifs, dans ses compte-rendu des entretiens. Ce d’autant qu’en vertu du principe de minimisation des données, seuls les éléments pertinents et non excessifs au regard de la finalité poursuivie peuvent être traités.

Mais le candidat peut-il demander à consulter le compte-rendu d’entretien rédigé par l’employeur, voire de les commentaires écrits en marge de son CV lors de cet entretien  ? Oui, puisqu’il s’agit également de données à caractère personnel, qui pourront donc, le cas échéant, être consultées par le candidat.

Dès lors, l’employeur doit garder à l’esprit qu’il ne peut écrire que ce qu’il est en mesure d’assumer et de présenter et, comme la CCT n° 38 le rappelle, éviter les critères discriminants.

Quelle durée de conservation ?

La conservation des données des candidats ne se justifie plus dès qu’il est certain qu’ils ne seront pas engagés. Cependant, l'employeur doit tenir à disposition du candidat pendant un délai raisonnable les documents pour lesquels il a encouru des frais (tels que copies de diplômes, de certificats, de publications, de lettres de recommandations, photographies, etc.).

Candidatures spontanées

Quant aux candidatures spontanées qui sont adressées aux entreprises, il faut distinguer si elles sont ou non classées dans un fichier. Dans la négative (par exemple si elles sont immédiatement détruites), les CV et lettres de motivation reçus ne constituent pas des données à caractère personnel et ne sont pas régis par le RGPD. Si par contre elles sont classées pour un futur recrutement, le RGPD s’applique. Il faut donc déterminer une durée de conservation appropriée et la mentionner dans la police vie privée.

Particularités belges

Le RGPD donne la possibilité aux États membres de prévoir des règles plus spécifiques dans le cadre des relations de travail et notamment eu égard aux procédures de recrutement. C’est déjà le cas en matière de prévention des discriminations. Pour le surplus, l’avant-projet de loi belge n’étant pas encore déposé à ce jour à la Chambre : à suivre…

 

 

Pauline LIMBREE

pauline-limbree

Pauline LIMBREE est avocate au sein du cabinet d’avocat LEXING et du barreau de Liège. Elle a suivi le master complémentaire en Droit des Technologies de l’Information et de la Communication de l’Unamur.  À cette occasion, elle a écrit en mémoire traitant de la protection des données à caractère personnel dans le cadre du hacking, travail pour lequel elle a reçu le deuxième prix de l’Internet Student Paper Award, décerné par l’ISPA.

 

 

  534