Alors que la CNIL vient de publier un guide de cent pages sur la gestion des données personnelles, Éric Delisle, responsable du service de l’emploi, revient sur des points particulièrement importants que les équipes RH doivent garder à l’esprit.
Pour le recrutement, quelle finalité et base légale adopter pour se conformer au RGPD ?
Éric Delisle : Si, dans le cadre d'un recrutement, les finalités sont essentiellement encadrées par le Code du travail, une finalité peut être d'apprécier la capacité d'un candidat à occuper l'emploi proposé en vue de son recrutement. Cela n'empêche pas que ces mêmes données puissent également être utilisées afin d'en faire des statistiques pour analyser et optimiser l'attractivité du site carrières de l'entreprise, par exemple. Ce sont deux finalités différentes. La difficulté réside dans le fait que le traitement d'une seule série de données personnelles, en l'occurrence celles des candidats à un poste, peut servir à plusieurs finalités. Dans la logique du RGPD, une finalité repose sur une base légale spécifique. Plusieurs bases légales peuvent être mobilisées dans le cadre d'un processus de recrutement. Par exemple, dans le cadre d'un recrutement entrepris par le candidat qui postulerait à une offre, il est possible de retenir la base légale du « contrat » (le traitement étant nécessaire à l'exécution de mesures précontractuelles prises à la demande du candidat). En revanche, lorsque ces mêmes données ont pour finalité une analyse statistique, la base légale adaptée pourra être l'intérêt légitime de l'entreprise car ces statistiques n'ont pas d'utilité dans le cadre de la passation d'un contrat.
Guide référentiel recrutement de la CNIL - Cliquez pour le télécharger !Quel est le statut des statistiques produites à partir des données de recrutement ?
E. D. : Un certain nombre de prestataires qui proposent des solutions digitales contribuant au processus de recrutement produisent des statistiques à partir des données traitées par leurs clients, les entreprises. Il s'agit bien d'un traitement de données personnelles. Aujourd'hui, ces opérations se font parfois dans l'opacité : or, l'entreprise qui utilise la solution digitale, qui est responsable du traitement, doit donner son accord, de même que les candidats au poste proposé qui doivent par ailleurs être informés et pouvoir s'opposer à cet usage. L'article 29 du RGPD indique clairement que le sous-traitant ne peut traiter les données personnelles fournies que sur instruction du responsable de traitement ou si la loi l'y oblige. Lorsqu'une entreprise constate qu'un sous-traitant réalise des opérations de ce type sans son accord, elle peut lui demander de cesser immédiatement ce traitement des données. Si elle constate que son sous-traitant n'obtempère pas, elle peut porter plainte auprès de la CNIL. Une action auprès des juridictions compétentes est aussi possible. L'article 83.5.d du RGPD classe l'absence d'information des personnes dont les données personnelles sont utilisées parmi les situations exposant aux sanctions administratives les plus importantes, soit jusqu'à 20 millions d'euros et 4 % du chiffre d'affaires.
L’usage de la vidéo et des images produites durant le recrutement est-il possible ?
E. D. : L'analyse automatique des flux d'images et de son en vue de détecter les émotions des candidats n'est pas interdite mais elle présente des risques. Ces technologies sont particulièrement intrusives et posent également des questions d'un point de vue scientifique sur la réalité et la pertinence des résultats obtenus. Les recruteurs doivent avoir à l'esprit les conditions posées par le Code du travail dans le cadre d'un recrutement. La CNIL estime donc que le recours à une telle technologie doit être particulièrement justifié et conforme aux principes de pertinence, de proportionnalité, de minimisation de l'usage des données et aussi d'exactitude des données par rapport à la finalité poursuivie, à savoir le recrutement d'un candidat pour un poste déterminé.
Guide référentiel recrutement de la CNIL - Cliquez pour le télécharger !
