Lors du recrutement et de l’embauche d’un collaborateur, comment gérer en conformité les données personnelles ? Lesquelles pouvons-nous collecter et conserver, et pour quelles finalités ?

Pour la gestion du recrutement, de la paie ou des carrières, les entreprises ont recours aux outils informatiques contenant de nombreuses données à caractère personnel des candidats et employés.

Quelles informations et pour quelles finalités ?

Lors de la phase de recrutement, les données collectées doivent avoir pour unique finalité l’évaluation de la capacité du candidat à occuper le poste, et donc porter uniquement sur sa qualification et son expérience professionnelle. Par déduction, il est à titre d’exemple impossible de demander au candidat son numéro de sécurité sociale (NIR) ou des informations personnelles sur sa famille, son appartenance syndicale, ou ses opinions politiques.

Lors de la phase d’embauche, l’employeur est autorisé à collecter des informations complémentaires aux fins du respect d’une obligation légale, telles que les déclarations sociales obligatoires, ou les données utiles à la gestion administrative du personnel, à l’organisation du travail, ou à l’action sociale (ex. les ayants-droit pour la mutuelle du collaborateur).

Remarque : limiter drastiquement l’usage des zones commentaires pour l’appréciation des collaborateurs et candidats (évaluation et rémunération). A minima, n’indiquez que des informations pertinentes et non excessives.
Les typologies de données collectables selon la norme simplifiée NS-046 de la cnil.

Vous êtes autorisé à collecter les données liées à la gestion de la carrière du collaborateur ; à ses accidents professionnels et maladies professionnelles ; à son évaluation professionnelle ; à la validation de ses acquis de l’expérience et de sa formation ; au suivi administratif de ses visites médicales en tant qu’employé (médecine du travail) ; et au type de permis de conduire détenu.

Consultez la norme simplifiée NS-046 de la cnil sur https://www.cnil.fr/fr/declaration/pdf/14492

Qui peut avoir accès aux données ainsi collectées ?

Lors de la phase de recrutement d’un candidat, uniquement les personnes impliquées dans le processus.

Une fois le candidat embauché, seule la Direction des Ressources Humaines en charge de la gestion du personnel de l’entreprise, est habilitée à consulter les informations.

En complément, certaines informations doivent obligatoirement être transmises aux administrations compétentes lors de l’embauche (pôle emploi, sécurité sociale, caisses de retraite, mutuelle, centre des impôts…).

Les données inscrites au Registre Unique du Personnel (RUP) doivent être accessibles aux délégués du personnel. Par ailleurs, certaines données strictement définies peuvent être rendues accessibles au comité d’entreprise et délégués syndicaux pour l’exercice de leurs missions.

Remarque : les supérieurs hiérarchiques de l’entreprise ne sont habilités qu’à consulter les informations utiles pour leurs missions (évaluation et rémunération). L’accès à toute autre donnée (comme le taux d’imposition pour le PAS) est strictement interdit.

L’information, durée limitée de conservation et recours

Toute utilisation d’outil de collecte, conservation et utilisation desdites données des collaborateurs doivent faire l’objet d’une information préalable auprès des instances représentatives du personnel de l’entreprise (ex. outil de gestion des ressources humaines).

Par ailleurs, la durée de conservation des données est limitée. Pour un candidat non sélectionné, après information de la conservation, aux fins de permettre à ce dernier d’en demander la destruction immédiate ou ultérieure, l’entreprise doit supprimer les données 2 ans après l’ultime contact avec le candidat, sauf accord express de ce dernier.

Pour un employé, les données sont conservées le temps de présence effectif au sein de l’entreprise, puis conservées sur support d’archives pour les informations nécessitant un archivage obligatoires stipulé par la loi.

Enfin, sachez que les employés peuvent porter plainte, aux motifs de difficultés d’accès à leurs propres données personnelles ; de collecte manifestement excessive ; ou pour défaut de sécurisation desdites données, directement auprès de la CNIL, auprès de l’inspection du Travail ou du procureur de la République.

A savoir : seule une décision judiciaire ou une loi spécifique le stipulant (ex. médecin contrôleur de la sécurité sociale), autorise l’entreprise à révéler des informations personnelles sur un collaborateur.

L’information obligatoires aux employés et candidats

Lors de la collecte de données personnelles, vous êtes tenu d’informer préalablement, de l’identité du responsable du fichier (ledit responsable de traitement) ; de ou des finalité(s) précise(s) ; des destinataires ; de l’obligation ou non de fournir telles ou telles données et les conséquences en cas de refus ; et enfin de la procédure d’exercice des droits des personnes telles que l’accès, la modification, la rectification des dites données.

Sécurisation et habilitation, 2 obligations qui incombent à l’entreprise

En tant que responsable de traitement, l’employeur doit sécuriser lesdites données personnelles des collaborateurs, qui de surcroit peuvent, pour certaines, être des données sensibles. Vous devez être en mesure de garantir que les personnes qui y accèdent en sont parfaitement habilitées. A cette fin, l’ensemble des accès doit être contrôlé et historisé.