Une entreprise exigeait des candidats à l'embauche des informations qu'elle n'avait aucunement le droit de leur demander, en violation du Code du travail et du RGPD. La société « s’étant conformée » à la mise en demeure que la CNIL lui avait adressé, sa présidente a « clôturé la procédure », et n'a donc pas révélé son identité.
La CNIL explique avoir été saisie d’une plainte à l’encontre d’une société qui collectait de nombreuses données personnelles de candidats à l’embauche.
L'entreprise réclamait en effet aux candidats de « fournir obligatoirement » leur lieu de naissance, nationalité, situation de famille (et s’ils étaient en couple, les nom et prénom de leur conjoint, leur date et lieu de naissance, profession, le nombre d’enfants et leur âge) ainsi que « l’ensemble des salaires perçus dans les entreprises précédentes (salaire brut annuel global dont variable) ».
La présidente de la CNIL a rappelé dans ce contexte à la société que, dans le cadre d’un recrutement, n’est pas justifiée la collecte auprès d’un candidat à un emploi :
- des informations relatives aux membres de sa famille ;
- du lieu de naissance du candidat ;
- d’informations relatives à la nationalité d’un candidat pour évaluer sa capacité à occuper l’emploi proposé. Or, précise la CNIL, un niveau de détail agrégé (par exemple sous forme de trois options : « Français », « ressortissant de l’Union européenne » ou « hors UE ») devrait suffire, notamment pour les emplois dits « de souveraineté ». A contrario, souligne la CNIL, et dans le cas des candidats de nationalité étrangère, les informations relatives à la possession d’un titre les autorisant à travailler en France font partie des données « susceptibles d’être collectées » dans le cadre du recrutement ;
- du montant des salaires perçus par le passé d’un candidat, à l’initiative d’un recruteur. Or, explique la CNIL, cette collecte est contraire au principe de minimisation qui impose au responsable de traitement de traiter des informations limitées à ce qui est nécessaire à la réalisation des objectifs poursuivis.
La CNIL rappelle que dans le cadre d’un recrutement, le principe de minimisation (qui « prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ») doit conduire le recruteur à ne collecter que les données présentant « un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles » selon le Code du travail.
De plus, ce n’est qu’au stade de l’embauche, c’est-à-dire une fois la candidature définitivement retenue, que l’employeur pourra alors collecter des données supplémentaires (état civil complet, comprenant notamment la date et le lieu de naissance, l’adresse postale, le numéro de Sécurité sociale, les copies des justificatifs, etc.).
En effet, seules les données des candidats retenus « sont nécessaires pour l’accomplissement des formalités obligatoires de l’employeur (déclaration préalable à l’embauche, déclaration sociale nominative, etc.) ».
Pour aider les employeurs, la CNIL a d'ailleurs publié en janvier 2023 un guide dédié au recrutement.
Commentaires (10)
#1
On peut s'étonner de la véhémence de militants comme Aeris (déjà évoqué sur Next), mais quand on se dit que cette entreprise a pu collecter et utiliser autant de données, pendant une période non-précisée, sans aucune conséquence, difficile de ne pas rejoindre son point de vue.
Historique des modifications :
Posté le 29/04/2024 à 12h33
Aucune sanction même symbolique ou de name shame.
On peut s'étonner de la véhémence de militants comme Aeris (déjà évoqué sur Next), mais quand on se dit que cette entreprise a pu collecter et utiliser autant de données, pendant une période non-précisée, sans aucune conséquence, difficile de ne pas se rejoindre son point de vue.
#1.1
Il est là pour défendre le marché.
Avis personnel que j'ai déjà partagé ici et que tout le monde a contesté.
Mais les faits confortent mon opinion.
#2
Sur ce point, je ne pense pas que la CNIL soit compétente dans tous les cas.
Elle le cite car c'est la base légale du traitement pour le premier article évoqué. Pour le second, elle ne peut être compétente pour traiter une discrimination à l'embauche (c'est le conseil des Prud'homme qui l'est, si j'en crois le Ministère du travail).
Sinon, la divulgation en public de l'entité ciblée par la mise en demeure n'est pas systématique, c'est une possibilité dans sa procédure de mise en demeure. C'est une possibilité, mais pas une obligation (article 20 II de la loi informatique et liberté). On peut le voir notamment dans l'histoire des mises en demeure.
Edit : la citation avait été supprimée de l'affichage...
Historique des modifications :
Posté le 29/04/2024 à 14h06
Sur ce point, je ne pense pas que la CNIL soit compétente dans tous les cas.
Elle le cite car c'est la base légale du traitement pour le premier article évoqué. Pour le second, elle ne peut être compétente pour traiter une discrimination à l'embauche (c'est le conseil des Prud'homme qui l'est, si j'en crois le Ministère du travail).
Sinon, la divulgation en public de l'entité ciblée par la mise en demeure n'est pas systématique, c'est une possibilité dans sa procédure de mise en demeure. C'est une possibilité, mais pas une obligation (article 20 II de la loi informatique et liberté). On peut le voir notamment dans l'histoire des mises en demeure.
#2.1
Les prudhommes sont compétents pour gérer une discrimination à l'embauche.
Le tribunal d'instance (je suppose) pour une discrimination à la location.
etc..
Et pourtant dans ces domaines, de nombreux cas de discrimination vont être permis par l'accumulation excessive de données au regard de la RGPD, sur laquelle la CNIL a l'air d'être compétente.
#2.2
#3
#3.1
#4
Et si ça se trouve c'est même pas un ESN.
#5
#5.1