RGPD & Recrutement : que faire des données personnelles des candidats non-retenus ?

Dès son entrée en vigueur, le Règlement Général sur la Protection des Données (dit « RGPD ») (Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016) a imposé aux entreprises – de toutes tailles – de nouvelles obligations en matière de protection des données personnelles, induisant de nombreux changements en interne.

Il est désormais fortement recommandé – voire obligatoire en fonction des obligations à charge de l’entreprise sur certains aspects liés au traitement des données personnelles – de se conformer aux obligations légales et ce, notamment, en matière de gestion des ressources humaines. Une charge importante pèse sur l’employeur, de garantir une sécurité effective aux données personnelles de ses salariés et de veiller au respect de leurs droits.

Cependant, les obligations des services de ressources humaines ne commencent pas seulement dès l’entrée d’un nouvel effectif au sein de l’entreprise. Les obligations posées par le RGPD et la Loi Informatiques et Libertés (du 6 janvier 1978) commencent dès le processus d’embauche et ce même, dès la mise en ligne d’une proposition d’emploi !

Quelles obligations donc pèsent sur les services RH pour gérer les données personnelles des candidats ? Que faire des données de tous les candidats ? Quid des données des candidats non-retenus ?

Nous tâcherons d’y répondre dans cet article.

La publication d’une offre d’emploi

Votre entreprise souhaite recruter un nouveau collaborateur. Votre offre d’emploi est prête, comprenant les informations essentielles : intitulé du poste, localisation, nom de l’entreprise, compétences souhaitées, rémunération, etc. Vous voilà donc prêts à la diffuser sur vos canaux de communication et auprès de vos partenaires.

Mais avez-vous pensé à toutes les mentions obligatoires ?

Il en est une, instaurée par la mise en pratique du RGPD, qui doit apparaître sur votre offre d’emploi : la procédure permettant à un candidat d’exercer ses droits. En effet, par cette offre, vous allez recevoir une dizaine, une centaine, voir peut-être même un millier de candidatures. Donc, un flot massif de nouvelles données personnelles et autant d’individus auprès de qui vous devez garantir l’exercice des droits.

En matière de données personnelles, le RGPD a instauré des droits essentiels pour les sujets des données : droit à l’oubli, droit à l’information, droit à la rectification de leurs données, droit à la suppression, d’accès, à la portabilité, etc. Il faut donc pouvoir garantir leur exercice pour l’ensemble des candidats ayant postulé à votre offre d’emploi.

Sur la centaine – par exemple – de candidats retenus, vous allez peut-être en faire passer, cinq ou dix en entretien. Comment informer tous les autres donc de l’exercice de leurs droits ? Comment un candidat n’ayant pas été retenu pour un entretien peut-il savoir comment exercer ses droits s’il souhaite, par exemple, que vous ne conserviez pas ses données personnelles ?

Il faut donc prévoir, sur votre offre d’emploi, une mention relative à l’exercice de cette procédure.

Pour exemple : « En application du RGPD et de la Loi Informatiques et Libertés, tous les candidats disposent d’un droit d’accès, de rectification, d’opposition et de suppression de leurs données personnelles, pour exercer ce droit, veuillez nous écrire à l’adresse mail suivante : contact@service-rh.com ou par voie postale à (adresse de votre société), en indiquant le droit que vous souhaitez exercer et les données concernées. ».

À lire également :

• Onboarding RH, la checklist pour intégrer un nouveau collaborateur.
• RGPD & Onboarding, quelles données pouvez-vous collecter ?
• 8 bonnes raisons d’utiliser un outil de gestion de candidature.

Puis-je utiliser les données des candidats non-retenus ?   

Votre offre est prête à être publiée. Vous l’avez diffusé sur vos canaux de communication ou auprès de vos prestataires.

Si vous faites appel à un tiers pour diffuser vos offres d’emploi (ex : start-up spécialisée dans le recrutement, plateformes de recrutement en ligne, etc.), pensez à vous assurer – dans le contrat commercial vous liant à ce prestataire – de la présence d’une clause liée au traitement des données personnelles et aux responsabilités pesant sur vous et le prestataire.

Nous y reviendrons dans un article dédié, mais il s’agirait de vous assurer que votre prestataire prend tout autant soin que vous des données personnelles des candidats ayant postulé par sa plateforme ou son service !

Vous commencez à recevoir les candidatures qui affluent. Une dizaine, puis une vingtaine, et vous voilà vite à atteindre la centaine de candidatures. Bien évidemment, seule une poignée d’entre eux passeront l’étape des entretiens. Seulement voilà, que faire des données personnelles des candidats non-retenus ?

On le sait, un fichier de données personnelles est une mine d’or pour une entreprise, autant de données qui peuvent constituer de potentiels clients ou partenaires ! Vous vous posez donc peut-être les questions suivantes :

La suite après la publicité

• Est-ce que je peux envoyer aux candidats non-retenus de prochaines offres d’emploi ?
• Puis-je utiliser leurs données à d’autres fins, notamment pour l’envoi de publicité ?

En matière de traitement des données personnelles, le consentement est au cœur de la protection des droits des sujets des données personnelles. Donc plusieurs cas de figure se posent à vous :

Soit, vous avez publié cette offre via votre Site internet, ou via un Salon de l’emploi, ou tout autre canal, et lorsque les candidats ont postulé à votre offre, vous leur avez posé la question de savoir s’ils autorisaient votre entreprise à traiter leurs données personnelles à des fins tierces.

Exemple : Une case à cocher via un Typeform du type : « J’autorise (nom de l’entreprise) à utiliser mes données personnelles pour m’envoyer de prochaines offres d’emploi ou des offres commerciales ».

Si le candidat a donné son consentement, vous pouvez donc à l’avenir lui envoyer de nouvelles propositions d’embauche ou d’autres informations sur votre entreprise (à la condition que vous l’ayez spécifié dans le formulaire de candidature).

À l’inverse, si vous n’avez mis aucune fonctionnalité de ce type, vous n’avez pas recueilli le consentement du candidat. Vous ne pouvez donc utiliser sa donnée à aucune autre fin tierce.

Exemple : L’offre a été publiée simplement par un format « texte » sur votre Site ou par LinkedIn en indiquant d’envoyer la candidature par mail. Le candidat n’a pas pu donner, par un geste explicite (ex : une case à cocher, une signature électronique) son consentement pour que vous utilisiez ses données à des fins tierces.

À lire également :

• Expérience candidat, définition, enjeux et bonnes pratiques.
• De l’annonce à l’entretien, comment optimiser son recrutement ?
• Utiliser les opérateurs booléens pour un recrutement plus efficace.

Combien de temps puis-je conserver les données des candidats non-retenus ?

Maintenant une autre question se pose, combien de temps pouvez-vous garder les données des candidats non-retenus ?

Sachez que tout traitement des données personnelles doit être fondé sur une base légale et sur une finalité du traitement. La finalité du traitement indique l’objectif du traitement (pourquoi collectez-vous la donnée du candidat ?) tandis que la base légale indique le titre juridique, la raison autorisant votre entreprise à traiter ces données.

Prenons l’exemple du candidat n’ayant pas donné son consentement au traitement de ses données à des fins tierces. Il vous a fourni ses données pour que vous puissiez traiter sa candidature (finalité de traitement) et vous l’avez fait, car vous avez eu son consentement (base légale).

Or, une fois le poste pourvu, la finalité de traitement s’arrête car vous n’avez plus de raison de traiter la donnée du candidat puisque le poste a été pris par un autre candidat. Vous n’avez plus aucune raison légitime de traiter ces données personnelles, vous devez donc procéder à leur suppression dès lors que le poste est pourvu.

Prenons maintenant l’exemple du candidat ayant donné son accord au traitement de ses données à des fins tierces (ex : recevoir de nouvelles offres d’emploi). La finalité du traitement est multiple : envoi d’offres d’emploi, mails de communication, etc. La base légale est le consentement du candidat. Vous pouvez donc conserver sa donnée. Mais attention, pas pour une durée illimitée !

Le RGPD, la Commission Nationale Informatique et Libertés (dite « CNIL »), et la Loi Informatique et Libertés ont rappelé que les données ne pouvaient pas être conservées pour des durées illimitées. Vous avez deux cas de figure :

• Soit la loi impose une durée de conservation d’une donnée spécifique.
• Soit la loi est silencieuse. Il appartient donc au responsable du traitement de fixer lui-même la durée de conservation de la donnée. Mais il doit fixer une durée proportionnée au regard de l’objectif et du but poursuivis.

Une fois les délais passés (fixés par la loi ou par le responsable de traitement), les données doivent être supprimées ou anonymisées.

Concernant vos candidats, la CNIL a posé une obligation de suppression des données personnelles du candidat jusqu’à une durée de trois ans après la dernière sollicitation restée sans réponse (délibération de la CNIL n°2016-264 du 21 juillet 2016). C’est-à-dire si au bout de trois ans, vous n’avez pas de réponse d’un candidat, vous devez supprimer ses données personnelles en votre possession.

Exemple : Un candidat a donné son accord pour recevoir de futures offres d’emploi. Vous lui en avez transmise une le 20 janvier 2022. Il ne vous a pas répondu, mais une nouvelle fois sa candidature n’a pas été retenue. Vous lui en renvoyez une autre le 30 mai 2022. Il ne vous répond pas. Si le 30 mai 2025 vous n’avez plus de nouvelles de lui (c’est-à-dire qu’il n’a jamais répondu à aucune de vos sollicitations depuis le 30 mai 2022, et ce sous réserve qu’il n’ait pas fait usage de ses droits relatifs à ses données personnelles), vous devez procéder à la suppression de ses données.

Vous avez donc en votre possession les premières clés pour traiter les données des candidats malheureux. Retenez bien les points suivants :

• Pensez à informer les candidats de la procédure d’exercice des droits dans l’offre d’emploi.
• Collectez le consentement du candidat si vous souhaitez utiliser ses données à des fins tierces.
• N’oubliez pas de supprimer ses données selon les durées légales indiquées.

Les explications données dans cet article s’appliquent bien évidemment aux candidats ayant passé la phase d’entretien, mais n’ayant pas été retenus.

Dans cet article nous avons veillé à respecter les droits des candidats non-retenus. Se pose maintenant la question de savoir : Quid des données du candidat retenu ? Jusqu’où vont les obligations des RH en matière de données personnelles ?

Nous aborderons ce point dans un prochain article dédié !

À lire également :

• Pourquoi et comment recruter grâce à la cooptation ?
• Comment contacter un candidat sur les réseaux sociaux ?
• Le livret d’accueil, pourquoi et comment le mettre en place ?