RGPD & Onboarding, quelles données pouvez-vous collecter ?

RGPD & Onboarding, quelles données pouvez-vous collecter ?
Sarah Benhammou

Lors de l’intégration d’un collaborateur, nous sommes plutôt enclins à demander trop d’informations que pas assez. Mais l’entreprise ne risque-t-elle pas de se mettre en défaut vis-à-vis de la loi sur la RGPD ? Pour vous permettre une intégration sereine, nous faisons le point sur l’ensemble des données qu’un employeur est en droit de collecter.

Après un long processus de recrutement, de multiples entretiens et de longs débats entre managers, vous avez retenu un heureux élu et vous voilà devant votre bureau prêt à préparer son contrat de travail et à débuter toutes les formalités d’embauche.

Seulement voilà, vous vous posez de nombreuses questions, quant à la collecte des données personnelles, auxquelles nous allons tenter d’apporter une réponse.

Comment encadrer la collecte de données du nouvel employé ?

Pouvez-vous lui demander son numéro de sécurité sociale par exemple ? Des informations sur son précédent emploi ? Ou alors, êtes-vous en droit de lui demander des informations plus personnelles, comme ses orientations religieuses ? Ou politique ? Son dossier de suivi médical ?

Pour savoir quelles sont les données personnelles que vous pouvez collecter et traiter, vous devez vous poser une série de questions.

Pourquoi ai-je besoin de cette donnée ?

Tout d’abord, vous devez déterminer la finalité du traitement. Pourquoi avez-vous besoin de cette donnée personnelle ? À quoi va-t-elle vous servir ? En effet, on ne peut pas collecter à tout va n’importe quelle donnée sans avancer de motif valable.

Dans le cas d’espèce, la réponse est simple ; vous avez besoin des données personnelles du candidat à des fins de recrutement.

À lire également :

Ai-je le droit de la collecter ?

Ensuite, il faut déterminer la base légale du traitement. À la différence de la finalité des traitements qui indique l’objectif du traitement, la base légale est le support juridique, la raison autorisant votre service à collecter et traiter ces données.

Les bases légales énumérées par le RGPD sont les suivantes :

Les conseils pour réussir vos NAO 2024

Chaque année, les entreprises doivent organiser les NAO. Une tâche sensible pour les Ressources Humaines qui ont un rôle important à jouer. Retrouvez dans cette fiche pratique tous les conseils pour vous aider à préparer ce temps fort ! Cette fiche pratique vous est proposée par notre partenaire Up Coop.

Je télécharge la fiche pratique
  • Consentement de la personne concernée.
  • Exécution d’un contrat.
  • Respect d’une obligation légale à laquelle le responsable du traitement est soumis.
  • Sauvegarde des intérêts vitaux de la personne concernée.
  • Exécution d’une mission d’intérêt public.
  • Aux fins des intérêts légitimes poursuivis par le responsable de traitement.

Dans le cadre d’un recrutement, toutes ces bases légales ne sont pas valables. La Commission Nationale Informatique et Libertés (ci-après la « CNIL ») a rappelé que les traitements effectués dans le cadre des opérations de recrutement ne peuvent pas être fondés sur la base légale suivante : « consentement de la personne concernée ».

En effet, le candidat retenu est plus ou moins obligé de vous fournir ses données personnelles s’il veut pouvoir obtenir l’emploi que vous proposez. On imagine mal un nouveau salarié dans l’entreprise, ne fournir ni son nom, ni son prénom ou son numéro de téléphone… Le consentement est donc vicié.

Toutefois, plusieurs autres bases légales sont applicables :

  • L’obligation légale : vous êtes obligé de traiter ces données personnelles pour pouvoir faire une déclaration préalable à l’embauche auprès des organismes compétents.
  • Mesures précontractuelles : pour pouvoir établir le contrat de travail.

Quelles données puis-je collecter ?

Enfin, la troisième question que vous devez vous poser, et peut-être la plus évidente, est la suivante : quelles données puis-je collecter ?

Advertisements

Veillez à ne collecter que les données dont vous avez strictement besoin en matière de gestion des ressources humaines. On évitera donc la collecte de données à des fins de nourrir la curiosité. On privilégiera la collecte de données suivantes :

  • Les données d’identification du candidat : nom, prénom, e-mail, n° de téléphone, adresse postale, date de naissance, sexe, n° de passeport ou de carte d’identité, situation familiale et/ou matrimoniale.
  • Les données relatives à un permis de travail.
  • Les données relatives à ses compétences et à son passif professionnel, et ce dans le respect des obligations légales.
  • Le numéro de sécurité sociale en vue d’exécuter les formalités déclaratives.

Certaines données sont un peu plus sensibles et requièrent une vigilance particulière.

Pour certains emplois (agents de sécurité, assistance maternelle, etc.), vous devrez être amené à collecter des informations sur les condamnations pénales et infractions du candidat (ex : casier judiciaire B3).

Sachez que bien que vous soyez autorisé à le consulter lors du recrutement, vous ne devez en aucun cas en conserver une copie, sauf si un texte de loi vous y autorise (relatif à un emploi particulier) en indiquant la durée pour laquelle vous avez le droit de le conserver.

Concernant les données sensibles (article 9 du RGPD, Articles 6 et 44 de La Loi Informatiques et Libertés), c’est-à-dire les données liées à l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses, l’appartenance syndicale, l’orientation sexuelle, les données biométriques, les données sur l’état de santé du candidat, vous ne pouvez les collecter que dans des cas très limités et si, et seulement si, un texte de loi vous y autorise.

À lire également :

La rédaction du Contrat de travail

rédaction-contrat-clause-RGPD-données-personnelles

Vous avez répondu à ces questions et avez délimité un cadre conforme de traitement des données du candidat. Vous avez effectué les déclarations préalables à l’embauche également, et vous vous retrouvez devant la dernière étape du processus de recrutement : la signature du contrat de travail.

En le relisant, vous vérifiez que toutes les clauses classiques y sont : l’intitulé du poste, le temps de travail, la rémunération, l’indication relative aux congés payés, etc.

Et en matière de données personnelles ? Devez-vous rajouter quelque chose ? La réponse est oui !

Tous les contrats de travail de vos employés ou les conventions de stage, doivent obligatoirement comporter une cause relative au traitement et à la protection des données personnelles de l’employé. Cette clause doit comporter :

  • La liste des finalités pour lesquelles les données sont collectées par le service de RH ainsi que la liste des traitements effectués sur les données personnelles.
Exemple : « Les données personnelles de Monsieur Martin sont collectées afin d’assurer le suivi de sa carrière, d’établir la paye et de permettre à notre Société de remplir ses obligations légales en matière de gestion des ressources humaines ».
  • La durée de conservation des données.
Exemple : « Les données de gestion de carrière seront conservées pendant toute la durée d’exécution du contrat de travail et seront détruites 5 ans après la fin de celui-ci. »
  • Les droits du salarié et la procédure pour les exercer.
Exemple : « Monsieur Martin dispose d’un droit d’accès, de rectification, d’effacement, d’opposition et de limitation de ses données personnelles. Il peut les exercer à tout moment en adressant un mail à : contact@entreprise.com et nous lui répondrons sous le délai légal d’un mois. »
  • Les mesures de sécurité prises pour protéger les données personnelles du salarié.
Exemple : « La Société enregistre les données personnelles du salarié dans un logiciel sécurisé, accessible uniquement par nos services de ressources humaines ».

Si vous voulez être sûr que cette clause remplie toutes les obligations légales, pensez à la faire rédiger par votre Délégué à la Protection des Données (DPD) si vous en avez un ou alors par un avocat spécialisé.

Avec cette dernière étape, votre recrutement est conforme aux obligations du RGPD. Bien sûr, se posent toute une série de questions sous-jacentes : que faire ensuite des données personnelles ? Comment être bien sûr de les sécuriser ? Quels sont les autres traitements que je peux effectuer durant l’exécution du contrat de travail ? etc.

Nous y répondrons dans la suite de nos articles dédiés à la RGPD !

Partager l'article

Sarah Benhammou

Avocate au Barreau de Paris, j'interviens aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats, droit du travail et droit des sociétés. Je suis également spécialisée en Droit des données personnelles et j'assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D.