RGPD & Recrutement : que faire des données personnelles des candidats non-retenus ?

Dernière mise à jour le :

Publié le :

Si la protection des données des collaborateurs est désormais, plus ou moins, maîtrisée par les services RH, cela n'est pas toujours le cas des données des candidats. Et pourtant, là aussi, les entreprises se doivent de respecter certaines règles.

Auteur / Autrice

RGPD-recrutement-que-faire-données-candidatures-non-retenues-utilisation-conservation
Sommaire de l'article

Dès son entrĂ©e en vigueur, le Règlement GĂ©nĂ©ral sur la Protection des DonnĂ©es (dit « RGPD Â») (Règlement UE 2016/679 du Parlement EuropĂ©en et du Conseil du 27 avril 2016) a imposĂ© aux entreprises – de toutes tailles – de nouvelles obligations en matière de protection des donnĂ©es personnelles, induisant de nombreux changements en interne.

Il est désormais fortement recommandé – voire obligatoire en fonction des obligations à charge de l’entreprise sur certains aspects liés au traitement des données personnelles – de se conformer aux obligations légales et ce, notamment, en matière de gestion des ressources humaines. Une charge importante pèse sur l’employeur, de garantir une sécurité effective aux données personnelles de ses salariés et de veiller au respect de leurs droits.

Cependant, les obligations des services de ressources humaines ne commencent pas seulement dès l’entrĂ©e d’un nouvel effectif au sein de l’entreprise. Les obligations posĂ©es par le RGPD et la Loi Informatiques et LibertĂ©s (du 6 janvier 1978) commencent dès le processus d’embauche et ce mĂªme, dès la mise en ligne d’une proposition d’emploi !

Quelles obligations donc pèsent sur les services RH pour gĂ©rer les donnĂ©es personnelles des candidats ? Que faire des donnĂ©es de tous les candidats ? Quid des donnĂ©es des candidats non-retenus ?

Nous tĂ¢cherons d’y rĂ©pondre dans cet article.

La publication d’une offre d’emploi

Votre entreprise souhaite recruter un nouveau collaborateur. Votre offre d’emploi est prĂªte, comprenant les informations essentielles : intitulĂ© du poste, localisation, nom de l’entreprise, compĂ©tences souhaitĂ©es, rĂ©munĂ©ration, etc. Vous voilĂ  donc prĂªts Ă  la diffuser sur vos canaux de communication et auprès de vos partenaires.

8 fiches pour développer le potentiel de vos entretiens

L’entretien annuel peut devenir un moment clé pour l’engagement et la formation des équipes. Pour révéler tout son potentiel, notre partenaire Lucca a élaboré un guide avec des conseils pratiques pour impliquer les collaborateurs lors de préparation, identifier des besoins de formation et favoriser la montée en compétences.

Je télécharge les 8 fiches

Mais avez-vous pensĂ© Ă  toutes les mentions obligatoires ?

Il en est une, instaurĂ©e par la mise en pratique du RGPD, qui doit apparaĂ®tre sur votre offre d’emploi : la procĂ©dure permettant Ă  un candidat d’exercer ses droits. En effet, par cette offre, vous allez recevoir une dizaine, une centaine, voir peut-Ăªtre mĂªme un millier de candidatures. Donc, un flot massif de nouvelles donnĂ©es personnelles et autant d’individus auprès de qui vous devez garantir l’exercice des droits.

En matière de donnĂ©es personnelles, le RGPD a instaurĂ© des droits essentiels pour les sujets des donnĂ©es : droit Ă  l’oubli, droit Ă  l’information, droit Ă  la rectification de leurs donnĂ©es, droit Ă  la suppression, d’accès, Ă  la portabilitĂ©, etc. Il faut donc pouvoir garantir leur exercice pour l’ensemble des candidats ayant postulĂ© Ă  votre offre d’emploi.

Sur la centaine – par exemple – de candidats retenus, vous allez peut-Ăªtre en faire passer, cinq ou dix en entretien. Comment informer tous les autres donc de l’exercice de leurs droits ? Comment un candidat n’ayant pas Ă©tĂ© retenu pour un entretien peut-il savoir comment exercer ses droits s’il souhaite, par exemple, que vous ne conserviez pas ses donnĂ©es personnelles ?

Il faut donc prévoir, sur votre offre d’emploi, une mention relative à l’exercice de cette procédure.

Pour exemple : « En application du RGPD et de la Loi Informatiques et LibertĂ©s, tous les candidats disposent d’un droit d’accès, de rectification, d’opposition et de suppression de leurs donnĂ©es personnelles, pour exercer ce droit, veuillez nous Ă©crire Ă  l’adresse mail suivante : contact@service-rh.com ou par voie postale Ă  (adresse de votre sociĂ©tĂ©), en indiquant le droit que vous souhaitez exercer et les donnĂ©es concernĂ©es. Â».

Ă€ lire Ă©galement :

Puis-je utiliser les donnĂ©es des candidats non-retenus ?   

Votre offre est prĂªte Ă  Ăªtre publiĂ©e. Vous l’avez diffusĂ© sur vos canaux de communication ou auprès de vos prestataires.

Si vous faites appel Ă  un tiers pour diffuser vos offres d’emploi (ex : start-up spĂ©cialisĂ©e dans le recrutement, plateformes de recrutement en ligne, etc.), pensez Ă  vous assurer – dans le contrat commercial vous liant Ă  ce prestataire – de la prĂ©sence d’une clause liĂ©e au traitement des donnĂ©es personnelles et aux responsabilitĂ©s pesant sur vous et le prestataire.

Nous y reviendrons dans un article dĂ©diĂ©, mais il s’agirait de vous assurer que votre prestataire prend tout autant soin que vous des donnĂ©es personnelles des candidats ayant postulĂ© par sa plateforme ou son service !

Vous commencez Ă  recevoir les candidatures qui affluent. Une dizaine, puis une vingtaine, et vous voilĂ  vite Ă  atteindre la centaine de candidatures. Bien Ă©videmment, seule une poignĂ©e d’entre eux passeront l’étape des entretiens. Seulement voilĂ , que faire des donnĂ©es personnelles des candidats non-retenus ?

On le sait, un fichier de donnĂ©es personnelles est une mine d’or pour une entreprise, autant de donnĂ©es qui peuvent constituer de potentiels clients ou partenaires ! Vous vous posez donc peut-Ăªtre les questions suivantes :

La suite après la publicité
  • Est-ce que je peux envoyer aux candidats non-retenus de prochaines offres d’emploi ?
  • Puis-je utiliser leurs donnĂ©es Ă  d’autres fins, notamment pour l’envoi de publicitĂ© ?

En matière de traitement des donnĂ©es personnelles, le consentement est au cÅ“ur de la protection des droits des sujets des donnĂ©es personnelles. Donc plusieurs cas de figure se posent Ă  vous :

Soit, vous avez publié cette offre via votre Site internet, ou via un Salon de l’emploi, ou tout autre canal, et lorsque les candidats ont postulé à votre offre, vous leur avez posé la question de savoir s’ils autorisaient votre entreprise à traiter leurs données personnelles à des fins tierces.

Exemple : Une case Ă  cocher via un Typeform du type : « J’autorise (nom de l’entreprise) Ă  utiliser mes donnĂ©es personnelles pour m’envoyer de prochaines offres d’emploi ou des offres commerciales Â».

Si le candidat a donné son consentement, vous pouvez donc à l’avenir lui envoyer de nouvelles propositions d’embauche ou d’autres informations sur votre entreprise (à la condition que vous l’ayez spécifié dans le formulaire de candidature).

À l’inverse, si vous n’avez mis aucune fonctionnalité de ce type, vous n’avez pas recueilli le consentement du candidat. Vous ne pouvez donc utiliser sa donnée à aucune autre fin tierce.

Exemple : L’offre a Ă©tĂ© publiĂ©e simplement par un format « texte Â» sur votre Site ou par LinkedIn en indiquant d’envoyer la candidature par mail. Le candidat n’a pas pu donner, par un geste explicite (ex : une case Ă  cocher, une signature Ă©lectronique) son consentement pour que vous utilisiez ses donnĂ©es Ă  des fins tierces.

Ă€ lire Ă©galement :

Combien de temps puis-je conserver les données des candidats non-retenus ?

durée-conservation-données-personnelles-RGPD-candidature-reçues-condition-accord

Maintenant une autre question se pose, combien de temps pouvez-vous garder les donnĂ©es des candidats non-retenus ?

Sachez que tout traitement des donnĂ©es personnelles doit Ăªtre fondĂ© sur une base lĂ©gale et sur une finalitĂ© du traitement. La finalitĂ© du traitement indique l’objectif du traitement (pourquoi collectez-vous la donnĂ©e du candidat ?) tandis que la base lĂ©gale indique le titre juridique, la raison autorisant votre entreprise Ă  traiter ces donnĂ©es.

Prenons l’exemple du candidat n’ayant pas donné son consentement au traitement de ses données à des fins tierces. Il vous a fourni ses données pour que vous puissiez traiter sa candidature (finalité de traitement) et vous l’avez fait, car vous avez eu son consentement (base légale).

Or, une fois le poste pourvu, la finalitĂ© de traitement s’arrĂªte car vous n’avez plus de raison de traiter la donnĂ©e du candidat puisque le poste a Ă©tĂ© pris par un autre candidat. Vous n’avez plus aucune raison lĂ©gitime de traiter ces donnĂ©es personnelles, vous devez donc procĂ©der Ă  leur suppression dès lors que le poste est pourvu.

Prenons maintenant l’exemple du candidat ayant donnĂ© son accord au traitement de ses donnĂ©es Ă  des fins tierces (ex : recevoir de nouvelles offres d’emploi). La finalitĂ© du traitement est multiple : envoi d’offres d’emploi, mails de communication, etc. La base lĂ©gale est le consentement du candidat. Vous pouvez donc conserver sa donnĂ©e. Mais attention, pas pour une durĂ©e illimitĂ©e !

Le RGPD, la Commission Nationale Informatique et LibertĂ©s (dite « CNIL Â»), et la Loi Informatique et LibertĂ©s ont rappelĂ© que les donnĂ©es ne pouvaient pas Ăªtre conservĂ©es pour des durĂ©es illimitĂ©es. Vous avez deux cas de figure :

  • Soit la loi impose une durĂ©e de conservation d’une donnĂ©e spĂ©cifique.
  • Soit la loi est silencieuse. Il appartient donc au responsable du traitement de fixer lui-mĂªme la durĂ©e de conservation de la donnĂ©e. Mais il doit fixer une durĂ©e proportionnĂ©e au regard de l’objectif et du but poursuivis.

Une fois les dĂ©lais passĂ©s (fixĂ©s par la loi ou par le responsable de traitement), les donnĂ©es doivent Ăªtre supprimĂ©es ou anonymisĂ©es.

Concernant vos candidats, la CNIL a posé une obligation de suppression des données personnelles du candidat jusqu’à une durée de trois ans après la dernière sollicitation restée sans réponse (délibération de la CNIL n°2016-264 du 21 juillet 2016). C’est-à-dire si au bout de trois ans, vous n’avez pas de réponse d’un candidat, vous devez supprimer ses données personnelles en votre possession.

Exemple : Un candidat a donnĂ© son accord pour recevoir de futures offres d’emploi. Vous lui en avez transmise une le 20 janvier 2022. Il ne vous a pas rĂ©pondu, mais une nouvelle fois sa candidature n’a pas Ă©tĂ© retenue. Vous lui en renvoyez une autre le 30 mai 2022. Il ne vous rĂ©pond pas. Si le 30 mai 2025 vous n’avez plus de nouvelles de lui (c’est-Ă -dire qu’il n’a jamais rĂ©pondu Ă  aucune de vos sollicitations depuis le 30 mai 2022, et ce sous rĂ©serve qu’il n’ait pas fait usage de ses droits relatifs Ă  ses donnĂ©es personnelles), vous devez procĂ©der Ă  la suppression de ses donnĂ©es.

Vous avez donc en votre possession les premières clĂ©s pour traiter les donnĂ©es des candidats malheureux. Retenez bien les points suivants :

  • Pensez Ă  informer les candidats de la procĂ©dure d’exercice des droits dans l’offre d’emploi.
  • Collectez le consentement du candidat si vous souhaitez utiliser ses donnĂ©es Ă  des fins tierces.
  • N’oubliez pas de supprimer ses donnĂ©es selon les durĂ©es lĂ©gales indiquĂ©es.

Les explications données dans cet article s’appliquent bien évidemment aux candidats ayant passé la phase d’entretien, mais n’ayant pas été retenus.

Dans cet article nous avons veillĂ© Ă  respecter les droits des candidats non-retenus. Se pose maintenant la question de savoir : Quid des donnĂ©es du candidat retenu ? Jusqu’oĂ¹ vont les obligations des RH en matière de donnĂ©es personnelles ?

Nous aborderons ce point dans un prochain article dĂ©diĂ© !

Ă€ lire Ă©galement :