Le traitement des données à caractère personnel dans le processus de sélection et de recrutement soulève beaucoup de questions lors de la mise en oeuvre du Règlement général sur la protection des données (RGPD ou GDPR) au sein de l'entreprise : quelles données à caractère personnel peuvent être traitées, pendant combien de temps les données peuvent-elles être conservées et comment dois-je informer le candidat ?


Quelles données à caractère personnel peuvent être traitées ?

Il convient de toujours garder le principe de proportionnalité à l'esprit lors du traitement de données à caractère  personnel. Le GDPR indique qu'il ne faut pas traiter plus de données que strictement nécessaire à la finalité, à savoir le recrutement et la sélection dans le cas présent.

Les informations que l'entreprise demande doivent être pertinentes pour la fonction que le candidat exercera et se limiter à ce qui est pertinent selon la phase de la procédure de sélection.

Exemple : une entreprise possède un questionnaire standard qu'elle envoie à chaque candidat, ce questionnaire devant être rapporté complété lors du premier entretien. Le questionnaire porte sur les mensurations et la pointure du candidat (pour les vêtements de travail), le numéro de registre national et la composition du ménage.

Il n'est pas requis pour chaque catégorie de travailleurs de demander les mensurations et la pointure. Ceci peut s'avérer pertinent pour les personnes ayant accès au hall de production, à l'entrepôt, etc., mais pas pour le personnel administratif. On peut également se poser la question de savoir si demander ces informations à chaque candidat est bien proportionnel, si au final, seulement un candidat sera retenu. Ces informations peuvent très bien n'être demandées que dans une phase ultérieure du processus de recrutement.

Quant au numéro de registre national, il ne peut être traité que lorsqu'une obligation légale l'impose, par ex. lorsque le candidat concerné entre effectivement en service dans l'entreprise et donc, dans le cadre de la gestion du personnel et de l'administration des salaires.

Il en va de même pour la composition du ménage. L'entreprise peut certes poser des questions (plus) générales qui sont pertinentes de par la nature et les conditions d'exécution de la fonction, mais il n'est pas nécessaire de déjà s'enquérir dans le formulaire de l'âge exact de tous les membres du ménage et par exemple, de la fonction et de la formation du conjoint. 

Obtenir des informations sur le candidat par l'intermédiaire de tiers ?

L'entreprise doit s'efforcer d'obtenir toutes les informations directement auprès de la personne intéressée.

Si l'entreprise souhaite vérifier des références, elle doit d'abord demander le consentement du candidat concerné. Il est conseillé d'obtenir ce consentement par écrit étant donné que les entreprises auxquelles la question sera posée ne répondront éventuellement pas à la demande d'information pour garantir le respect de la vie privée de la personne concernée. 

Délai de conservation ?

L'un des principes de base du GDPR, qui existait en fait déjà dans la loi sur la protection de la vie privée, est que les données à caractère personnel ne peuvent pas être conservées plus longtemps que nécessaire au regard de la finalité (p.ex. gestion du personnel) pour laquelle elles ont été collectées. 

Le GDPR ne fournit aucune autre précision quant à un délai de conservation spécifique et ne contient pas davantage de dispositions particulières concernant les RH. Il stipule que le législateur national peut réglementer plus avant les aspects liés à ce domaine. Il s'agit donc de se tourner vers la législation belge (du travail) pour pouvoir déterminer s'il existe des délais de conservation plus spécifiques. 

L'employeur a l'obligation de tenir à jour un certain nombre de documents sociaux.

Le législateur belge n'a toutefois rien prévu concernant les informations recueillies auprès des candidats. Chaque employeur devra donc déterminer lui-même quel délai de conservation est proportionnel pour chaque situation concrète lors de la procédure de sélection.

L'Autorité belge de protection des données n'a pas encore publié de lignes directrices à ce sujet. Par contre, son homologue néerlandais recommande ce qui suit :

  • Candidature à un poste spécifique : jusqu'à 4 semaines après l'occupation du poste vacant.
  • Réserve de recrutement : jusqu'à un an après l'enregistrement dans la réserve de recrutement.
  • Candidature spontanée : jusqu'à un an après la candidature spontanée.

Il est conseillé de fixer un délai de conservation et d'appliquer celui-ci effectivement étant donné que le candidat concerné peut exercer ses droits et pourrait estimer que ses données à caractère personnel sont conservées trop longtemps. 

Obligation d'information ?

Un des principes de base du RGPD est l'obligation d'information et de transparence. Pour plus d'informations, voir  Étape 3 : obligation de transparence pour vérifier quelles mentions obligatoires l'entreprise doit faire figurer dans sa politique.

Agoria a rédigé un modèle "recrutement et sélection" qui énumère les mentions obligatoires. Il est disponible sous le numéro 20 de notre page de modèles GDPR

Plan d'action

  • Téléchargez le modèle (n° 20) "recrutement et sélection" et appliquez celui-ci en fonction de la situation concrète au sein de l'entreprise (délai de conservation, par ex.) ;
  • Prévoyez une procédure pour informer le candidat :
    • À l'aide de la politique figurant sur la page "emploi" de votre site internet
    • Au moyen d'un e-mail automatique
    • Lors du premier entretien de sollicitation
  • S'il est fait appel à des entreprises qui traitent des données pour votre compte (organisation de tests, par ex.), concluez un contrat de sous-traitant. Pour plus d'informations à ce sujet, voir Étape 5 : le contrat de sous-traitant ;
  • Le GDPR Compass peut vous assister tout au long du processus d'application du GDPR par finalité de traitement.
  • Pour obtenir de plus amples informations et/ou des conseils, veuillez prendre contact avec l'expert Data Protection.