Une entreprise exigeait des candidats à l’embauche des informations qu’elle n’avait aucunement le droit de leur demander, en violation du Code du travail et du RGPD. La société « s’étant conformée » à la mise en demeure que la CNIL lui avait adressé, sa présidente a « clôturé la procédure », et n’a donc pas révélé son identité.
La CNIL explique avoir été saisie d’une plainte à l’encontre d’une société qui collectait de nombreuses données personnelles de candidats à l’embauche.
L’entreprise réclamait en effet aux candidats de « fournir obligatoirement » leur lieu de naissance, nationalité, situation de famille (et s’ils étaient en couple, les nom et prénom de leur conjoint, leur date et lieu de naissance, profession, le nombre d’enfants et leur âge) ainsi que « l’ensemble des salaires perçus dans les entreprises précédentes (salaire brut annuel global dont variable) ».
La présidente de la CNIL a rappelé dans ce contexte à la société que, dans le cadre d’un recrutement, n’est pas justifiée la collecte auprès d’un candidat à un emploi :
- des informations relatives aux membres de sa famille ;
- du lieu de naissance du candidat ;
- d’informations relatives à la nationalité d’un candidat pour évaluer sa capacité à occuper l’emploi proposé. Or, précise la CNIL, un niveau de détail agrégé (par exemple sous forme de trois options : « Français », « ressortissant de l’Union européenne » ou « hors UE ») devrait suffire, notamment pour les emplois dits « de souveraineté ». A contrario, souligne la CNIL, et dans le cas des candidats de nationalité étrangère, les informations relatives à la possession d’un titre les autorisant à travailler en France font partie des données « susceptibles d’être collectées » dans le cadre du recrutement ;
- du montant des salaires perçus par le passé d’un candidat, à l’initiative d’un recruteur. Or, explique la CNIL, cette collecte est contraire au principe de minimisation qui impose au responsable de traitement de traiter des informations limitées à ce qui est nécessaire à la réalisation des objectifs poursuivis.
La CNIL rappelle que dans le cadre d’un recrutement, le principe de minimisation (qui « prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ») doit conduire le recruteur à ne collecter que les données présentant « un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles » selon le Code du travail.
De plus, ce n’est qu’au stade de l’embauche, c’est-à-dire une fois la candidature définitivement retenue, que l’employeur pourra alors collecter des données supplémentaires (état civil complet, comprenant notamment la date et le lieu de naissance, l’adresse postale, le numéro de Sécurité sociale, les copies des justificatifs, etc.).
En effet, seules les données des candidats retenus « sont nécessaires pour l’accomplissement des formalités obligatoires de l’employeur (déclaration préalable à l’embauche, déclaration sociale nominative, etc.) ».
Pour aider les employeurs, la CNIL a d’ailleurs publié en janvier 2023 un guide dédié au recrutement.