Avec l’entrée en vigueur des législations sur la protection des données à caractère personnel, les entreprises doivent redoubler de vigilance dans leur gestion des données personnelles, y compris celles des candidats lors des processus de recrutement. Le recrutement implique inévitablement le traitement de données personnelles, telles que les CV, lettres de motivation, ou réponses à des questionnaires d’embauche. Ces données, souvent sensibles, doivent être gérées dans le strict respect du RGPD, qui impose :
- La minimisation des données : Collecter uniquement ce qui est strictement nécessaire pour évaluer un candidat.
- La transparence : Informer clairement les candidats sur l’utilisation de leurs données.
- La limitation de la conservation : Supprimer les données des candidats une fois le recrutement terminé, sauf consentement explicite pour les conserver plus longtemps.
- La sécurité : Protéger les données des candidats contre tout accès non autorisé ou fuite.
Un manquement à ces règles peut entraîner des sanctions administratives, financières et réputationnelles. Pourtant, de nombreuses organisations continuent de commettre des erreurs, parfois coûteuses.
À travers cet article, découvrez les risques liés à des pratiques non conformes et des exemples de sanctions réelles infligées à des entreprises.
Infractions possibles dans le cadre du recrutement
- Collecte excessive de données :
- Recueillir des informations non nécessaires à l’évaluation du candidat (par exemple, questions sur la religion, l’orientation sexuelle, ou des informations non pertinentes pour le poste).
- Sanction : Violation du principe de minimisation des données.
- Absence de consentement clair :
- Si des données sont collectées sur des plateformes tierces ou à des fins annexes (comme des campagnes de marketing) sans le consentement explicite du candidat.
- Sanction : Non-conformité aux bases légales de traitement.
- Utilisation de logiciels ou d’algorithmes discriminants :
- Les systèmes d’analyse ou d’intelligence artificielle qui automatisent la présélection et intègrent des biais discriminatoires peuvent enfreindre le RGPD.
- Sanction : Non-respect de l’équité et de la transparence.
- Manque de transparence :
- Ne pas informer le candidat de manière claire et complète sur le traitement de ses données, y compris sur la durée de conservation, la finalité, ou le droit à la rectification/suppression.
- Sanction : Violation de l’obligation d’information.
- Conservation excessive des données :
- Conserver les données des candidats au-delà de la durée nécessaire au recrutement sans base légale (par exemple, conserver des CV pour des postes futurs sans en informer le candidat).
- Sanction : Non-respect des principes de limitation de la conservation.
- Manque de sécurité :
- Une violation des données (piratage ou fuite d’informations sur des candidats) peut entraîner des sanctions si l’entreprise n’a pas mis en place des mesures de sécurité appropriées.
- Sanction : Manquement au principe de sécurité des données.
- Transfert illégal de données :
- Transférer les données personnelles des candidats vers des pays tiers sans garantir un niveau de protection adéquat.
- Sanction : Non-conformité aux règles sur les transferts internationaux.
Exemples réels de sanctions liées au recrutement
1. Sanction de 35,3 millions d’euros (2020)
Une entreprise de prêt-à-porter a été condamnée par l’autorité de protection de données et de la liberté d’informations allemande pour avoir collecté illégalement des données sensibles sur ses employés et candidats, notamment sur leur santé et leur situation familiale. Ces informations étaient systématiquement enregistrées dans un fichier centralisé et utilisées à des fins de gestion du personnel, sans le consentement des personnes concernées.
Leçon à retenir : L’évaluation des candidats doit se limiter à des données pertinentes pour le poste, sans ingérence dans leur vie privée.
2. Décision de la CNIL contre une plateforme de recrutement (2021)
Une entreprise française a écopé d’une amende de 400 000 € pour avoir conservé des données de candidats pendant plus de 5 ans, sans base légale ni consentement explicite. La plateforme ne proposait aucune politique de suppression automatique des profils inactifs.
Leçon à retenir : Mettez en place des mécanismes automatiques pour supprimer les données non nécessaires ou inactives.
3. Sanction de 2,5 millions d’euros pour une entreprise espagnole (2022)
Cette société utilisait un logiciel de recrutement basé sur l’intelligence artificielle. Cependant, l’algorithme appliquait des filtres discriminatoires, écartant systématiquement certains candidats en fonction de leur origine géographique ou de leur âge. Cela a été jugé contraire aux principes de transparence et d’équité définis par le RGPD.
Leçon à retenir : Les outils numériques utilisés dans le recrutement doivent être vérifiés pour garantir leur conformité et éviter tout biais.
Pourquoi ces erreurs coûtent elles si cher?
En cas de violation des principes de la protection des données à caractère personnel, les sanctions peuvent être d’ordre financière. En Europe elles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. Ces sanctions sont souvent accompagnées d’une publication obligatoire, nuisant à la réputation de l’entreprise. Ainsi les candidats tout comme les clients et actionnaires, lorsqu’ils apprennent une violation, peuvent perdre confiance en la marque employeur.
Comment éviter les sanctions liées au RGPD dans le recrutement ?
1. Limiter la collecte des données : Restreignez les informations demandées aux candidats à celles strictement nécessaires pour évaluer leurs compétences.
2. Assurer une transparence totale : Fournissez une politique de confidentialité claire expliquant la collecte, le traitement et la conservation des données.
3. Obtenir le consentement des candidats : Notamment pour conserver leurs données dans une base de profils pour des opportunités futures.
4. Automatiser la gestion des données : Configurez des systèmes pour supprimer automatiquement les données des candidats après une certaine période, sauf autorisation explicite.
5. Renforcer la sécurité informatique : Évitez les fuites et les accès non autorisés grâce à des systèmes robustes de protection des données.
6. Former vos équipes : Assurez-vous que vos recruteurs connaissent les obligations du RGPD.
Conclusion
Les pratiques de recrutement doivent impérativement s’aligner sur les exigences des règlements sur la protection des données personnelles. En adoptant une gestion éthique et conforme des données personnelles, les entreprises éviteront non seulement des sanctions, mais renforceront aussi leur image auprès des partenaires.
En Afrique, les entreprises doivent s’assurer que leurs processus respectent les réglementations locales et internationales, notamment en matière de collecte, d’utilisation et de conservation des données personnelles. En anticipant les changements législatifs et en adoptant des pratiques conformes, les recruteurs peuvent éviter à leurs entreprises des sanctions tout en renforçant la confiance des candidats.