Ce que beaucoup oublient, c’est que ces traitements de données ne se limitent pas, d’une part, exclusivement aux salariés, mais concernent en général aussi les candidats à des postes (et qui ne sont pas retenus), les stagiaires/étudiants, etc., et que, d’autre part, le traitement de ces données pose de vrais challenges au-delà de la simple durée du contrat de travail des salariés.

Vigilance est donc le maître-mot pour tout département de ressources humaines, car le principe de la minimisation et de la proportionnalité des données prend ici tout son sens.

Au moment du processus d’embauche, le premier réflexe à avoir est de limiter au maximum les données collectées: ai-je réellement besoin, au stade des premiers entretiens, du numéro de matricule ou des coordonnées bancaires du candidat? Selon toute vraisemblance, non. Alors pourquoi les demander? Il faut garder à l’esprit que la donnée la moins dangereuse est celle que l’on n’a pas. Ce n’est que dans un second temps que le dossier du candidat retenu devra être complété avec les données nécessaires à la conclusion du contrat de travail. En pratique néanmoins, les ressources humaines sont souvent confrontées au problème qu’elles reçoivent spontanément, à un stade de pré-embauche, des données personnelles qu’elles n’ont pas demandées, dont elles n’ont pas besoin et qu’elles devraient théoriquement refuser au risque de violer le principe de minimisation des données, malgré elles.

Dans le même contexte, il s’agit d’adapter sa prise de notes lors des entrevues d’embauche et de supprimer dans un délai raisonnable les candidatures qui n’ont pas débouché sur un contrat de travail par la suite. Même si GDPR n’interdit pas aux entreprises de conserver certaines candidatures dans l’hypothèse où un nouveau poste serait sur le point de s’ouvrir, il convient toutefois d’en avoir informé les candidats au préalable, de choisir une durée de conservation raisonnable, de la respecter et d’être à même de la justifier. Une durée de conservation couvrant la période d’essai du candidat choisi pourrait ainsi, sans doute, être considérée comme raisonnable. Ces données ne pourront évidemment être utilisées que dans un contexte de recrutement et ne pourront en aucun cas être intégrées dans une liste de distribution marketing par exemple.

Les réseaux sociaux, une caverne d’Ali Baba pour les ressources humaines

C’est tellement tentant, c’est tellement facile et ça vient directement du candidat, alors pourquoi ne pas en profiter? La bonne nouvelle est qu’il n’est pas interdit de consulter les «informations» qu’on peut trouver sur les réseaux sociaux si le poste le demande ou si une telle démarche est «relevant» pour le poste en question, sous réserve toutefois que le candidat en ait été informé au préalable.

Et le contrôle de références dans tout ça?

La réalisation d’un contrôle de références du candidat n’est pas interdite, mais ce traitement doit être proportionné et respecter (comme tout autre traitement) les règles de GDPR. Cela signifie notamment que le candidat doit, ici aussi, en être informé au préalable. En pratique, il ne faut pas aller trop loin dans le contrôle et la collecte des données. Il est opportun, par exemple, de limiter les vérifications au contenu du CV du candidat (ex: vérifications des diplômes et dates).

Attention au casier judiciaire!

Notons encore que la collecte du casier judiciaire ne peut s’effectuer que dans des conditions très strictes¹. Celui-ci ne peut être demandé que pour certains postes et conservé que pour une durée très limitée. Il doit ainsi être supprimé immédiatement si le candidat n’est pas retenu et dans le mois si celui-ci est engagé. Inutile de préciser que ceci vaut également pour les copies des casiers ou pour les informations retranscrites manuellement sur un autre support. La raison d’être évidente de ce délai de rétention très court est qu’un casier judiciaire peut, de par sa nature, changer très rapidement, le temps d’un week-end, par exemple…

La protection des données RH

Durant la vie du contrat de travail, l’un des enjeux importants des entreprises par rapport à leurs données RH est la mise en place de mesures organisationnelles ou techniques pour protéger ces données. Est-il par exemple acceptable qu’un responsable formation continue ait accès à l’intégralité du dossier de chaque employé? Résolument pas. Une gestion minutieuse des accès aux dossiers (électroniques ou papier) du personnel constitue très certainement la priorité en termes de sécurité.

À la fin de la relation de travail, l’enjeu principal pour le département RH est sans doute de faire le tri dans les données détenues. Si l’idéologie de GDPR et notamment le principe de privacy by design voudraient que toute organisation soit à même, au sein d’un même dossier d’un employé, de séparer les données qui peuvent être conservées de celles qui doivent être détruites, il apparaît qu’en pratique, les entreprises (ou leurs systèmes IT) ne sont pas encore adaptées aujourd’hui à cette obligation.

Raymond Faber et Elisabeth Guissart

/c law