CV et RGPD, comment ça marche ?
Depuis 2018, le Règlement général sur la protection des données a instauré de nouvelles règles pour protéger les citoyens européens face à la collecte et au partage de données toujours grandissants. De nouvelles règles auxquelles n’échappent pas les ressources humaines et le processus de recrutement des entreprises. Mais au fait, savez-vous comment sont protégées les données de votre CV ?
Le RGPD, qu’est-ce que c’est ?
Le “Règlement Général pour la Protection des Données” (RGPD, en anglais “General Data Protection Regulation” ou GDPR) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce règlement européen a été voté le 27 avril 2016 avant d’entrer en vigueur le 25 mai 2018. Il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. De plus, selon la CNIL (Commission Nationale de l'Informatique et des Libertés), le RGPD “harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs”.
Ainsi, ce règlement représente un tournant dans la protection des données, toujours plus nombreuses à l’heure du déploiement du numérique.
Quelles sont les données protégées par le RGPD ?
Le RGPD vise à protéger les données personnelles que tout un chacun peut être amené à communiquer. Par exemple, lorsque vous effectuez un achat en ligne, que vous souscrivez à une newsletter… ou que vous envoyez votre dossier pour postuler à un emploi (CV, lettre de motivation, copie des diplômes…). Les informations concernées par le RGPD sont toutes les informations qui vous caractérisent : votre nom, votre prénom, votre adresse, votre mail, votre âge, votre date naissance. mais aussi votre parcours scolaire et professionnel, vos motivations, vos passions… Toutes ces données constituent votre base de données personnelles.
Qui est concerné par le RGPD ?
Selon la CNIL, “tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné par les règles du RGPD”. Il peut s’agir aussi bien d’une organisation publique ou privée, qui traite des données personnelles (pour son compte ou non), dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Ainsi, toute entreprise installée en France ou dont les services s’adressent aux citoyens français est soumise aux règles du RGPD, et ce quelle que soit sa taille.
Dans le cadre du RGPD, la collecte et le traitement de données personnelles doit répondre à un objectif précis. Selon la CNIL, “à chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.” Ainsi, dans le cadre d’un processus d’embauche, l’entreprise peut demander aux candidats toutes les informations dont elle a besoin pour pouvoir étudier votre candidature. Cela passe par vos informations de contact (nom, prénom, adresse mail, téléphone…), les informations de votre CV (parcours scolaire et professionnel, compétences…) et celles de la lettre de motivation (vos objectifs, motivations…).
Quels sont vos droits ?
En France, il n’existe aucune règle encadrant précisément les informations que doivent contenir un CV ou une lettre de motivation. Les candidats sont libres de choisir les informations qu’ils souhaitent transmettre à l’employeur.
Cependant, l’article L1132-1 du code du travail pose des limites pour l’employeur en définissant les mentions discriminatoires non autorisées. Parmi elles se trouvent la condition de nationalité, l’âge, le sexe, l’appartenance à une ethnie, l’état de santé, le lieu de résidence, l’orientation sexuelle… De cette manière, un employeur ne peut pas indiquer, par exemple, un critère de nationalité ou d’âge dans son annonce d’emploi. Aussi, le recruteur ne peut pas vous demander ces informations ou vous forcer à les communiquer.
Le RGPD dans le processus de recrutement
Les CV envoyés aux recruteurs contiennent un grand nombre de données personnelles. Nom, prénom, adresse, numéro de téléphone, mail, âge… sans parler d’un historique complet de votre parcours (scolaire et professionnel) et d’un inventaire de vos compétences ! Ainsi, toutes ces données entrent dans le cadre du RGPD et doivent être protégées.
Selon le règlement européen, les candidats doivent pouvoir à tout moment être en mesure d’exercer leurs droits de consultation, de rectification et/ou de suppression des données qui les concernent. Pour cela, les entreprises ont l’obligation de mettre à disposition des candidats un moyen électronique de les contacter. Ainsi, vous avez le droit, même une fois votre CV envoyé, de demander au recruteur à pouvoir rectifier ou supprimer des informations. De plus, les entreprises sont tenues de protéger vos données en assurant la sécurité de leur traitement (article 32 du Règlement).
Les CV envoyés aux recruteurs contiennent un grand nombre de données personnelles qui entrent dans le cadre du RGPD et doivent donc être protégées.
Le cas des candidats qui ne sont pas embauchés
A l’issue du processus de recrutement, si l’employeur a décidé de ne pas retenir votre candidature et d’embaucher un autre candidat, il peut tout de même conserver vos données personnelles pendant une durée de deux ans - au cas où votre profil pourrait être intéressant pour un autre poste au sein de l’entreprise, par exemple. Néanmoins, le recruteur doit alors vous prévenir de son souhait de conserver votre dossier (CV et lettre de motivation)… et ce afin que vous puissiez vous y opposer si vous ne souhaitez pas qu’il conserve vos données. Une fois la durée de deux ans atteinte, l’employeur est tenu de détruire le dossier du candidat - sauf accord avec le candidat pour une durée de conservation plus longue.
Les droits des salariés
Dans le cas où vous êtes embauché par l’entreprise à l’issue du processus de recrutement, celle-ci a alors le droit de conserver votre dossier (CV + lettre de motivation) pendant toute la durée de votre contrat. En revanche, il devra être détruit lorsque l’employé quittera l’entreprise. Comme pour les candidats, les salariés doivent pouvoir accès aux données personnelles détenues par leur entreprise et qui les concernent. Ils doivent également pouvoir y apporter des modifications.
Le RGPD et les agences d’intérim ou de recrutement
Les agences d’intérim ou de recrutement, dont le but est de mettre en relation des candidats et des employeurs, doivent elles aussi se soumettres aux règles du RGPD. Ainsi, elles ne peuvent que collecter des données en lien avec le processus de recrutement (CV mais aussi informations relatives à l’édition de contrats et des fiches de paie). Ces données ne peuvent être partagées qu’avec un nombre très restreint d’organismes, comme Pôle Emploi ou l’URSSAF. De plus, comme pour les autres candidats ou salariés, les travailleurs intérimaires doivent pouvoir consulter leur dossier et y apporter des modifications.
Notre conseil
Lors des processus de recrutement, soyez vigilants quant aux informations que vous divulguez. Dans la mesure du possible, ne communiquez que les données qui sont nécessaires au processus de recrutement. Par exemple, un employeur n’a pas lieu de vous demander votre orientation politique ou votre religion. Il est donc important de préserver ses données personnelles au maximum.
Impressionnez avec votre CV
Créez et téléchargez un CV professionnel rapidement et facilement.