S'informer sur un candidat auprès de tiers ou sur Internet

Données collectées. - Parmi toutes les règles à respecter, un recruteur sait que les informations recueillies sur un candidat à un emploi ne peuvent servir qu'à apprécier sa capacité à occuper l'emploi proposé et ses aptitudes professionnelles. Ces informations doivent présenter un lien direct et nécessaire avec cet emploi ou avec l'évaluation des aptitudes professionnelles (c. trav. art. L. 1221-6 ; CNIL, Guide Recrutement, 30 janvier 2023, fiche n° 5 ; RF Social, Revue d'actualité 232, article 2 du Grand angle).

Par exemple, il est permis de collecter des données sur les expériences professionnelles du candidat. En revanche, il est interdit de s'informer sur sa situation de famille ou de collecter des données dites « sensibles » ou pouvant créer une discrimination (origine, âge, etc.) (règl. UE 2016/679 du 27 avril 2016, dit RGPD, art. 9 ; c. trav. art. L. 1132-1).

Information du candidat. - Le recruteur doit préalablement informer le candidat sur le dispositif utilisé pour collecter ses données personnelles (c. trav. art. L. 1221-9). Il doit aussi l'informer sur de nombreux autres points comme cela est exigé par le RGPD : l'identité et les coordonnées du responsable du traitement de ses données personnelles (ex. : l'employeur et/ou le cabinet de recrutement), le destinataire des informations (ex. : l'employeur si le recrutement est confié à un cabinet de recrutement), la finalité du traitement des données, c’est-à-dire à quoi sert leur traitement (ex. : présélection des candidatures), etc. (RGPD, art. 13 et 14 ; guide précité, fiche n° 8).

Collecte directe ou indirecte. - Les règles rappelées ci-avant doivent toujours être respectées, que les données personnelles du candidat soient collectées directement auprès de lui (par le biais de son CV, de l'entretien d'embauche, etc.) ou indirectement, par exemple en interrogeant l'ancien employeur ou en consultant les réseaux sociaux.

Pratique autorisée sous conditions. - Le recruteur peut recueillir des informations strictement professionnelles, et seulement celles-là (voir ci-avant), auprès de l’environnement professionnel du candidat, par exemple auprès de supérieurs hiérarchiques, de collègues, de maîtres de stage, d'anciens étudiants de l'école ou de l'université du candidat.

En revanche, collecter les coordonnées de références personnelles pour mener une enquête « de moralité » serait, à notre sens, excessif et illicite. Dans le même ordre d'idées, il est interdit d'enquêter sur le passé syndical ou politique du candidat (guide précité, fiche n° 1).

Information du candidat. - Il convient d'abord de prévenir le candidat que son entourage professionnel va être interrogé (c. trav. art. L. 1221-9 ; RGPD, art. 14 ; guide précité, fiche n° 5). Autrement dit, cette information est un préalable obligatoire à la prise de références professionnelles.

Il faut aussi informer le candidat sur la catégorie des données personnelles pouvant ainsi être collectées (ex. : information relative à son expérience professionnelle). Cette seconde information peut être faite en même temps que la première ou dans le mois suivant la collecte des données (guide précité, fiche n° 8).

Le candidat peut être informé oralement, mais un écrit est préférable pour se constituer une preuve de cette information.

Interrogation de l'employeur actuel. - Quand le candidat est encore en poste, il est à notre avis impératif d'avoir son accord exprès avant d'interroger son employeur actuel. Il s'agit ainsi de respecter le RGPD qui impose que les données personnelles soient collectées loyalement et de manière transparente (RGPD, art. 5 ; guide précité, fiche n° 1).

Un recruteur peut consulter des profils de candidats accessibles au public via les réseaux sociaux ou des sites Internet. S'il se borne à une simple consultation, sans faire aucune autre action (ex. : sans enregistrer les données consultées), les règles relatives à un traitement de données personnelles sont inapplicables, en particulier l'obligation d'informer les personnes concernées (guide précité, fiche n° 14). En d'autres termes, le recruteur peut librement consulter les profils mis en ligne tant qu'il s'en tient à cette seule consultation.

Respect du RGPD. - Si le recruteur va au-delà d'une simple consultation des profils publiés sur les réseaux sociaux ou sur Internet (voir ci-avant) et qu'il enregistre les profils consultés, son action relève de l'ensemble des règles applicables aux données personnelles et à leur traitement (guide précité, fiche n° 14 ; voir Dictionnaire Social, « Données personnelles »).

Tel est le cas si le recruteur copie les données publiées et les transfère dans ses propres fichiers pour une future prise de contact avec les personnes concernées, pour alimenter un vivier de candidatures ou encore pour évaluer la cohérence des informations communiquées par ailleurs par le candidat.

Pertinence des données enregistrées. - Les données enregistrées doivent présenter un lien direct et nécessaire avec l’appréciation de la capacité du candidat à occuper le poste proposé ou avec l’appréciation de ses aptitudes professionnelles (voir ci-avant).

À ce titre, la CNIL recommande aux recruteurs de se limiter à la consultation de réseaux sociaux, sites et plateformes spécialement dédiés à des échanges professionnels pour éviter le risque d'un traitement illicite de données non pertinentes.

La CNIL indique aussi que ce type de bonne pratique peut être inscrit dans une charte d'éthique et faire l'objet d'actions de sensibilisation des personnes en charge du recrutement (guide précité, fiche n° 14). Cela permet notamment de prouver que le recruteur respecte ses obligations en la matière.

Information du candidat. - Parmi toutes les informations à donner au candidat (voir ci-avant), il faut lui indiquer que les données personnelles collectées sont issues de sources accessibles au public (guide précité, fiche n° 8).