CVthèques : les obligations fixées par la CNIL
Le | Site emploi généraliste
Se créer une base de données de CV pour faciliter ses opérations de recrutement n’est pas sans obligation. Une déclaration auprès de la Commission nationale de l’informatique et des libertés est nécessaire. La CNIL réglemente en effet les données qui peuvent être collectées
Mission de la CNIL
La CNIL est une autorité administrative indépendante. Elle est chargée d’assurer le respect des dispositions de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, relative à l’informatique, aux fichiers et aux libertés. Un texte applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, comme dans le cadre d’un fichier informatique. Quelle est la mission de la CNIL ? Elle joue un rôle d’alerte et de conseil. Et en premier lieu, « elle veille à la protection des données personnelles. A ce titre, elle dispose notamment d’un pouvoir de contrôle et de sanction »*. L’autorité peut, en cas d’urgence, verrouiller des données pour une durée de trois mois. De plus, elle peut prononcer des amendes jusqu’à 300 000 euros.
Obligation de faire une déclaration
Dans le cadre d’opérations de recrutement, l’entreprise ou le cabinet qui collecte et gère des informations nominatives doit faire une déclaration à la CNIL. Et ce, même en cas de solution de gestion des CV hébergés sur le serveur d’un prestataire. Exception : un correspondant informatique et libertés (CIL) a été désigné dans la société, c’est le seul cas de dispense de déclaration. En l’absence de CIL, la déclaration à faire est dite « normale », elle ne relève pas d’une procédure particulière (article 22 de la loi du 6 janvier 1978, modifiée en 2004). Elle peut être réalisée en ligne sur le site de la CNIL, à la rubrique « Déclarer un fichier ».
Lien avec l’emploi proposé
Toutes les données ne peuvent pas être collectées. L’article L121-6 du Code du travail fixe le principe suivant : « les informations demandées (…) au candidat à un emploi ne peuvent avoir comme finalité que d’apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles. Les informations doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles. »
Ainsi, selon la CNIL et le Conseil de l’Europe (article 6 de la convention 108), il est interdit de collecter et de conserver des données personnelles qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé et à la vie sexuelle des personnes. Une restriction s’applique en cas de lien direct et nécessaire avec l’emploi proposé et si le candidat a donné son accord par écrit.
Information des candidats
Au moment du dépôt de candidature, les postulants doivent être informés du traitement de leurs données et de leur droit d’accès et de rectification. Différentes mentions sont nécessaires sur un questionnaire papier ou un formulaire en ligne. L’identité du service de ressources humaines ou du cabinet de recrutement doit par exemple y figurer. Il faut aussi préciser le caractère obligatoire ou facultatif des réponses. Ou bien encore les conséquences d’un défaut de réponse. L’article 27 de la loi de 1978 prévoit ces dispositions.
Durée de conservation des données
Enfin, les informations collectées ont une durée de vie. La CNIL recommande que la durée de conservation des données n’excède pas deux ans après le dernier contact avec la personne concernée.
Priscilla Reig
De formation juridique, Priscilla Reig est journaliste pour Exclusive RH. Elle est aujourd’hui en charge de la nouvelle rubrique « Droit RH et Internet » de votre site d’informations RH.
Vous avez une question ? Posez-la à l’adresse question@exclusiverh.com. Votre question sera peut-être le sujet de la prochaine chronique.