Durée de conservation des candidatures : CV, RGPD, Cnil...
La CNIL émet plusieurs recommandations en matière de recrutement dans le cadre du RGPD. La conservation du CV d'un candidat est limitée à deux ans.
Conservation du CV et RGPD
Le "droit à l’oubli" ou droit à l’effacement des données personnelles, tel qu’énoncé par l’article 17 du Règlement général sur la Protection des Données (RGPD), s’applique à toute entreprise. Cette norme européenne ne concerne pas juste les données des clients, des prospects ou des salariés, mais s’applique également aux données des candidats rejetés au cours du recrutement !
En effet, de nombreuses informations personnelles sont fournies dans un dossier de candidature : nom, prénom, adresse, numéros de contact, permis de conduire, études, qualifications, expériences passées, etc. Certains candidats fournissent même d’autres données personnelles comme une photo, leurs passions, ou leur situation matrimoniale. Autant d’informations protégées par le RGPD, ne pouvant pas être conservées sans l’accord des candidats. Le RGPD accorde en outre un « droit d’accès » aux candidats et aux salariés. L’entreprise peut donc être amenée à fournir une copie du dossier de recrutement, sur simple demande de la personne concernée sans qu’elle ait à se justifier.
Le référentiel "durée de conservation" de la CNIL
Dans son référentiel dédié à la gestion des données personnelles issues des dossiers de candidature, la CNIL prévoit des durées de conservation précises. Concernant les candidatures ayant été refusées, le recruteur est tenu d’informer les candidats dont ils souhaitent pouvoir conserver le dossier (CV + lettre de motivation), afin qu’ils puissent s’y opposer. Si les candidats ne réclament pas la destruction immédiate de leur dossier, celui-ci pourra être conservé pendant une durée maximale de deux ans, en vue d’un prochain recrutement. Si l’entreprise désire mettre en oeuvre une durée de conservation plus longue, l’accord express des candidats est là encore requis.
Concernant les personnes embauchées, les données de leur dossier de candidature peuvent être conservées pendant la durée de leur présence dans l’entreprise. Si un employé quitte l’organisme, son dossier doit être détruit. Mais depuis l'entrée en vigueur du RGPD, il n'est plus nécessaire de faire une déclaration des fichiers RH à la Cnil.
Données personnelles et recrutement
Les données récoltées dans le cadre d’un recrutement ne doivent servir qu’à l’évaluation du potentiel d’un candidat, de sa capacité à occuper le poste envisagé. Ce qui relève de l’expérience et des qualifications est acceptable, mais certaines informations ne doivent en aucun cas être demandées ni conservées même si elles ont été fournies librement par le candidat. Il est impossible de conserver le numéro de sécurité sociale d’un candidat recalé. Idem pour les informations relatives à ses opinions politiques, à sa famille, ou à une appartenance syndicale.
Par ailleurs, seules quelques personnes dans l’entreprise sont autorisées à accéder aux données personnelles issues des dossiers de candidature. En l’occurrence, il ne peut s’agir que des personnes qui interviennent dans le processus de recrutement : le dirigeant, le supérieur hiérarchique, et les équipes de gestion du personnel ou de la direction des ressources humaines. L’accès aux données doit être sécurisé par l’entreprise pour s’assurer que seules les personnes habilitées consultent ou se connectent aux fichiers.