Comment conserver un CV conformément au RGPD ?

Comment conserver un CV conformément au RGPD ?

Recruteurs et employeurs peuvent être amenés à collecter certaines données personnelles comme le CV. Leur conservation doit ainsi être conforme à la règlementation sur la protection des données personnelles (ePrivacy et RGPD).

Quelles sont les informations à indiquer au candidat dont le CV sera collecté ?

La collecte du CV du candidat nécessite tout d’abord son consentement. Pour cela, le recruteur a l’obligation d’informer la personne avant toute collecte de son CV. Cette dernière bénéficie en effet d’un droit à l’information du traitement de ses données, prévu à l’article 13 du RGPD.

Le candidat doit pouvoir disposer de cette information dès qu’il voit l’annonce, avant même de postuler. L’article 12 du RGPD souligne que cette information doit être “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples".

Parmi ces informations, on retrouve tout d’abord l’identité du responsable et la finalité du traitement, c’est-à-dire si le CV est collecté en vue de la gestion des candidatures ou de la gestion du personnel. La personne devra aussi être informée précisément de l’existence de l'intérêt légitime du recruteur pour la conservation du CV.  

Le candidat devra savoir à qui son CV sera transmis, par exemple à d’autres cabinets de recrutement, et combien de temps il sera conservé.

L’employeur doit enfin rappeler avant toute collecte du CV les droits d’accès, de rectification et d’opposition dont dispose la personne concernée, ainsi que sa possibilité d’introduire une réclamation auprès de la CNIL.

Un candidat peut-il s’opposer à la conservation de son CV ?

Un candidat non retenu peut exiger que son CV ne puisse plus être utilisé et qu'il soit effacé immédiatement.

Dans le cas où le candidat évincé n’exprime pas ce souhait, le CV devra être effacé automatiquement au bout de deux ans après le dernier contact. Le recruteur devra recueillir l’accord formel du candidat s’il désire conserver son CV au-delà de cette durée.

Le CV devra cependant être archivé afin de pouvoir être utilisé en cas de litige, par exemple en cas de poursuite pour discrimination à l’embauche. La durée d’archivage devra correspondre à celle de la prescription civile de droit commun, c’est-à-dire cinq ans. Passé cette durée, le CV devra être détruit.

Le CV d’un employé ne pourra pas être effacé tant que ce dernier travaillera dans l’organisme.

Le candidat peut-il accéder à son CV ?

L’article 15 du RGPD garantit au candidat un droit d’accès à ses données. Il devra pouvoir accéder non seulement à son CV, mais également à toutes les données ayant contribué à la prise de décision du recruteur : fiche d’évaluation, grille de notation, ou bien encore résultats aux tests passés. Il pourra ainsi demander une copie de ces données collectées, pour constituer par exemple un dossier en vue d’une saisine du Conseil des prudhommes. Cet accès doit pouvoir se faire sur simple demande non motivée.

La personne doit également pouvoir agir dès qu’elle se rend compte de l’inexactitude ou de l’incomplétude de son CV. Elle doit ainsi pouvoir modifier ses données en utilisant son droit de rectification. La règlementation prévoit également l’existence d’un droit à la limitation du traitement, c'est-à-dire la possibilité de demander le gel du traitement en attendant que l’organisme vérifie si les données collectées sont bien inexactes.

Comment assurer la sécurité du CV pendant sa conservation ?

Le responsable de traitement, c’est-à-dire le recruteur ou l’employeur, doit être en mesure d’assurer la sécurité des données conservées. Il faut en effet éviter que les données soient endommagées, ou que des tiers puissent y avoir accès sans autorisation.

Pour cela, le responsable du traitement doit prendre des mesures nécessaires et suffisantes. Il devra ainsi restreindre l’accès aux données aux seules personnes habilitées. Le responsable du traitement devra également mettre en place des mesures techniques adaptées et documenter des procédures spécifiques pour la gestion conforme des CV.

Mise en place des processus RGPD
Pourquoi documenter les processus RGPD ?L’organisation de la conformité RGPD passe avant tout par la mise en place etl’application de processus métiers. Ces processus doivent être documentés et lespersonnes concernées informées de leur existence. L’objectif de cette documentation est d’identifie…