Publish your offer now Find the Franco-German job of your dreams here

Recruter en respectant le RGPD en Allemagne : 10 choses à savoir

Recruter en respectant le RGPD en Allemagne : 10 choses à savoir

Pour les employeurs allemands, l'introduction du règlement général sur la protection des données et de la nouvelle loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG) a entraîné quelques changements. Ces répercussions ne concernent pas uniquement les relations avec les clients et les collaborateurs, mais aussi celles avec les candidats potentiels. Voici les principales mesures que les entreprises en Allemagne doivent respecter vis-à-vis des candidats afin de travailler en conformité avec le RGPD.



Base juridique appropriée pour le traitement des données des candidats

1. Base juridique appropriée pour le traitement des données des candidats

Lors des procédures de candidature électroniques dans les entreprises, on tombe régulièrement sur des cases à cocher pour donner son consentement au traitement des données.

Dans la plupart des cas, un tel consentement n'a aucun sens légal. Et lorsqu'il est exceptionnellement nécessaire, il est souvent formulé de manière si peu spécifique qu'il est juridiquement nul.


2. La norme fondamentale pour l'ensemble de la relation de travail

Dans la relation entre employeur et employé, l'article 26, paragraphe 1, phrase 1 de la RGPD est incontournable. En tant que réglementation spécifique à la l'Allemagne, elle n'est applicable que par le biais de la clause d'ouverture de l'article 88 du RGPD.

Cette norme permet aux États membres de prévoir des dispositions plus spécifiques visant à assurer la protection des droits et libertés à l'égard du traitement des données à caractère personnel relatives aux employés dans le contexte de l'emploi. L'article 26, paragraphe 1, phrase 1 de la BDSG stipule :

"Les données à caractère personnel des employés peuvent être traitées aux fins de la relation d'emploi si cela est nécessaire pour décider de l'établissement d'une relation d'emploi ou après l'établissement de la relation d'emploi pour l'exécution ou le fonctionnement de celle-ci [...]."

Les candidats sont considérés comme des employés dans la loi sur la protection des données

L'article 26, paragraphe 1, phrase 1 de la RGPD donne donc une base juridique spécifique pour les traitements de données dans le contexte des candidatures. L'article 26, paragraphe 8, deuxième phrase, de la RGPD précise encore à cet égard que les candidats n'étant encore sous contrat correspondent aussi à la notion d'employé au sens de l'article 26 de la RGPD.

Pour qu'une entreprise puisse s'appuyer sur l'article 26, paragraphe 1, phrase 1 de la BDSG, il suffit donc que le traitement des données soit "nécessaire". Si la procédure de candidature d'une entreprise est raisonnablement conçue, seules les données à caractère personnel nécessaires à l'exécution du processus de candidature devraient être demandées.

La prudence est de mise avec les outils de candidature (externes). Leurs fonctions out-of-the-box dépassent souvent ce qui est nécessaire pour le processus de candidature. C'est pourquoi ces outils doivent être configurés ou adaptés techniquement de manière à ce que seuls les traitements de données nécessaires soient effectués. Dans ce cas, le consentement à ces traitements de données ne doit pas être confirmé.


3. IA et le diagnostic d'aptitude pour la sélection des candidats

En se basant sur le critère de nécessité de l'article 26, paragraphe 1, première phrase, de la loi allemande sur la protection des données (BDSG), l'utilisation de certaines méthodes (sérieuses) de diagnostic d'aptitude (assessment) ou même l'utilisation partielle de l'IA (ou "apprentissage automatique") semble tout à fait envisageable.

Pour évaluer la nécessité des méthodes de diagnostic d'aptitude, il est toutefois important d'avoir une compréhension plus approfondie du fonctionnement. Car une procédure "utile" n'est pas pour autant "nécessaire". Les intérêts des candidats doivent également être pris en compte lors de l'évaluation. Cela reste donc une question au cas par cas.


4. Traitement des données grâce aux outils de candidature

Les outils de gestion des candidatures poussent actuellement comme des champignons. En règle générale, la base juridique de ces outils est l'article 26, paragraphe 1, première phrase, de la RGPD. Mais parfois, un outil de gestion des candidatures peut également offrir des fonctionnalités supplémentaires qui, dans certaines circonstances, ne relèvent plus du traitement nécessaire pour décider de l'établissement d'une relation d'emploi.

Au plus tard, si vous souhaitez envoyer des notifications par SMS à un candidat ou réaliser un entretien vidéo, vous devrez vous pencher sur la question, difficile dans le contexte de l'emploi, du consentement comme base juridique.

En raison de la dépendance de la personne concernée vis-à-vis de son (futur) employeur dans la (future) relation de travail, le consentement doit répondre à des exigences particulières et les circonstances dans lesquelles le consentement a été donné doivent être spécialement prises en compte (article 26, paragraphe 2, de la BDSG).



IA et le diagnostic d'aptitude pour la sélection des candidats

5. Veiller à l'admissibilité des questions lors de la procédure de candidature

Il est de notoriété publique que certaines questions sont taboues pour l'employeur lors d'un entretien d'embauche en face-à-face. Ceci est également valable lors d'une candidature en ligne.

Mais contrairement à un entretien personnel, le fait de poser une question non autorisée serait plus facile à documenter et à vérifier ultérieurement. Il ne faut pas chercher à savoir si ce sont les conséquences juridiques ou le "shitstorm" sur le web qui pèsent le plus lourd.

C'est pourquoi, avant qu'une question ingénue ne saurait figurer dans le catalogue de leur procédure de traitement de candidat, l'employeur devrait se poser la question suivante :

"Les réponses attendues sont-elles objectivement nécessaires pour justifier la relation d'emploi ?"


6. Obtenir le consentement pour la transmission ou le stockage prolongé de la candidature

Il existe encore quelques autres cas de figure dans lesquels le consentement est important dans la procédure de candidature. C'est le cas lorsqu'une société a l'intention de transmettre des données de candidature à d'autres entreprises susceptibles d'être intéressées, mais que cela n'a pas encore été clairement indiqué dans l'offre d'emploi.

Un autre cas classique est celui du vivier de candidats ou de talents. Une entreprise souhaite intégrer un candidat (non retenu) dans une base de données (CV-Thèque) afin de pouvoir prendre en compte sa candidature lors de la prochaine vacance d'emploi qui lui correspond. Or, la fin de la procédure de candidature par un refus met fin à la finalité pour laquelle les données du candidat ont été collectées.

Les données doivent être immédiatement effacées conformément à l'article 17, paragraphe 1, point a du RGPD. Si la candidature doit continuer à être conservée, l'employeur ne peut donc pas se passer du consentement du candidat (qui doit être considéré comme au moins volontaire pour une telle finalité).


7. Pas de protection des données sans concept d'autorisation strict

La nécessité d'un concept d'autorisation approprié est un autre sujet récurrent dans le domaine de la protection des données des candidats. En effet, celles-ci sont souvent considérées comme particulièrement sensibles dans leur ensemble. Une réaction appropriée consiste à se rendre compte que seules certaines personnes de l'entreprise ont besoin d'accéder à ces données.

Sur cette base, il convient de mettre en place un concept d'autorisation qui, conformément à l'approche dite need-to-know, n'autorise l'accès qu'aux personnes qui doivent s'occuper des données des candidats dans le cadre du processus de candidature.

L'étape du processus de candidature entre également en compte. Ainsi, il ne devrait pas être nécessaire (et donc non couvert par l'article 26) que les superviseurs ou managers concernés puissent consulter toutes les candidatures reçues dès la phase de tri initiale. Dans la pratique, il arrive malheureusement qu'un grand nombre de cadres aient accès aux candidatures, que le poste à pourvoir relève ou non de leur responsabilité.



Cryptage lors des candidatures par e-mail ou site web

8. Cryptage lors des candidatures par e-mail ou site web

Si les employeurs ont intégré un outil de candidature en ligne sur leur site web, le transfert de données effectué sur la base de cet outil doit être crypté selon l'état actuel de la technologie. Le cryptage suffisant est également un critère indispensable lors de la sélection d'éventuels prestataires de services tiers.

En revanche, si les candidatures sont encore acceptées par e-mail, le candidat devrait avoir la possibilité de transmettre sa candidature de manière confidentielle s'il le souhaite. Dans ce cas, il convient de prévoir la possibilité d'un chiffrement de bout en bout (end to end) et d'indiquer la clé d'accès au candidat.

Si la communication électronique cryptée avec l'employé potentiel n'est pas possible pour le moment, il est recommandé d'indiquer explicitement que la candidature sera transmise par courrier électronique sous une forme non cryptée.

En outre, les candidats peuvent également être informés qu'ils peuvent au moins crypter leurs pièces jointes. Le mot de passe peut alors être communiqué à l'employeur potentiel par téléphone.

Informations sur la protection des données pour les candidats

Les obligations d'information du RGPD s'appliquent bien entendu aussi au traitement des données dans le cadre de la procédure de candidature. L'étendue résulte des articles 13 et 14 du RGPD. Les informations à fournir aux candidats sont, par exemple, les suivantes :

  • le type de données à caractère personnel (données de base du candidat, qualifications, certificats)

  • la source des données (le candidat lui-même ou les prestataires de services)

  • à qui les données sont transmises (par exemple, le service du personnel, le responsable du service ou le comité d'entreprise)

  • la durée de conservation (par exemple, 6 mois après la fin de la procédure de candidature)

  • les droits des candidats (tels que l'effacement, l'accès ou le droit de rectification)

Dans le cas des candidatures en ligne, les obligations d'information peuvent être jointes à un accusé de réception automatisé. En cas d'utilisation d'un portail de candidature en ligne, les informations peuvent être mises à disposition immédiatement.

Conformément à l'article 30, le responsable est tenu de tenir un registre de ses activités de traitement des données à caractère personnel. Les processus de gestion des candidatures doivent également y être répertoriés. Cet aperçu peut notamment être utile pour respecter les droits des personnes concernées.

En outre, les registres sont nécessaires pour que les entreprises puissent remplir leurs obligations de responsabilité en cas de contrôle par les autorités, notamment si un candidat se plaignait auprès de celle-ci. Le cas échéant, une analyse d'impact relative à la protection des données doit également être réalisée conformément à l'article 35 du RGPD.


9. Suppression des données après l'expiration de l'obligation de conservation

Si le candidat n'entre pas en ligne de compte en tant que postulant à un emploi, ses données devraient être immédiatement effacées en vertu de l'article 17, paragraphe 1, point a, du RGPD.

Conformément à l'article 17, paragraphe 3, point e, du RGPD, cette obligation ne s'applique pas tant que la conservation des données du candidat est nécessaire pour la défense de droits légaux. En Allemagne, par exemple, les candidats ont la possibilité de porter plainte contre l'employeur potentiel en vertu de la loi générale sur l'égalité de traitement (Allgemeines Gleichbehandlungsgesetz).

Tant que l'employeur doit s'attendre à une telle plainte, il peut conserver les données des candidats pendant six mois au maximum. Ce délai découle de l'article 15, paragraphe 4, de l'AGG. Selon cette disposition, le plaignant doit faire valoir son droit dans les deux mois suivant la réception du refus.

Ensuite, le plaignant dispose d'un délai supplémentaire de 3 mois pour faire valoir son droit par le biais d'une action en justice. Si l'on tient compte des délais normaux d'acheminement du courrier, on obtient un cadre sûr de six mois avant la suppression. Passé ce délai, l'employeur n'aura plus besoin des données du candidat pour défendre ses droits.

En Autriche, le délai de suppression est calculé de manière similaire. Ici, il dépasse le délai de six mois prévu par l'article 29, paragraphe 1, de la GlBG (l’équivalent de la AGG). Dans une décision de l'autorité autrichienne de protection des données, celle-ci considère qu'un délai de 7 mois à compter de la réception de la candidature est approprié, car il faut compter un mois supplémentaire pour la procédure judiciaire.


10. Tirer parti des avantages des régulations

Les points susmentionnés doivent être pris à cœur afin de sécuriser le processus de candidature du point de vue de la protection des données. En effet, la protection des données dans l'entreprise commence par celles des candidats.

L'avantage d'une gestion des candidatures bien pensée du point de vue de la protection des données n'est pas seulement d'éviter les plaintes et les amendes, mais aussi d'établir très tôt une relation de confiance avec les collaborateurs potentiels et de véhiculer une image positive de l'entreprise.

En savoir plus :