Collecte lieu de naissance et numéro de sécurité sociale candidats : Récemment, la CNIL a prononcé une sanction significative contre une entreprise pour la collecte injustifiée de données personnelles de candidats à un emploi. Cette affaire soulève des questions importantes sur la nature et les limites de la collecte de données dans le cadre du RGPD.
Le Contexte de la Sanction
L’affaire concerne une société qui recrutait des figurants ou hôtes pour des événements télévisés. Durant le processus de sélection, elle collectait des informations telles que les lieux et pays de naissance, ainsi que les numéros de sécurité sociale des candidats. Cependant, la CNIL a jugé que la collecte de ces données n’était ni directement, ni nécessairement liée à l’évaluation des compétences professionnelles requises pour l’emploi, ce qui constitue une violation de l’article 5.1.b du RGPD. Selon cet article, la collecte de données doit être limitée à des finalités déterminées, explicites et légitimes.
L’Analyse Juridique
La CNIL a estimé que la facilitation des opérations de gestion lors de la conclusion du contrat de travail ne justifie pas la collecte de ces données dès la phase de sélection. Cette décision souligne l’importance du principe de minimisation des données dans le RGPD, qui stipule que seules les données nécessaires pour atteindre l’objectif poursuivi doivent être traitées.
La Sanction et ses Conséquences
En conséquence de ces manquements, la CNIL a infligé une amende financière à l’entreprise. Il est à noter que, même si la société a depuis modifié son formulaire pour ne plus collecter ces informations, cela ne l’exonère pas de sa responsabilité pour les infractions passées. Cette décision réaffirme que les corrections apportées après une violation ne rétroagissent pas pour effacer les manquements déjà commis.
Implications pour les Pratiques de Collecte de Données
Cet incident met en lumière la nécessité pour les entreprises de revoir leurs pratiques de collecte de données. Les organisations doivent s’assurer que chaque type de donnée collectée est strictement nécessaire pour le but poursuivi. De plus, cet exemple illustre l’importance pour les entreprises de rester constamment informées et conformes aux exigences du RGPD.