La scène est devenue courante : un cabinet de recrutement ou un futur employeur vous appelle pour recueillir des informations sur un ancien salarié en cours de processus d’embauche. Parfois, la démarche est accompagnée d’une attestation d’autorisation signée électroniquement par le candidat. Tout semble en ordre. Et pourtant, du point de vue du RGPD, la situation mérite qu’on s’y attarde sérieusement avant de décrocher son téléphone ou de répondre à ce questionnaire.
Ce que dit le droit : un cadre plus flou qu’il n’y paraît
Le Code du travail, dans son article L.1221-8-1, impose au recruteur d’informer le candidat des méthodes et techniques utilisées pour le recrutement, y compris la prise de référence. L’article L.1221-9 précise que ces dispositifs doivent avoir un lien direct et nécessaire avec le poste proposé. Par ailleurs, la CNIL rappelle que le candidat doit avoir donné son consentement préalable avant toute prise de contact avec un ancien employeur.
Mais qu’en est-il de l’autre côté du fil ? L’ancien employeur, lui, n’est soumis à aucune obligation de répondre. En revanche, s’il choisit de le faire, il devient de facto responsable du traitement des données personnelles qu’il communique. Et c’est là que les choses se compliquent.
Le piège du consentement « libre »
Le recruteur brandit le consentement du candidat comme un sésame. Certains prestataires spécialisés vont même jusqu’à transmettre une attestation signée électroniquement. Mais ce consentement est-il réellement libre au sens du RGPD ?
La réponse est loin d’être évidente. Un candidat en recherche d’emploi se trouve dans une situation de déséquilibre manifeste par rapport au recruteur. Refuser que des références soient prises reviendrait, dans les faits, à s’exclure du processus de sélection. Le CEPD (Comité européen de la protection des données) a d’ailleurs régulièrement souligné que le consentement ne peut constituer une base juridique valable lorsqu’il existe un déséquilibre de pouvoir significatif entre les parties.
Cette fragilité du consentement ne concerne pas seulement le recruteur. Elle interroge aussi la légitimité de l’ancien employeur à s’appuyer sur ce même consentement pour justifier sa communication de données.
Quelles données peuvent être transmises, et lesquelles ne le peuvent pas ?
Si l’on décide malgré tout de répondre, le principe de minimisation impose de s’en tenir strictement aux informations pertinentes pour évaluer la capacité du candidat à occuper le poste visé. Concrètement, cela se limite aux éléments factuels et objectifs relatifs à l’activité professionnelle : les missions exercées, les compétences techniques mobilisées, la durée de la collaboration.
En revanche, certaines informations ne devraient jamais être communiquées, même si le recruteur les demande explicitement. Les motifs précis de départ, les éléments relatifs à la vie personnelle, les appréciations subjectives sur le comportement ou la personnalité, les informations de santé, les éventuels conflits internes ou procédures disciplinaires sont autant de données dont la transmission est difficilement justifiable au regard du RGPD.
Tableau récapitulatif : ce que l’on peut dire et ce que l’on ne doit pas dire
| Thématique | ✅ Ce que l’on peut dire | ❌ Ce que l’on ne doit pas dire |
|---|---|---|
| Durée de la collaboration | Dates de début et de fin du contrat | Raisons d’éventuelles interruptions (arrêts maladie, congé parental, suspension) |
| Poste occupé | Intitulé du poste, service ou direction de rattachement | Évolution salariale, niveau de rémunération, avantages individuels |
| Missions et responsabilités | Périmètre des missions confiées, projets menés, livrables produits | Appréciation personnelle sur la qualité du travail (« il était moyen », « elle manquait de rigueur ») |
| Compétences techniques | Outils, logiciels, méthodologies effectivement utilisés dans le cadre du poste | Lacunes supposées, besoins en formation identifiés lors des entretiens internes |
| Type de contrat | Nature du contrat (CDI, CDD, intérim) | Clauses spécifiques du contrat (clause de non-concurrence, période d’essai rompue, etc.) |
| Fin de la collaboration | Confirmation que la personne a bien travaillé dans l’organisation | Motif de départ détaillé (licenciement pour faute, rupture conventionnelle, démission conflictuelle) |
| Comportement professionnel | Rien, ou se limiter à confirmer l’absence de difficulté majeure | Jugements de valeur sur la personnalité, l’attitude, le caractère, la gestion du stress |
| Relations internes | Rien | Conflits avec la hiérarchie ou les collègues, signalements, plaintes internes |
| Santé | Rien, en aucun cas | Arrêts maladie, handicap, aménagements de poste, situation de fragilité |
| Vie personnelle | Rien, en aucun cas | Situation familiale, engagements syndicaux, opinions politiques ou religieuses |
| Procédures disciplinaires | Rien | Avertissements, mises à pied, sanctions, contentieux prud’homal |
| Entretiens professionnels | Rien (documents communicables uniquement à l’intéressé selon la CADA) | Contenu des comptes-rendus d’entretiens professionnels ou d’évaluation |
| Potentiel et recommandation | « Je vous confirme que M./Mme X a exercé ces fonctions durant cette période » | « Je le/la recommande chaudement » ou « Je ne le/la recommanderais pas » |
Le cas particulier des comptes-rendus d’entretiens professionnels
Une pratique particulièrement problématique mérite d’être signalée : certains recruteurs, notamment dans la fonction publique territoriale, demandent la communication des comptes-rendus d’entretiens professionnels des candidats. Parfois sur plusieurs années.
Cette demande pose un double problème. D’abord, ces documents ne sont pas standardisés et contiennent fréquemment des appréciations rédigées dans un cadre managérial interne, avec des remarques qui n’ont pas vocation à être partagées dans un contexte de recrutement externe. Ensuite, la CADA (Commission d’accès aux documents administratifs) a clairement indiqué que ces documents ne sont communicables qu’aux intéressés eux-mêmes. C’est donc au candidat, s’il le souhaite, de transmettre ses propres comptes-rendus d’entretien professionnel au recruteur. L’ancien employeur n’a pas à se substituer à lui dans cette démarche.
Quelle base juridique pour l’ancien employeur ?
C’est sans doute la question la plus délicate. Si l’ancien employeur choisit de répondre, sur quelle base juridique s’appuie-t-il ?
Le consentement du candidat, on l’a vu, est fragile. L’intérêt légitime pourrait être invoqué par le recruteur pour justifier sa démarche, mais il est plus difficile à mobiliser pour l’ancien employeur, qui n’a pas d’intérêt direct dans le processus de recrutement d’un tiers. Quant à l’exécution d’un contrat ou l’obligation légale, aucune de ces bases ne s’applique dans ce contexte.
L’ancien employeur se trouve donc dans une zone grise juridique où l’absence de base légale solide plaide en faveur de la prudence.
La bonne posture : privilégier la protection des données
Face à cette situation, plusieurs approches sont possibles. La plus protectrice, et celle qui s’inscrit le mieux dans l’esprit du RGPD, consiste à adopter une politique claire de non-réponse aux demandes de prise de référence. Cette position ne traduit aucune hostilité envers l’ancien collaborateur. Elle reflète simplement une application rigoureuse du principe de minimisation et protège à la fois l’employeur et la personne concernée.
Si l’organisation fait le choix de répondre, il convient de mettre en place un cadre strict. Vérifier l’identité du demandeur et la réalité du mandat de recrutement constitue un préalable indispensable. Les réponses doivent se limiter à des éléments factuels et objectivables : durée de la collaboration, intitulé du poste, périmètre des missions. Toute appréciation subjective doit être écartée, et la réponse doit être tracée dans un souci de documentation de la conformité.
Il est également recommandé de prévenir l’ancien salarié que vous avez été contacté et de lui préciser les informations que vous avez (ou n’avez pas) communiquées. Cette transparence, bien que non obligatoire, s’inscrit dans une démarche de loyauté conforme à l’esprit du RGPD.
Réflexion : l’objectivité impossible et la responsabilité partagée
Au-delà des considérations strictement juridiques, la prise de référence soulève une question plus profonde : celle de l’objectivité.
Un ancien employeur ou manager qui donne une référence ne décrit pas une réalité objective. Il décrit une relation de travail, avec tout ce qu’elle comporte de subjectivité, de contexte et parfois de biais. Un collaborateur jugé « difficile » dans un environnement de travail toxique peut se révéler excellent dans une structure qui lui convient mieux. Un salarié évalué comme « peu autonome » sous un management très directif peut s’épanouir avec davantage de liberté. L’être humain n’est pas un robot, et les conditions d’exercice de demain ne seront pas celles d’hier.
Cette impossibilité structurelle de l’objectivité rend la prise de référence intrinsèquement risquée. Non seulement pour le candidat, dont le parcours futur pourrait être influencé par une appréciation biaisée, mais aussi pour l’ancien employeur qui s’expose à des contestations.
Il faut aussi s’interroger sur l’écosystème qui s’est développé autour de cette pratique. Des prestataires spécialisés industrialisent les prises de référence, transformant une pratique informelle en un processus standardisé, avec des questionnaires détaillés, des échelles de notation et des attestations de consentement. Cette professionnalisation donne une apparence de rigueur à un exercice qui reste fondamentalement subjectif. Elle peut aussi créer un faux sentiment de sécurité juridique, tant pour le recruteur que pour l’employeur qui répond.
Dans un contexte de concurrence forte entre entreprises, la prise de référence peut également devenir un outil détourné de sa finalité initiale. Des informations stratégiques sur les compétences, les projets ou l’organisation interne d’un concurrent peuvent être collectées sous couvert d’évaluer un candidat. Ce risque, rarement évoqué, constitue un argument supplémentaire en faveur de la prudence.
Enfin, la responsabilité ne pèse pas uniquement sur les épaules de l’ancien employeur. Le recruteur qui initie la démarche a lui aussi des obligations. Il doit s’assurer que les informations collectées sont pertinentes, proportionnées et limitées à ce qui est nécessaire. Il doit informer le candidat de manière complète et transparente. Et il doit garantir la sécurité des données recueillies. Trop souvent, ces obligations sont traitées comme de simples formalités, alors qu’elles constituent le socle même de la licéité du processus.
