Dans un contexte où les réseaux sociaux occupent une place centrale dans nos vies, la frontière entre sphère privée et sphère professionnelle devient de plus en plus poreuse. De nombreux candidats ignorent encore que les recruteurs n’ont pas le droit de consulter librement leurs profils personnels sur Facebook, Instagram ou TikTok pour évaluer leur candidature. Le guide du recrutement publié par la CNIL pose des limites claires à ces pratiques.
Ce que dit la réglementation sur la collecte d’informations en ligne
L’article L1221-6 du Code du travail est formel : les informations demandées à un candidat lors d’un processus de recrutement doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation de ses aptitudes professionnelles. Cette règle s’applique aussi bien aux questions posées en entretien qu’aux recherches effectuées en ligne par le recruteur.
Dès lors qu’un recruteur consulte un profil sur un réseau social et enregistre, copie ou utilise les informations trouvées pour évaluer un candidat, il réalise un traitement de données personnelles au sens du RGPD. Ce traitement doit alors respecter les principes fondamentaux posés par l’article 5 du règlement européen, notamment la minimisation des données, la licéité et la transparence.
Réseaux professionnels et réseaux personnels : une distinction essentielle
La CNIL établit une distinction nette entre les réseaux sociaux professionnels comme LinkedIn et les réseaux personnels comme Facebook, Instagram ou X (anciennement Twitter). Un recruteur peut consulter un profil LinkedIn, car cette plateforme a une vocation professionnelle explicite. En revanche, la consultation de profils sur des réseaux personnels pour recueillir des informations sur un candidat est considérée comme une atteinte disproportionnée à la vie privée.
L’article 9 du RGPD interdit par ailleurs la collecte de données dites « sensibles » : opinions politiques, convictions religieuses, appartenance syndicale, données de santé ou relatives à la vie sexuelle. Or, les réseaux sociaux personnels regorgent précisément de ce type d’informations, ce qui renforce l’interdiction de les exploiter dans un contexte de recrutement.
Les obligations du recruteur en matière de transparence
Conformément aux articles 13 et 14 du RGPD, le recruteur doit informer le candidat de la collecte de ses données personnelles, y compris lorsqu’il recueille des informations depuis des sources accessibles au public. Cette obligation de transparence impose de préciser la nature des données collectées, la finalité du traitement, la durée de conservation et les droits dont dispose le candidat (accès, rectification, effacement).
Le guide de la CNIL recommande en outre aux entreprises d’intégrer ces bonnes pratiques dans une charte éthique du recrutement, accessible à tous les collaborateurs impliqués dans le processus d’embauche.
Les sanctions en cas de non-respect
Les entreprises qui ne respectent pas ces règles s’exposent à des sanctions significatives. La CNIL a déjà mis en demeure des sociétés pour collecte excessive de données personnelles lors du recrutement. Les amendes prévues par le RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.
Au-delà des sanctions financières, les pratiques discriminatoires fondées sur des informations personnelles collectées sur les réseaux sociaux peuvent également entraîner des poursuites pénales sur le fondement de l’article L1132-1 du Code du travail.
Conseils pratiques pour les candidats et les recruteurs
Pour les candidats : vérifiez régulièrement vos paramètres de confidentialité sur vos réseaux personnels. Limitez l’accès à vos publications aux seules personnes que vous connaissez. En cas de doute sur les pratiques d’un recruteur, vous pouvez exercer votre droit d’accès auprès de l’entreprise pour savoir quelles données ont été collectées à votre sujet.
Pour les recruteurs : limitez vos recherches aux réseaux professionnels. Documentez votre politique de recrutement dans un registre des traitements conformément à l’article 30 du RGPD. Formez vos équipes RH aux règles de protection des données et intégrez systématiquement une mention d’information RGPD dans vos offres d’emploi et formulaires de candidature.
Source : Guide du recrutement de la CNIL
