Dans le cadre de la mise en œuvre de son programme annuel de contrôle, la CNIL a contrôlé l’un des principaux cabinets de recrutement français. A cette occasion, elle a constaté qu’à l’initiative du correspondant informatique et libertés (CIL), des procédures ont été mises en œuvre pour s’assurer que la base de données des candidats est en parfaite conformité à la loi "informatique et libertés"...
Un contrôle effectué auprès de l’un des principaux cabinets de recrutement français a permis d’illustrer l’intérêt, pour une entreprise, de se doter d’un correspondant informatique et libertés (CIL). En effet, la parfaite connaissance par le CIL de la loi et de ses enjeux a permis de mettre en place des procédures permettant d’encadrer au mieux la gestion de sa base de données des candidats.
En premier lieu, les conseillers de recrutement ont pour instruction de travailler uniquement sur la base de données du cabinet. Ils ont interdiction de constituer eux-mêmes des bases de travail. Cette restriction permet une gestion centralisée des informations personnelles relatives aux candidats. Elle garantit ainsi une totale effectivité des droits d’accès, de rectification et d’opposition dont les candidats sont, en outre, parfaitement informés. Cette centralisation des données permet également une gestion efficace des durées de conservation, en évitant la multiplication des opérations de purge.
En second lieu, le CIL, en collaboration avec le service informatique du cabinet, a mis en place des opérations régulières de vérification des mentions présentes dans les zones « commentaires » que les conseillers de recrutement peuvent remplir librement. Ces zones « commentaires » sont en effet souvent propices à l’enregistrement d’informations excessives contraires à la loi. Partant du constat qu’une simple information des personnes en charge de remplir ces zones ne suffit pas, la mise en œuvre d’un processus automatique de vérification de ces zones sur la base de mots clés « interdits » garantit que la base est exempte de toute information non pertinente.
Enfin, les contrôleurs de la CNIL ont pu constater un niveau de sécurité tout à fait satisfaisant de la base de données : impossibilité pour les chargés de recrutement de la copier, traçabilité de l’ensemble des actions, renouvellement régulier des mots de passe, verrouillage automatique des postes en cas d’inactivité, etc.
En conclusion, il apparaît que le respect de la loi "informatique et libertés" a été appréhendé comme un enjeu central par le cabinet de recrutement contrôlé dont la « matière première » est constituée par les données à caractère personnel des candidats qui lui font confiance.
