Chaque service RH/personnel traite une quantité considérable de données à caractère personnel. Ces données concernent non seulement les collaborateurs de l'entreprise, mais aussi les candidats dans le cadre de la procédure de candidature.
Où se situent les limites de la protection des données ?
Consentement au traitement des données à caractère personnel lors de la candidature
La première grande question concernant la protection des données dans la procédure de candidature est la suivante : les candidats doivent-ils donner leur consentement au traitement de leurs données ou leurs données peuvent-elles être traitées sur la base d'une autre base juridique ?
Comme souvent, le juriste répond ici par "ça dépend" !
Le traitement de données à caractère personnel dans le cadre d'une procédure de candidature peut être licite en vertu de l'article 26 I 1 de la loi fédérale sur la protection des données (BDSG) s'il s'agit de données nécessaires pour décider de l'établissement d'une relation de travail. Dans ce cas, aucun consentement séparé n'est nécessaire.
Pour toutes les autres données, un consentement correspondant doit être obtenu conformément au RGPD. Il convient de noter que ce consentement peut être révoqué à tout moment par le candidat.
Suppression des données à caractère personnel après la candidature
Une fois que les données sont disponibles, une autre question importante en matière de protection des données est de savoir quand elles doivent être supprimées.
Si un candidat est rejeté, les données à caractère personnel correspondantes doivent être immédiatement effacées, article 17 I, lettre a du RGPD. Il n'y a d'exception que si les données sont nécessaires à la défense de droits juridiques (par exemple, s'il est prévisible que le candidat fera valoir que son refus n'est pas compatible avec l'AGG). Le responsable du traitement ne peut régulièrement plus se prévaloir de cette exception après l'expiration d'un délai de six mois à compter du refus.
Information sur le traitement des données à caractère personnel lors de la candidature
Conformément aux articles 12 et suivants du RGPD, le responsable du traitement doit informer le candidat du traitement des données à caractère personnel. En principe, ces informations doivent être mises à disposition au moment de la collecte. Des informations sur la protection des données doivent être mises à disposition en fonction du canal de candidature.
Que se passe-t-il en cas de traitement illicite ?
Si le traitement des données à caractère personnel dans le cadre de la procédure de candidature constitue une violation du RGPD, les autorités de contrôle peuvent prendre des mesures appropriées et imposer des amendes. En outre, les candidats concernés peuvent faire valoir une demande de dommages et intérêts conformément à l'article 82 du RGPD. En outre, l'entreprise risque de subir des dommages importants en termes d'image.
Afin d'éviter de tels dommages, il est particulièrement important de former le personnel des RH/du service du personnel en conséquence.
Vous avez besoin de conseils ou d'aide sur le thème de la protection des données dans l'entreprise ? Notre équipe d'experts se fera un plaisir de vous aider ! Nous proposons également des formations adaptées à votre entreprise. N'hésitez pas à nous contacter Contact sur !