Ce que la CNIL va contrôler en priorité en 2018
La CNIL a annoncé son programme annuel de contrôle pour l'année 2018. Parmi les thématiques prioritaires, on retrouve notamment les traitements de données personnelles dans le cadre du recrutement de candidats.
Depuis la loi n°2004-801 du 6 août 2004, la CNIL est compétente pour effectuer des contrôles de la conformité des traitements de données personnelles réalisés par des personnes physiques et morales de droit public et de droit privé.Ses contrôles peuvent avoir différentes origines : des plaintes reçues par la CNIL, des vérifications effectuées à la suite de mises en demeure ou de procédure de sanction, des contrôles réalisés à l’initiative de la CNIL au vu de l’actualité, ou encore, des contrôles effectués dans le cadre du programme annuel décidé par les membres de cette commission, dont la CNIL a annoncé, le 2 juillet dernier, les grandes lignes pour l’année 2018.Ainsi, la CNIL a indiqué qu’elle axerait ses contrôles sur trois thématiques, "qui ont été choisies en raison du grand nombre de personnes concernées" et "leur impact sur la vie quotidienne" : les traitements liés au recrutement, les pièces justificatives demandées par les agences immobilières aux candidats à la location et les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés.
S’agissant en particulier des traitements réalisés par les acteurs du recrutement (les services RH des entreprises, les cabinets de recrutement, etc.), la CNIL a observé que ces professionnels faisaient de plus en plus usage de méthodes et techniques d’aide au recrutement (par exemple, des dispositifs permettant d’analyser les expressions corporelles d’un candidat lors d’un entretien). Or, de telles pratiques doivent être réalisées conformément à la réglementation en matière de données personnelles – ce qui suppose, notamment, d’informer préalablement les candidats sur l’usage de tels dispositifs.
Plus généralement, la CNIL vérifiera la manière dont les données des candidats sont traitées par ces organismes. Rappelons à cet égard que les données susceptibles d’être collectées sur des candidats à l’embauche sont limitées à celles présentant un lien direct et nécessaire avec l’emploi proposé ou l’évaluation de leurs aptitudes professionnelles.Par ailleurs, la CNIL rappelle, comme elle l’avait annoncé en février 2018, qu’elle continuerait, dans les prochains mois, à exercer un contrôle strict du respect des principes fondamentaux de la protection des données (loyauté du traitement, pertinence des données traitées, sécurité et confidentialité des données, etc.).
En revanche, elle contrôlera avec plus de souplesse la mise en œuvre des nouvelles obligations et des nouveaux droits résultant du RGPD par les responsables de traitement et sous-traitants (analyses d’impact, droit à la portabilité, etc.). Elle a ainsi annoncé qu’ "en présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points".
Enfin, la CNIL a annoncé qu’elle procéderait cette année, comme en 2017, à environ 300 contrôles sur place, en ligne, sur pièces et sur audition.
Vincent VARET et Camille BERTIN, Avocats au Barreau de Paris.