AccueilBase de connaissances › Données des candidats : conservation et destruction
RH

Données des candidats : conservation et destruction sous le RGPD

Données des candidats : conservation et destruction sous le RGPD

Les données des candidats relèvent du RGPD dès le moment où un candidat postule. La règle principale est courte. À la fin de la procédure, vous conservez les données d'un candidat rejeté environ quatre semaines, puis vous les détruisez. Si vous voulez les garder plus longtemps, vous demandez le consentement, généralement jusqu'à un an. Vous lirez ci-dessous ce qui compte comme données de candidat, quels délais s'appliquent et comment les ranger en toute confidentialité.

Le recrutement produit beaucoup de données personnelles. Un CV, une lettre de motivation, un assessment, des références et vos propres notes des entretiens. Ces données ne doivent pas rester indéfiniment dans une boîte mail ou une armoire. Le RGPD exige la limitation de la conservation, donc vous ne gardez pas plus longtemps que nécessaire. En même temps, vous voulez parfois garder un bon candidat en vue pour un poste ultérieur. Cet article montre comment régler les deux proprement sans enfreindre la loi. Nous abordons les délais, le rôle du consentement et les étapes pratiques pour ranger les données des candidats sur papier et en numérique en toute confidentialité.

Que sont les données des candidats ?

Les données des candidats sont toutes les données personnelles que vous recevez ou créez vous-même pendant un processus de recrutement. Cela couvre le CV, la lettre de motivation, les coordonnées, le parcours de formation et professionnel, le résultat d'un assessment ou d'un test en ligne, les références obtenues et les notes que votre recruteur ou responsable prend pendant les entretiens. Une correspondance par e-mail ou LinkedIn compte aussi. Parfois ces données touchent une catégorie particulière, par exemple quand un candidat mentionne quelque chose sur sa santé ou quand vous demandez un extrait de casier judiciaire. Une copie d'une pièce d'identité ne doit justement pas être demandée au stade de la candidature, cela vient seulement à l'embauche. Plus le contenu est sensible, plus vous traitez la conservation et la destruction avec soin. Un aperçu du contexte plus large du rangement confidentiel figure dans notre article sur la destruction de données.

Le délai standard : quatre semaines

L'autorité de protection des données retient comme ligne directrice que vous pouvez conserver les données d'un candidat rejeté jusqu'à quatre semaines après la fin de la procédure de recrutement. Ce court délai vous laisse la place pour expliquer un refus ou répondre à une question du candidat. Ensuite, il n'y a plus de base légale et vous devez détruire les données. Quatre semaines n'est pas un chiffre légal strict, mais une norme largement acceptée qui montre que vous prenez au sérieux la limitation de la conservation. Garder trop longtemps sans raison est une infraction, même si vous ne regardez plus jamais les données. Planifiez donc le rangement aussitôt qu'un poste est pourvu, pour que les candidatures rejetées ne traînent pas des mois. Un moment fixe chaque trimestre où vous passez en revue les procédures terminées évite que de vieux CV s'accumulent dans votre système.

Conserver un an avec consentement

Si vous voulez garder un candidat en vue plus longtemps, c'est permis jusqu'à un an après la fin de la procédure, à condition que le candidat y consente expressément. Vous demandez généralement ce consentement dans le refus, dans le même e-mail. Le candidat doit être libre de dire non et de retirer le consentement à tout moment. Un refus ne peut pas dépendre du fait de donner le consentement, car celui-ci ne serait alors pas librement donné. Consignez quand et pour quoi le consentement a été donné, car sans cette preuve vous êtes en position faible lors d'un contrôle. L'année est un maximum, pas une norme. Si vous n'avez plus besoin des données plus tôt, rangez-les plus tôt. Si l'année passe sans qu'un nouveau poste ait suivi, vous détruisez quand même les données.

Le vivier de talents

Beaucoup d'employeurs gardent les candidats intéressants dans un vivier de talents. Cela aussi n'est permis qu'avec consentement, et avec le même soin que l'option d'un an. Dites clairement au candidat ce que vous gardez, pourquoi et combien de temps. Le consentement doit être spécifique au vivier de talents, pas caché dans des conditions générales. Reconfirmez le consentement périodiquement, par exemple chaque année, pour que le vivier ne reste pas plein de gens qui ont perdu tout intérêt depuis longtemps. Donnez au candidat un moyen simple de se désinscrire et traitez une telle demande aussitôt. Un vivier de talents sans entretien devient automatiquement une collection de données expirées que vous ne pouvez plus conserver et qui joue contre vous lors d'un contrôle.

Quand le délai commence-t-il à courir ?

Le délai commence à la fin de la procédure de recrutement. Ce moment est atteint dès que vous avez pourvu le poste ou envoyé un refus au candidat. Pour une candidature spontanée sans poste concret, le délai commence au moment où vous avez évalué la candidature. Notez ce moment de départ par candidat, pour savoir ensuite exactement quand les quatre semaines ou l'année expirent. Un champ fixe dans votre système de recrutement avec la date de fin de la procédure rend le rangement ultérieur bien plus simple. Certains systèmes peuvent programmer automatiquement un rappel ou une suppression à cette date, ce qui réduit fortement le risque de données oubliées.

Un court tableau de conservation

DonnéeDélai de conservationRemarque
CV et lettre de motivation (rejeté)4 semaines après la fin de la procédureLimitation de la conservation RGPD
CV avec consentement du candidatJusqu'à 1 an après la fin de la procédureConsentement, librement retirable
Assessment et résultats de test4 semaines, ou 1 an avec consentementSuit la candidature
Références et notes4 semaines après la fin de la procédureLimitation de la conservation RGPD
Vivier de talentsTant que le consentement vautReconfirmer périodiquement
Candidature d'un candidat embauchéPasse dans le dossier du personnelDélais propres par document

Les données des candidats ne sont pas encore un dossier du personnel

Une idée fausse fréquente est que les données des candidats relèvent automatiquement des délais du dossier du personnel. Ce n'est pas le cas. Tant qu'une personne n'est pas embauchée, les délais courts du recrutement s'appliquent. Si vous embauchez bien le candidat, seuls les documents pertinents passent dans le dossier du personnel et prennent les délais de conservation qui s'y rattachent. Les candidatures rejetées du même tour gardent le délai de quatre semaines ou l'année. Cette distinction compte, car le dossier du personnel a des délais bien plus longs qui vont parfois jusqu'à sept ans après la fin du contrat. Comment ranger un dossier du personnel figure dans notre guide sur détruire le dossier du personnel. Quels délais s'y appliquent figure dans l'aide-mémoire des délais de conservation RGPD.

Qui peut accéder aux données des candidats ?

Les données des candidats sont confidentielles et ne doivent être accessibles qu'aux personnes qui en ont réellement besoin. En pratique, ce sont le recruteur et le responsable concerné. Un CV qui circule dans une boîte mail partagée ou sur un lecteur général accessible à la moitié de l'organisation est un risque. Limitez l'accès dans votre système de recrutement aux bons rôles et ne partagez pas les CV plus largement que nécessaire. Envoyez un CV via un lien sécurisé dans le système plutôt qu'en pièce jointe qui est transférée à votre insu. Moins de personnes ont accès, plus petit est le risque de fuite de données et plus facilement vous pourrez ensuite montrer que vous avez traité les données avec soin.

Où se trouvent les données des candidats ?

Avant de pouvoir ranger, vous devez savoir où sont les données. Les données des candidats se trouvent rarement à un seul endroit. Pensez à votre système de recrutement ou ATS, à la boîte mail avec les CV en pièce jointe, à un lecteur partagé avec des entretiens imprimés, aux CV imprimés sur un bureau ou dans un dossier et aux messages isolés via LinkedIn ou WhatsApp. Faites un court inventaire de tous ces endroits, car les données que vous oubliez sont précisément celles qui traînent trop longtemps. Ce n'est qu'une fois le tableau complet que vous pouvez ranger entièrement, en numérique comme sur papier.

Détruire les données des candidats sur papier

Les CV imprimés, les assessments imprimés et les notes manuscrites ne vont pas avec les vieux papiers. Les jeter sans broyage est une fuite de données que vous devez signaler à l'autorité de protection des données. Broyez donc les données des candidats sur papier au minimum au niveau DIN 66399 P-4. Utilisez le P-5 s'il y a des données particulières ou une copie d'une pièce d'identité. Rassemblez le papier entre-temps dans un bac fermé plutôt qu'une corbeille ouverte, pour qu'un CV ne reste pas à traîner à mi-chemin. Un simple broyeur de bureau n'atteint pas toujours le bon niveau et ne produit aucune preuve. Pour des volumes plus importants ou un rangement annuel, externaliser à une entreprise de destruction est souvent plus pratique et mieux démontrable.

Détruire les données des candidats en numérique

Ranger en numérique, c'est plus que glisser un fichier vers la corbeille. Dans votre ATS, vous supprimez le profil et videz la corbeille. Vérifiez aussi que le fournisseur retire les données des sauvegardes dans un délai raisonnable. Dans la boîte mail, vous effacez les messages avec les CV en pièce jointe, y compris le dossier des éléments envoyés. Votre fournisseur d'ATS est un sous-traitant, donc un contrat de sous-traitance y a sa place, indiquant comment et quand les données sont retirées. Glisser un fichier vers la corbeille n'est pas la même chose que détruire, car les données restent souvent sur le disque. Si des données de candidats sont sur un vieil ordinateur portable, un téléphone ou une clé USB que vous mettez au rebut, vous détruisez physiquement ce support de données ou le faites détruire.

Retirer le consentement et le droit à l'effacement

Un candidat peut retirer son consentement à tout moment et demander l'effacement de ses données. Si une telle demande arrive, vous supprimez les données du candidat sans retard injustifié, sauf s'il y a une raison légale de les conserver malgré tout. Pour les données des candidats, cette exception est rare, car il n'y a généralement aucune obligation de conservation fiscale ou autre. Confirmez au candidat que les données ont été supprimées. Un traitement rapide et soigné d'une telle demande renforce la confiance et évite une plainte auprès du superviseur.

Destruction démontrable avec un certificat

Le RGPD demande non seulement de ranger, mais aussi de pouvoir le montrer. Si vous faites détruire des données de candidats sur papier ou sur des supports de données, demandez un certificat de destruction avec la date, la quantité et le niveau. Notez la destruction dans votre registre des traitements et décrivez dans une courte politique comment et quand vous rangez les données des candidats. Ainsi, vous transformez un acte isolé en une méthode de travail fixe que vous pouvez montrer en quelques minutes lors d'un contrôle. Conservez le certificat au moins cinq ans dans votre dossier RGPD, à un endroit fixe où il est retrouvable. Une preuve que vous ne pouvez pas présenter ne compte pas en pratique. Plus à ce sujet dans la destruction démontrable pour le RGPD.

L'enlèvement scellé renforce la chaîne

Avec l'externalisation, la certitude commence déjà à l'enlèvement. Nous enlevons votre matériel dans un rayon de 20 km autour d'Amsterdam, scellé, pour que la chaîne de votre bureau jusqu'à la destruction reste fermée. Il n'y a pas d'accueil sur place et pas de trajet de déplacement séparé, car le travail passe par des tournées d'enlèvement groupées. Comme les trajets sont groupés à l'échelle nationale, vous payez un prix fixe sans surprise après coup. Le papier et les supports de données peuvent venir dans le même enlèvement, chacun détruit au niveau approprié. Une chaîne fermée signifie qu'un CV ne s'égare jamais en chemin, ce qui rend la preuve d'une destruction soignée d'autant plus forte.

Erreurs fréquentes

  • Garder les CV trop longtemps. Sans consentement, quatre semaines après la procédure est la limite.
  • Ne pas consigner le consentement. Garder des données un an sans preuve de consentement est une infraction.
  • Ranger uniquement en numérique. Les CV imprimés sur le bureau sont souvent oubliés.
  • Jeter sans broyage. Un CV avec les vieux papiers est une fuite de données à notifier.
  • Pas de preuve. Sans certificat, vous ne pouvez pas montrer que vous avez détruit.

Ranger les données des candidats étape par étape

  1. Notez par candidat la date de fin de la procédure de recrutement.
  2. Demandez le consentement si vous voulez garder plus de quatre semaines.
  3. Inventoriez tous les endroits où sont les données, en numérique et sur papier.
  4. Détruisez après le délai au bon niveau DIN et supprimez les copies numériques.
  5. Conservez le certificat et notez la destruction dans votre registre des traitements.

Faire détruire les données des candidats en toute confidentialité ?

Indiquez ce que vous avez et vous obtenez un prix fixe. Nous l'enlevons scellé dans un rayon de 20 km autour d'Amsterdam, le détruisons au bon niveau DIN et vous recevez un certificat comme preuve pour votre dossier RGPD.

Demander un devis

Questions fréquentes

Combien de temps puis-je conserver les données des candidats ?

À titre indicatif quatre semaines après la fin de la procédure de recrutement. Avec le consentement du candidat, vous pouvez les conserver jusqu'à un an.

Puis-je garder un CV plus longtemps pour de futurs postes ?

Uniquement avec le consentement du candidat pour un vivier de talents. Vous consignez ce consentement et le reconfirmez périodiquement.

Les données des candidats équivalent-elles à un dossier du personnel ?

Non. Ce n'est qu'en cas d'embauche que les documents pertinents passent dans le dossier du personnel avec leurs propres délais. Les candidats rejetés gardent le délai court du recrutement.

Comment détruire les données des candidats sur papier ?

Broyez-les de façon confidentielle au minimum au niveau DIN P-4, P-5 pour les données sensibles, avec un certificat de destruction comme preuve pour votre dossier RGPD.

Conclusion

Les données des candidats appellent une approche courte et stricte. Conservez les données d'un candidat rejeté à titre indicatif quatre semaines, ou jusqu'à un an si le candidat y consent. Ne gardez un vivier de talents qu'avec un consentement explicite et un entretien périodique. Rangez ensuite, en numérique comme sur papier. Détruisez en toute confidentialité au bon niveau DIN. Consignez la destruction avec un certificat et une mention dans votre registre des traitements. Vous respectez ainsi le RGPD et n'êtes jamais démuni lors d'un contrôle ou d'une question d'un candidat.

À lire aussi : le pilier détruire le dossier du personnel, combien de temps conserver un dossier personnel, conservation et destruction de la paie et la checklist de départ du salarié.


Faire détruire les données des candidats ? Demandez un devis via desnipperaar.nl ou lisez comment fonctionne la destruction démontrable pour le RGPD. Vous recevez un certificat comme preuve.