📍82 Boulevard Haussmann, 75008 Paris

Vous n’avez pas le droit de collecter des informations sur des candidats sur Internet. 

Actualités RGPD

Sommaire

La protection des données personnelles est un enjeu majeur, et le Règlement Général sur la Protection des Données (RGPD) joue un rôle crucial dans cette protection. La Cour de cassation, dans un arrêt du 30 avril 2024, a réaffirmé de manière décisive que même les données librement accessibles sur internet ne peuvent pas être collectées et utilisées de manière déloyale ou illicite. Cette décision met en lumière l’importance du respect des règles de collecte des données, en particulier pour les employeurs et recruteurs.

Voici pourquoi cette pratique est interdite, ce qui est reproché, et quelles sont les bonnes pratiques à adopter.

Les faits 

Dans l’affaire jugée le 30 avril 2024, un enquêteur privé, engagé par une entreprise pour enquêter sur ses salariés, candidats à l’embauche, clients ou prestataires, a été condamné pour collecte déloyale de données personnelles. 

L’enquêteur privé avait été mandaté par une entreprise pour réaliser des investigations sur certains de ses salariés, candidats à l’embauche, clients ou prestataires. Pour ce faire, il avait collecté de nombreuses données personnelles telles que les antécédents judiciaires, les détails bancaires et téléphoniques, les spécificités des biens et véhicules des individus ciblés, leur situation maritale, leur état de santé et leurs voyages à l’étranger.

Ce détective avait rassemblé des données personnelles à partir de diverses sources accessibles et disponibles en ligne, comme les réseaux sociaux, les forums, les annuaires et les sites de presse locale, sans obtenir préalablement le consentement des personnes concernées.

Accusé de collecte déloyale de données personnelles, l’enquêteur avait été condamné par les juridictions de première instance et d’appel. Il a alors formé un pourvoi en cassation.

Cet article pourrait vous intéresser : RGPD et Salariés : Qui est Responsable en Cas de Violation des Données ?

La décision de la Cour de Cassation 

La Cour de Cassation condamne fermement ces agissements, sur les fondements suivants : 

  • Collecte à l’insu des personnes concernées :

 L’enquêteur a collecté des informations sans en informer les personnes concernées, les privant ainsi de leur droit d’opposition. Le RGPD impose que les individus soient informés de la collecte de leurs données et puissent s’y opposer.

  • Finalités détournées :

Les données ont été utilisées à des fins de profilage, ce qui constitue une déviation des finalités initiales pour lesquelles ces données avaient été mises en ligne. Les informations disponibles en ligne sont souvent partagées pour des raisons spécifiques, et leur utilisation à des fins de surveillance n’était pas prévue par les personnes concernées.

  • Atteinte à la vie privée :

 La collecte et le recoupement de données personnelles pour établir des profils détaillés sans consentement sont considérés comme une atteinte disproportionnée à la vie privée. La Cour a estimé que le profilage non consenti constitue une violation des droits fondamentaux à la vie privée.

  • Liberté d’accès ne signifie pas liberté d’utilisation :

  Le fait que les données soient accessibles sur internet ne les rend pas librement réutilisables pour n’importe quelle finalité. La Cour a souligné que le libre accès à certaines données personnelles sur internet ne signifie pas qu’elles peuvent être librement réutilisées à toutes fins, surtout lorsque cette réutilisation n’est pas conforme aux finalités pour lesquelles les données ont été rendues publiques.

Le dirigeant de l’entreprise mandataire a été condamné par le tribunal correctionnel à deux ans de prison avec sursis et à une amende de 20 000 €. Cette condamnation a été confirmée par la Cour d’appel de Versailles, puis validée par la Cour de cassation, qui a jugé que les pratiques de collecte de données personnelles étaient déloyales. 

Les bonnes pratiques à adopter

Pour se conformer aux exigences du RGPD et éviter des sanctions similaires, les entreprises doivent adopter des pratiques rigoureuses dans la collecte et le traitement des données personnelles pendant un recrutement. Voici quelques recommandations essentielles :

Informer lors du recrutement :

Transparence : Informez clairement les candidats et autres parties concernées de la collecte de leurs données personnelles et des finalités pour lesquelles ces données seront utilisées, et comment ils peuvent exercer leurs droits.

Respecter les finalités des données

Finalité déterminée : Utilisez les données uniquement pour les finalités pour lesquelles elles ont été collectées. Toute déviation de ces finalités doit être justifiée et approuvée par les personnes concernées. Les données postées sur internet sur les réseaux sociaux ne le sont pas à des fins de recrutement.

Limiter la collecte de données en matière de recrutement : uniquement les données pertinentes et nécessaires !

Minimisation des données : Limitez la collecte aux informations strictement nécessaires pour le traitement spécifique. Évitez la collecte excessive de données, qui peut entraîner des risques accrus de violation de la vie privée. En matière de recrutement, seules les données relative à l’expérience et la formation sont des données nécessaires.

Pertinence : Ne collectez que les données nécessaires et pertinentes par rapport à l’objectif de la collecte. Le principe de minimisation des données doit être respecté. Par exemple, les derniers lieux de voyage ou le véhicule d’un candidat à un poste n’est pas une donnée nécessaire à un recrutement.

Permettre et respecter le droit des personnes sur leurs données : même pour les candidats !

Accès et Rectification : Garantissez aux personnes concernées le droit d’accéder à leurs données personnelles, de les rectifier, de les effacer ou de s’opposer à leur traitement. Ces droits doivent être facilement exercés par les individus.

Cet article pourrait vous intéresser : Comprendre les Demandes d’exercice de Droits : Un Guide Pratique pour les Entreprises.

Conclusion

L’arrêt du 30 avril 2024 de la Cour de cassation est un rappel important pour les entreprises : elle met  en évidence le fait que le simple fait que des informations soient accessibles en ligne ne signifie pas qu’elles peuvent être collectées et utilisées sans le consentement des personnes concernées. Cette décision va renforcer les règles de protection des données et encourager les entreprises à revoir leurs pratiques pour se conformer aux lois en vigueur..

 En tant que recruteurs ou employeurs, il est crucial de se conformer à ces règles pour protéger les droits des personnes concernées et éviter des sanctions sévères. Adoptez des pratiques transparentes, respectueuses des finalités et sécurisées pour garantir une utilisation légitime et éthique des données personnelles. Cette décision sert de rappel crucial : l’ère numérique exige un respect rigoureux des droits à la vie privée et à la protection des données personnelles.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Partager le post

Articles connexes

Samia EL HADJJAM
Samia EL HADJJAM
RGPD Fan Account / Master 2 Droit Algorithmique et Gouvernance des Données / Juriste en données personnelles
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.

Recevez gratuitement

notre guide RGPD

Découvrez les clés de la conformité RGPD.

Vos données sont en sécurité 🔒. En entrant votre nom et e-mail, vous acceptez de recevoir notre guide RGPD et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.