Charte Candidat – Protection des données personnelles
Le Groupe Crédit Agricole (le « Groupe ») est attentif au respect de la réglementation relative à la protection des données personnelles, notamment en ce qui concerne les candidats à un poste au sein du Groupe. Dans le contexte de l’évolution de la réglementation relative à la protection des données personnelles liée à l’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018 (le « RGPD »), le Groupe a souhaité formaliser cette Charte de protection des données personnelles du Groupe Crédit Agricole en matière de recrutement (la « Charte »).
La Charte vise à informer les candidats des opérations de traitement dont leurs données personnelles font l’objet au sein du Groupe, des grands principes de protection applicables à ces traitements et de la manière dont le Groupe respecte les exigences de la réglementation.
Définitions de la charte candidat
Les définitions ci-dessous sont appliquées dans la Charte :
- données personnelles : toute information se rapportant à un candidat identifié ou identifiable. Les données personnelles peuvent être, par exemple, les coordonnées des candidats, leur CV ou leur lettre de motivation ;
- traitement : toute opération (ou ensemble d’opérations) effectuée sur des données personnelles, par exemple la collecte, l’organisation, la conservation, la modification, l’utilisation, la transmission, la diffusion ou l’effacement de données personnelles ;
- finalité : l’objectif pour lequel est réalisé un traitement de données personnelles. Dans le cadre de la présente Charte, les finalités des traitements des données personnelles sont mentionnées au paragraphe 3 ci-dessous ;
- destinataire : toute personne physique ou morale, toute autorité publique, tout service ou tout autre organisme qui reçoit communication des données personnelles ;
- responsable de traitement : l’entité qui définit la finalité d’un traitement de données personnelles et les moyens mis en œuvre pour réaliser ce traitement. En ce qui concerne les traitements des données personnelles des candidats, le responsable de traitement est l’entité du Groupe qui cherche à recruter ;
- sous-traitant : toute entité autre que le responsable de traitement qui traite des données personnelles pour le compte et sur les instructions du responsable de traitement. Une entité du Groupe peut donc être le sous-traitant d’une autre entité du Groupe. Sont ainsi considérées comme sous-traitants des entreprises fournissant des prestations informatiques ou de conseil au responsable de traitement, par exemple en matière de recrutement, ou chargées de services relatifs à la gestion des ressources humaines pour le compte du responsable de traitement.
1. Quels sont les principes de protection des données personnelles appliqués par le Groupe ?
Les données personnelles des candidats sont traitées dans le respect des principes de protection des données personnelles présentés ci-dessous :
- Licéité, loyauté et transparence des traitements : les données personnelles des candidats sont toujours collectées et traitées sur la base d’une justification particulière (la « base légale »). Aucun traitement contraire aux principes de cette Charte et du RGPD ne peut être réalisé. De plus, des informations claires, transparentes et complètes sont fournies aux candidats sur les traitements réalisés sur leurs données personnelles ;
- Limitation des finalités : les données personnelles des candidats sont toujours collectées et traitées pour des objectifs déterminés, et ce dès le début du traitement ;
- Minimisation des données : seules sont collectées les données personnelles des candidats qui sont strictement nécessaires pour atteindre les objectifs prévus. Aucune donnée personnelle superflue, compte tenu des traitements opérés, n’est collectée ou utilisée ;
- Exactitude : les données personnelles des candidats sont exactes et tenues à jour régulièrement. Toutes les mesures raisonnables sont mises en œuvre pour que les données personnelles inexactes soient rectifiées ou supprimées ;
- Limitation de la durée de conservation : les données personnelles des candidats ne sont pas conservées pendant une durée supérieure à celle qui est nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées ;
- Sécurité : les données personnelles des candidats sont conservées et traitées d’une manière garantissant leur sécurité et leur confidentialité.
2. Dans quels cas les données personnelles des candidats sont-elles utilisées ? Quelles sont les bases légales des traitements des données personnelles des candidats ?
Les traitements des données personnelles des candidats permettent au responsable de traitement de gérer les candidatures, de mettre en œuvre et suivre les entretiens et le processus de sélection, notamment dans le respect des obligations légales en matière de lutte contre la délinquance financière (criblage des candidats présélectionnés par rapport aux listes de Sanctions Internationales), de gérer les recommandations et références, le vivier de candidats et le pré-recrutement dans l’intérêt légitime du responsable de traitement et d’établir les promesses d’embauche et les contrats dans le cadre de mesures précontractuelles.
3. Dans quels cas les candidats sont-ils tenus de communiquer leurs données personnelles ?
Certaines données personnelles peuvent être nécessaires pour l’examen des candidatures par le Groupe. Les candidats en seront informés lors de la collecte par un astérisque ou par un moyen équivalent.
En l’absence de fourniture de ces données, le responsable de traitement ne sera pas en mesure de traiter la candidature.
4. Qui sont les destinataires des données personnelles des candidats ?
Pour les besoins des traitements décrits ci-dessus, les données personnelles des candidats pourront dans certains cas être communiquées aux destinataires suivants :
- Les entités du Groupe ;
- Les sous-traitants informatiques, les éditeurs de tests de recrutement ;
- Les prestataires intervenant dans le processus de recrutement.
Les entités du Groupe font appel à des sous-traitants qui présentent des garanties suffisantes pour que le traitement soit conforme aux principes du RGPD et pour que la confidentialité et la sécurité des données personnelles soient assurées.
Si un destinataire de données personnelles est situé dans un pays hors de l’Union européenne, le destinataire doit être soumis au respect d’une législation locale assurant un niveau de protection adéquat ou à des garanties permettant d’assurer ce niveau de protection.
Ces garanties peuvent être des Clauses Contractuelles Types de protection des données personnelles adoptées par la Commission européenne dont l’application est effective dans le pays importateur (c’est-à-dire un contrat de transfert entre le responsable de traitement et un destinataire précisant les obligations du responsable de traitement et du destinataire dans le cas d’un transfert de données personnelles hors de l’Union européenne).
5. Comment est assurée la sécurité des données personnelles des candidats ?
Les solutions utilisées afin de conserver et traiter les données personnelles des candidats répondent à des prérequis de sécurité émis par la Direction des Systèmes d’Information du Groupe et sont soumises à des procédures de validation et d’audit rigoureuses.
Pour assurer la sécurité et la confidentialité des données personnelles des candidats, le Groupe a mis en place des mesures techniques et organisationnelles, et notamment :
- Le contrôle des accès et des habilitations sur les équipements informatiques permettant les traitements des données personnelles des candidats ;
- Des mesures de sécurisation des infrastructures techniques (poste de travail, réseau, serveur) et des données (sauvegarde, plan de continuité d’activité) ;
- La limitation des personnes autorisées à traiter des données personnelles en fonction des finalités et des moyens prévus pour chaque traitement ;
- Des obligations de confidentialité strictes imposées à ses sous-traitants ;
- Des procédures ont été mises en place afin de réagir promptement dans le cas où les données personnelles des candidats feraient l’objet d’un incident de sécurité.
6. Quelles sont les durées de conservation des données personnelles des candidats ?
Les données personnelles des candidats relatives aux traitements de gestion des candidatures mentionnés au 1. du paragraphe 3 sont conservées dans les conditions suivantes :
- Lorsque le candidat n’est pas retenu ses données personnelles sont conservées deux (2) ans à compter de son dernier contact avec la Caisse Régionale de Crédit Agricole Mutuel de Paris et d’Ile de France dans la cadre de sa candidature.
- Lorsque le candidat est retenu :
Pendant la durée de la relation de travail : conservation dans la base active ;
À la rupture du contrat de travail, en fonction du traitement considéré et sous réserve de textes spéciaux :
- conservation dans la base active pendant cinq (5) ans ;
- puis archivage intermédiaire pour une durée maximale de cinquante (50) ans (pour toutes les données : contrats de travail, entretiens, bulletins de paie, tous documents en lien avec la retraite…) ;
- puis destruction des données.
Pendant toute la durée de conservation de ces données personnelles, l’accès aux données personnelles des candidats est limité aux seules personnes qui doivent y accéder, et qui disposent des habilitations correspondantes, selon les finalités des traitements prévus.
A l’issue de cette durée, les données personnelles des candidats seront effacées définitivement ou anonymisées de manière irréversible.
7. Quels sont les droits des candidats en matière de traitement de données personnelles ?
Tout candidat peut faire valoir, à tout moment, ses droits détaillés ci-dessous[3] :
- droit d’accès : les candidats peuvent obtenir des informations sur la nature, l’origine et l’usage des données personnelles qui les concernent. En cas de transmission de leurs données personnelles à des tiers, les candidats peuvent également obtenir des informations concernant l’identité ou les catégories des destinataires ;
- droit de rectification : les candidats peuvent demander que des données personnelles inexactes ou incomplètes soient rectifiées ou complétées ;
- droit à l’effacement : les candidats peuvent demander l’effacement de leurs données personnelles, notamment si les données personnelles ne sont plus nécessaires aux traitements effectués. Le responsable de traitement devra procéder à l’effacement des données personnelles dans les meilleurs délais, sauf dans les cas prévus par la règlementation ;
- droit à la limitation du traitement : les candidats peuvent demander que leurs données personnelles soient rendues temporairement inaccessibles afin de limiter leur traitement futur dans les situations prévues par le RGPD[4];
- droit d’opposition : les candidats peuvent s’opposer à certains traitements de leurs données personnelles pour des raisons tenant à leur situation particulière sauf s’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés du candidat ou pour la constatation, l’exercice ou la défense de droits en justice ;
- droit à la portabilité : les candidats peuvent demander à recevoir communication des données personnelles qu’ils ont fournies au responsable de traitement, dans un format informatique structuré et couramment utilisé. Ce droit à la portabilité ne peut s’exercer que lorsque le traitement de données personnelles est opéré à la suite du consentement du candidat.
Le responsable de traitement s’engage à ce que l’examen d’une demande d’exercice d’un droit présentée par un candidat soit effectué dans les délais prévus par le RGPD.
8. Point de contact
Pour obtenir copie des garanties appropriées mentionnées au paragraphe 5 et pour exercer les droits mentionnés au paragraphe 8, les candidats peuvent contacter le délégué à la protection des données (« Data Protection Officer » ou « DPO ») via le formulaire web disponible depuis le site de la Caisse Régionale : https://www.credit-agricole.fr/ca-paris/particulier/informations/formulaire-rgpd.html ou par courrier à l’adresse suivante : DPO, 26 quai de la Rapée 75012 PARIS.
Les candidats peuvent également adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL), sur son site https://www.cnil.fr/fr/plaintes ou par courrier à l’adresse suivante : CNIL, 3 Place de Fontenoy TSA 75334 PARIS Cedex 7, dans le cas où ils estiment que la réponse apportée par le DPO n’est pas satisfaisante.
9. Application et modification de la charte
La Charte est applicable à compter du 25 mai 2018.
La Charte est publiée sur l’espace carrière du site internet institutionnel de la Caisse Régionale à l’adresse suivante : https://ca-paris.com/carrieres/offres-demploi/. Elle pourra être mise à jour, notamment en cas d’évolution de la réglementation ou des traitements.
La Charte a été révisée le 29 décembre 2021.
[1] Le terme « candidat » désigne toute personne extérieure au Groupe qui contacte une entité du Groupe ou est contactée par une entité du Groupe en vue de présenter sa candidature à tout poste au sein d’une entité du Groupe, pour un contrat de travail ou pour tout autre type de contrat assimilé, y compris pour un contrat d’apprentissage ou un contrat de professionnalisation, ainsi que pour un stage.
[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[3] Par ailleurs, les candidats dont les données personnelles font l’objet d’un traitement par un responsable de traitement établi en France ont la possibilité de donner des consignes sur le sort de leurs données personnelles en cas de décès.
[4] C’est-à-dire :
a) lorsqu’un candidat conteste l’exactitude de ses données personnelles (par exemple dans le cas d’une erreur en lien avec l’état civil du candidat), pendant une durée permettant au responsable du traitement de vérifier l’exactitude de ces données ;
b) lorsque le traitement est illicite, et si le candidat s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ;
c) lorsque les données personnelles n’ont plus de raison d’être conservées, mais que les candidats souhaitent que ces données personnelles soient conservées par le responsable de traitement pour l’exercice ou la défense de droits en justice ;
d) lorsque le candidat s’est opposé au traitement, pendant la durée nécessaire pour vérifier si les motifs légitimes poursuivis par le responsable de traitement prévalent sur ceux du candidat.