La CNIL n'est pas conforme au RGPD (encore)

• Thiebaut Devergranne

J’ai enregistré une vidéo ce matin sur la chaîne YouTube pour montrer un point de non-conformité sur le site de la CNIL qui est intéressant. Je précise que mon objectif n’est pas de pointer du doigt la CNIL, car en réalité personne n’est conforme à 100% au RGPD (et il n’est pas très difficile de montrer des défauts ici ou là, moi y compris…). Ce qui est intéressant par contre, c’est que beaucoup d’organisations sont dans la même situation que la CNIL vu que le problème touche leur process de recrutement et que le problème est complexe et souvent laissé de côté. J’en ai beaucoup discuté de lors de la dernière session de formation RGPD (en fait cette non-conformité de la CNIL m’a été rapporté par un participant après la formation - merci à lui). Donc c’est l’occasion d’en discuter ! Voici les explications en détail :

Il y a deux problèmes au niveau du process de recrutement sur le site de la CNIL : l’absence de mentions légales sur les pages de collecte, et l’utilisation d’une adresse email pour gérer le traitement des données (ce qui va, en pratique, engendrer un tas de problématiques).

1. L’absence de mentions légales avant la collecte des données

Le premier tient au fait que la CNIL n’affiche pas les mentions légales (article 13 du RGPD) lors de la collecte des données personnelles. Lorsque l’on souhaite envoyer son CV la CNIL indique simplement une adresse email de contact, sans aucune autre précision sur le traitement opéré :

Or, nulle part ne sont indiquées le détail des mentions obligatoires, ni sur la page des offres d’emploi (voir la copie d’écran ici), ni sur la page détaillant chaque offre (voir un exemple ici et la copie d’écran ici).

C’est un problème important, car si l’on souhaite envoyer un CV on ne connait pas vraiment le détail des finalités du traitement. Ainsi, si je réponds à une offre d’emploi, est-ce que la CNIL va constituer une base CV avec, ou est-ce qu’elle va le traiter uniquement pour répondre à une offre d’emploi spécifique ? Impossible de le savoir. La personne concernée n’est pas non plus informée des délais de conservation et de traitement de son CV, qui vont être totalement différents selon la finalité choisie par la CNIL (constituer une base CV / réponse à une offre). Plus largement, également, on peut s’interroger sur la base légale en vertu de laquelle les données personnelles sont collectées et traitées (article 6 du RGPD) : s’agit-il du consentement, ou s’agit-il de l’article 6.1.b (mesures précontractuelles) ? Impossible de le déterminer sans disposer de la finalité du traitement.

Préciser ces éléments avant la collecte des données est essentiel (même si le RGPD précise dans l’article 13 que les mentions légales doivent être indiquées “au moment où les données en question sont obtenues” ce qui peut prêter à discussion), car dans notre situation, elles vont déterminer le consentement de la personne au traitement des données.

La CNIL elle-même rappelle la nécessité de respecter ces obligations, je cite :

Informez les personnes A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vérifiez que l’information comporte les éléments suivants : pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ; ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ; Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ; Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ; Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ; Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Vous pouvez jeter un oeil aux détail des mentions obligatoires ici pour des exemples pratiques et concrets.

Beaucoup d’organisations oublient de détailler les mentions légales lors des process de recrutement, donc pensez-y c’est important !

2. Utiliser un email pour opérer le traitement des données personnelles

Le second point important - et plus complexe en fait - tient au fait que la CNIL utilise une adresse email pour gérer l’ensemble des réponses aux offres d’emploi. Cela n’engendre pas une irrégularité de fait, mais en pratique, cela engendre une complexité qu’il est peu probable que l’ensemble des obligations imposées par le RGPD soient réellement respectées en pratique.

Le problème principal lié à l’utilisation de l’email tient au fait que plusieurs traitements sont généralement réalisés par le biais d’une boite mail, en l’occurrence :

  • la réponse aux offres d’emploi
  • probablement la gestion des demandes de droit d’accès (et autres droits de la personne concernée)
  • la communication interne ou externe avec le service RH

Or il s’agit de traitements qui ont chacun des délais de traitement et des destinataires différents, ce qui rend leur gestion particulièrement complexe. Prenons quelques exemples : une personne répond à une offre d’emploi. Le service RH transfère le CV par email à une personne dans l’organisation. Cette personne retransfère ensuite le CV à une autre personne pour information. Dans ce cas, comment gérer ensuite les délais de conservation et s’assurer que les CV aient bien été effacés aux termes du traitement, si le CV a été dupliqué sur 3 postes différents ? Il faut imaginer que le service RH gère des dizaines de demandes par an avec probablement des centaines de CV… Dès lors, il devient particulièrement difficile de respecter les obligations imposées par le règlement (ex : une demande de droit à la limitation du traitement).

A cette complexité, s’ajoute le fait que plusieurs traitements sont mis en oeuvre sur le même outil. Dès lors, comment gérer des destinataires différents en fonction de chaque traitement ? Par exemple, le responsable du traitement devra conserver des données relativement aux demandes de droit d’accès, afin de pouvoir démontrer qu’il assure en pratique le respect du RGPD. Les demandes effectuées par email devront donc être conservées et archivées pendant une durée différente que celle des CV (de même que des destinataires différents) ce qui va engendrer des problèmes encore plus complexes.

Ces problématiques sont inhérentes à l’utilisation de l’email en tant qu’outil technique - qui est souvent le pire outil pour opérer la gestion d’un traitement, car il est difficile de mettre en place des règles d’effacement ou de conservation des données en fonction de chaque finalité. Le plus simple est souvent d’utiliser un logiciel spécifique pour ce faire, ce qui permet de donner un cadre précis à chaque traitement (durées de conservation, etc.).

Le problème touche de très nombreuses organisations, c’est pourquoi le sujet était intéressant à soulever. Le fait que la CNIL ne soit pas totalement conforme montre que le RGPD est complexe et impose la réunion de nombreuses compétences (IT / juridiques / métier) et d’une expertise forte. Si c’est un sujet pour vous, vous devez impérativement former vos équipes pour éviter ces travers.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)