Les agences d’intérim gèrent quotidiennement un volume considérable de données personnelles issues des candidatures. Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, ces structures doivent adapter leurs pratiques pour garantir la conformité de leurs traitements. Cette réglementation a fondamentalement modifié l’approche du recrutement temporaire en imposant des obligations strictes concernant la collecte, le stockage et l’utilisation des informations des candidats. Pour les professionnels du secteur, maîtriser ces exigences constitue désormais un enjeu majeur, tant sur le plan juridique que commercial, car la confiance des candidats et des entreprises clientes repose sur une gestion irréprochable des données personnelles.
Les fondamentaux du RGPD applicables aux agences d’intérim
Le RGPD représente un cadre juridique unifié pour l’ensemble des pays de l’Union Européenne, visant à protéger les droits des personnes physiques concernant leurs données. Pour les agences d’intérim, ce règlement encadre strictement chaque étape du processus de recrutement, depuis la réception d’un CV jusqu’au placement d’un intérimaire.
Les principes fondamentaux du RGPD s’articulent autour de six axes que les agences doivent impérativement respecter :
- La licéité, loyauté et transparence du traitement
- La limitation des finalités
- La minimisation des données
- L’exactitude des données
- La limitation de la conservation
- L’intégrité et la confidentialité
Dans le contexte spécifique de l’intérim, la licéité du traitement repose généralement sur le consentement du candidat ou sur l’exécution de mesures précontractuelles. L’agence doit explicitement informer les candidats des raisons pour lesquelles elle collecte leurs informations personnelles et obtenir leur accord préalable.
La minimisation des données constitue un défi particulier pour les agences d’intérim qui ont tendance à recueillir un maximum d’informations pour affiner leurs propositions de missions. Selon ce principe, seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées. Ainsi, demander la situation familiale d’un candidat sans que cette information soit pertinente pour le poste constitue une infraction.
Les bases légales du traitement dans le secteur de l’intérim
Pour traiter légalement les données des candidats, une agence d’intérim doit s’appuyer sur l’une des bases légales prévues par l’article 6 du RGPD :
Le consentement représente souvent la base privilégiée lors de la constitution d’une base de candidats. Ce consentement doit être libre, spécifique, éclairé et univoque. Concrètement, l’agence doit mettre en place un système permettant aux candidats d’accepter explicitement l’utilisation de leurs données, par exemple via une case à cocher non pré-cochée.
L’exécution d’un contrat ou de mesures précontractuelles constitue une autre base légale fréquemment utilisée. Elle s’applique lorsque le traitement est nécessaire à l’exécution d’un contrat de mission intérimaire ou à l’établissement de ce contrat.
L’intérêt légitime peut parfois être invoqué, notamment pour conserver certaines données après une mission afin de proposer d’autres opportunités au candidat. Toutefois, cette base légale nécessite une analyse approfondie et documentée pour s’assurer que l’intérêt de l’agence ne prévaut pas sur les droits fondamentaux de la personne concernée.
Les obligations légales peuvent justifier certains traitements, comme la vérification du droit au travail pour les ressortissants étrangers ou la transmission d’informations aux organismes sociaux.
La collecte et le traitement des données de candidature
Le processus de recrutement en intérim commence invariablement par la collecte des données des candidats. Cette étape fondamentale doit respecter plusieurs principes pour garantir la conformité au RGPD.
Les informations obligatoires à fournir lors de la collecte
Avant même de recueillir la moindre donnée, l’agence d’intérim doit informer le candidat de manière claire et accessible sur plusieurs aspects du traitement. L’article 13 du RGPD impose de communiquer :
- L’identité et les coordonnées du responsable de traitement
- Les finalités du traitement et sa base juridique
- Les destinataires des données (entreprises clientes, par exemple)
- La durée de conservation des données
- Les droits dont dispose la personne concernée
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle
Ces informations doivent être présentées dans une politique de confidentialité accessible depuis le formulaire de candidature, qu’il soit en ligne ou papier. Pour les candidatures spontanées reçues par email, l’agence doit adresser ces informations en retour avant tout traitement des données.
La Commission Nationale de l’Informatique et des Libertés (CNIL) recommande d’adopter une approche à deux niveaux : présenter les informations essentielles directement sur le formulaire, puis proposer un lien vers une politique détaillée pour les candidats souhaitant approfondir.
La minimisation des données dans le processus de recrutement
Le principe de minimisation exige que seules les données pertinentes et nécessaires soient collectées. Pour une agence d’intérim, cela implique d’adapter les formulaires de candidature selon les types de postes proposés.
Les informations d’identification de base (nom, prénom, coordonnées) sont légitimes, tout comme les données relatives à la formation et à l’expérience professionnelle. En revanche, certaines informations sensibles ou non pertinentes doivent être évitées :
Les données sensibles au sens du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données génétiques, etc.) ne peuvent être collectées que dans des cas très spécifiques et encadrés.
Les informations concernant la santé du candidat doivent être limitées à ce qui est strictement nécessaire pour évaluer l’aptitude à occuper un poste spécifique. Par exemple, pour un poste nécessitant le port de charges lourdes, des informations sur d’éventuelles restrictions médicales peuvent être légitimes.
Le numéro de sécurité sociale ne doit pas être demandé lors de la phase de candidature, mais uniquement lors de la contractualisation.
Les références professionnelles peuvent être demandées, mais leur vérification nécessite l’information préalable du candidat.
Pour les agences utilisant des systèmes d’analyse automatisée des candidatures ou des algorithmes de matching, une vigilance particulière s’impose. Ces outils doivent être paramétrés pour ne traiter que les données pertinentes et ne pas créer de discrimination indirecte. De plus, conformément à l’article 22 du RGPD, le candidat ne peut faire l’objet d’une décision fondée exclusivement sur un traitement automatisé sans intervention humaine.
La conservation et la sécurisation des données des candidats
La gestion temporelle des données constitue un aspect fondamental de la conformité au RGPD pour les agences d’intérim. La définition de durées de conservation adaptées et la mise en œuvre de mesures de sécurité robustes représentent des obligations incontournables.
Établir des durées de conservation appropriées
Le principe de limitation de la conservation impose aux agences d’intérim de ne pas conserver indéfiniment les données des candidats. Différentes durées s’appliquent selon la situation :
Pour les candidatures non retenues, la CNIL recommande une durée de conservation de deux ans à compter du dernier contact avec le candidat. Cette période permet à l’agence de proposer d’autres missions tout en respectant les droits des personnes concernées.
Pour les candidats ayant effectué des missions, les données peuvent être conservées plus longtemps en raison de la relation contractuelle établie. Les données nécessaires à la gestion de la relation commerciale peuvent être conservées pendant la durée de cette relation, puis archivées pour répondre aux obligations légales (droit du travail, fiscalité, etc.).
Les données relatives à la paie doivent être conservées pendant cinq ans à compter de leur établissement, conformément à l’article L3243-4 du Code du travail.
Les documents relatifs aux charges sociales doivent être conservés pendant trois ans, selon l’article L244-3 du Code de la sécurité sociale.
Pour mettre en œuvre ces durées de conservation, l’agence doit établir une politique de gestion du cycle de vie des données prévoyant :
- Des procédures d’archivage intermédiaire (accès restreint) pour les données devant être conservées pour des raisons légales
- Des mécanismes de purge automatique ou semi-automatique des données obsolètes
- Un système de relance permettant de demander aux candidats s’ils souhaitent maintenir leur candidature active
La sécurisation technique et organisationnelle des données
L’article 32 du RGPD exige la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Pour une agence d’intérim, ces mesures doivent tenir compte de la sensibilité des données de candidature et des risques spécifiques au secteur.
Sur le plan technique, plusieurs mesures s’imposent :
Le chiffrement des données, particulièrement lors de leur transmission (formulaires en ligne, échanges par email) et pour les supports de stockage mobiles.
La mise en place de contrôles d’accès stricts limitant l’accès aux données selon le principe du moindre privilège. Seuls les consultants ayant besoin d’accéder aux profils des candidats pour leur proposer des missions doivent y avoir accès.
Des sauvegardes régulières permettant de restaurer les données en cas d’incident technique ou physique.
Des logiciels de sécurité (antivirus, pare-feu) maintenus à jour pour protéger contre les menaces extérieures.
Sur le plan organisationnel, l’agence doit mettre en place :
Une politique de confidentialité interne définissant clairement les responsabilités de chaque collaborateur concernant la protection des données.
Des formations régulières pour sensibiliser le personnel aux bonnes pratiques en matière de sécurité de l’information.
Des procédures de notification en cas de violation de données, permettant d’informer la CNIL dans les 72 heures et les personnes concernées lorsque la violation présente un risque élevé pour leurs droits et libertés.
Un registre des activités de traitement documentant l’ensemble des opérations effectuées sur les données personnelles.
Pour les agences travaillant avec des sous-traitants (hébergeurs, fournisseurs de logiciels RH), des contrats conformes à l’article 28 du RGPD doivent être établis, précisant les obligations du sous-traitant en matière de protection des données.
Le partage des données avec les entreprises utilisatrices
La spécificité du modèle économique de l’intérim repose sur une relation tripartite entre l’agence, le travailleur temporaire et l’entreprise utilisatrice. Cette configuration particulière soulève des questions spécifiques concernant le partage des données personnelles des candidats avec les entreprises clientes.
Encadrement juridique du transfert de données
Lorsqu’une agence d’intérim partage les profils de candidats avec des entreprises utilisatrices, elle effectue une communication de données à caractère personnel à des tiers. Cette opération doit respecter plusieurs principes fondamentaux du RGPD.
Tout d’abord, les candidats doivent être clairement informés que leurs données pourront être transmises à des entreprises susceptibles de leur proposer des missions. Cette information doit figurer dans la politique de confidentialité et être portée à leur connaissance lors de la collecte de leurs données.
Le partage doit reposer sur une base légale valide, généralement :
Le consentement du candidat, recueilli de manière spécifique pour cette finalité de partage
L’exécution de mesures précontractuelles prises à la demande du candidat (recherche d’une mission)
L’intérêt légitime de l’agence, sous réserve d’une analyse d’impact démontrant que cet intérêt n’est pas supplanté par les intérêts ou libertés fondamentales du candidat
La minimisation des données s’applique particulièrement à cette phase : seules les informations strictement nécessaires à l’évaluation de l’adéquation du profil avec le poste proposé doivent être communiquées à l’entreprise utilisatrice. Ainsi, un CV anonymisé ou une fiche de compétences peut suffire dans un premier temps, les coordonnées complètes n’étant transmises qu’avec l’accord du candidat pour un entretien.
Contractualisation avec les entreprises utilisatrices
Pour sécuriser juridiquement le partage de données, l’agence d’intérim doit établir des clauses spécifiques dans ses contrats avec les entreprises utilisatrices. Ces dispositions doivent encadrer :
La finalité du transfert des données (évaluation des compétences pour une mission précise)
Les limites d’utilisation des données (interdiction de les utiliser pour d’autres finalités ou de les conserver au-delà de la période d’évaluation)
Les mesures de sécurité que l’entreprise utilisatrice doit mettre en œuvre pour protéger les données reçues
L’obligation de confidentialité concernant les informations transmises
La durée de conservation autorisée, généralement limitée à la période d’évaluation ou à la durée de la mission
Ces clauses peuvent être intégrées directement dans le contrat de mise à disposition ou faire l’objet d’une annexe spécifique relative à la protection des données.
Pour les transferts de données vers des entreprises utilisatrices situées hors de l’Union Européenne, des garanties supplémentaires sont nécessaires conformément aux articles 44 à 50 du RGPD. Ces transferts doivent s’appuyer sur :
- Une décision d’adéquation pour le pays concerné
- Des garanties appropriées (clauses contractuelles types, règles d’entreprise contraignantes)
- Des dérogations pour des situations spécifiques (consentement explicite, exécution d’un contrat)
Dans la pratique, les agences d’intérim peuvent mettre en place des plateformes sécurisées permettant aux entreprises clientes de consulter les profils des candidats correspondant à leurs besoins, avec différents niveaux d’accès selon l’avancement du processus de recrutement. Ces systèmes doivent intégrer des fonctionnalités de traçabilité permettant de contrôler les accès aux données et de respecter le principe de responsabilité (accountability).
Respect des droits des candidats et intérimaires
Le RGPD confère aux personnes concernées des droits étendus sur leurs données personnelles. Pour les agences d’intérim, garantir l’exercice effectif de ces droits constitue non seulement une obligation légale, mais participe à l’établissement d’une relation de confiance avec les candidats et intérimaires.
Les droits fondamentaux à mettre en œuvre
Les candidats et intérimaires disposent de plusieurs droits fondamentaux que les agences doivent être en mesure de satisfaire :
Le droit d’accès (article 15 du RGPD) permet à toute personne d’obtenir la confirmation que ses données sont traitées et d’accéder à l’ensemble des informations la concernant. Une agence d’intérim doit pouvoir fournir une copie complète des données qu’elle détient sur un candidat, y compris les évaluations professionnelles et les informations relatives aux missions proposées ou effectuées.
Le droit de rectification (article 16) autorise la correction des données inexactes ou incomplètes. Ce droit est particulièrement pertinent dans le contexte de l’intérim, où la mise à jour régulière des compétences et expériences des candidats est primordiale pour proposer des missions adaptées.
Le droit à l’effacement ou « droit à l’oubli » (article 17) permet de demander la suppression des données dans certains cas, notamment lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Une agence d’intérim doit prévoir des procédures techniques permettant de supprimer efficacement les données d’un candidat qui ne souhaite plus figurer dans ses fichiers.
Le droit à la limitation du traitement (article 18) offre la possibilité de geler temporairement l’utilisation des données sans les supprimer, par exemple pendant l’examen d’une contestation sur leur exactitude.
Le droit à la portabilité (article 20) permet de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un tiers. Pour une agence d’intérim, cela peut signifier l’obligation de fournir l’historique des missions et les évaluations dans un format standard comme XML ou CSV.
Le droit d’opposition (article 21) autorise la personne à s’opposer à tout moment au traitement de ses données, notamment lorsque celui-ci est fondé sur l’intérêt légitime du responsable de traitement. Un candidat peut ainsi refuser que son profil soit proposé à certaines entreprises ou pour certains types de missions.
Mise en place de procédures efficaces
Pour garantir l’exercice effectif de ces droits, l’agence d’intérim doit mettre en place des procédures opérationnelles adaptées :
Un point de contact identifié (adresse email dédiée, formulaire en ligne) pour recueillir les demandes d’exercice des droits. Les coordonnées de ce point de contact doivent figurer dans la politique de confidentialité.
Un processus de vérification d’identité pour s’assurer que la personne qui exerce un droit est bien celle concernée par les données, tout en évitant de demander des informations excessives.
Des délais de réponse conformes au RGPD : en principe un mois, pouvant être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes, à condition d’en informer la personne concernée.
Des outils techniques permettant d’extraire, de modifier ou de supprimer facilement les données d’un candidat dans l’ensemble des systèmes de l’agence (base de données principale, archives, sauvegardes).
Une traçabilité des demandes et des réponses apportées, permettant de démontrer la conformité en cas de contrôle.
Dans le cas particulier des décisions automatisées, comme l’utilisation d’algorithmes de matching pour présélectionner des candidats, l’agence doit garantir le droit de la personne à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Cela implique généralement une validation humaine des propositions générées par le système.
Pour les traitements fondés sur le consentement, l’agence doit offrir un moyen simple de retirer ce consentement à tout moment, par exemple via un lien de désabonnement dans les communications électroniques ou un espace personnel en ligne.
Face à des demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’agence peut exiger le paiement de frais raisonnables ou refuser de donner suite à la demande, mais elle doit alors motiver sa décision et informer la personne concernée de son droit de saisir l’autorité de contrôle.
Stratégies pratiques pour une conformité durable
Au-delà des aspects purement juridiques, la conformité au RGPD représente pour les agences d’intérim un projet organisationnel global nécessitant une approche structurée et des outils adaptés. Cette démarche doit s’inscrire dans la durée pour faire face aux évolutions réglementaires et technologiques.
Documentation et gouvernance des données
La mise en place d’une gouvernance solide des données constitue le fondement d’une conformité pérenne. Pour une agence d’intérim, cela implique plusieurs éléments clés :
Le registre des activités de traitement, document obligatoire prévu par l’article 30 du RGPD, doit recenser de manière exhaustive tous les traitements de données personnelles réalisés par l’agence. Pour le secteur de l’intérim, ce registre doit notamment documenter :
- La gestion des candidatures et des profils
- L’établissement des contrats de mission
- La gestion de la paie et des avantages sociaux
- Le suivi des compétences et des performances
- La prospection commerciale auprès des candidats
- Les relations avec les entreprises utilisatrices
Pour chaque traitement, le registre précise les finalités, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité mises en œuvre.
La désignation d’un Délégué à la Protection des Données (DPO) peut s’avérer pertinente, voire obligatoire pour les agences d’intérim traitant des données à grande échelle. Ce DPO, interne ou externe, joue un rôle de conseil, de supervision et de médiation avec l’autorité de contrôle et les personnes concernées.
La réalisation d’analyses d’impact relatives à la protection des données (AIPD) pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Dans le secteur de l’intérim, ces analyses peuvent concerner :
L’utilisation de systèmes d’évaluation automatisée des candidats
Le profilage basé sur les performances passées
Le traitement à grande échelle de données sensibles (par exemple pour des missions dans le secteur médical)
Formation et sensibilisation du personnel
La conformité repose en grande partie sur les pratiques quotidiennes des collaborateurs de l’agence. Un programme de formation et de sensibilisation doit être déployé à plusieurs niveaux :
Une formation initiale pour tous les nouveaux collaborateurs, présentant les principes fondamentaux du RGPD et les procédures spécifiques à l’agence
Des formations spécialisées pour les consultants en recrutement, abordant des sujets comme la collecte minimale de données, la gestion du consentement ou les réponses aux demandes d’exercice des droits
Des mises à jour régulières pour tenir compte des évolutions réglementaires et jurisprudentielles
Des supports pratiques (guides, fiches réflexes) facilement accessibles pour accompagner les équipes dans leurs tâches quotidiennes
Ces formations doivent être documentées et leur efficacité évaluée régulièrement, par exemple à travers des tests de connaissances ou des simulations de situations réelles (demande d’accès, notification de violation de données).
Audit et amélioration continue
La conformité au RGPD n’est pas un état figé mais un processus d’amélioration continue. Les agences d’intérim doivent mettre en place des mécanismes d’évaluation régulière :
Des audits internes périodiques pour vérifier l’application effective des procédures et identifier les écarts
Des contrôles techniques sur les systèmes d’information (tests d’intrusion, revue des droits d’accès)
Une veille juridique sur les évolutions du droit de la protection des données et les décisions de la CNIL concernant le secteur de l’intérim
Un suivi des incidents de sécurité et des demandes d’exercice des droits pour identifier les axes d’amélioration
La mise en œuvre d’un plan d’action correctif avec des responsabilités et des échéances clairement définies
Pour les agences appartenant à des groupes internationaux, la coordination avec les entités situées dans d’autres pays est primordiale pour garantir une approche cohérente tout en tenant compte des spécificités locales en matière de protection des données.
L’intégration de la protection des données dès la conception (privacy by design) et par défaut (privacy by default) dans tous les nouveaux projets et outils utilisés par l’agence permet d’anticiper les enjeux de conformité plutôt que d’y remédier a posteriori.
Enfin, la valorisation des efforts de conformité auprès des candidats et des entreprises utilisatrices peut constituer un avantage concurrentiel significatif. Une communication transparente sur les pratiques de protection des données renforce la confiance et distingue l’agence dans un marché hautement compétitif.
