Charte de protection des données personnelles

Objet de la Charte

Le Groupe Crédit Agricole (le « Groupe ») est attentif au respect de la réglementation relative à la protection des données personnelles, notamment en ce qui concerne les candidats[1] à un poste au sein du Groupe.

Dans le contexte de l’évolution de la réglementation relative à la protection des données personnelles liée à l’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018[2] (le « RGPD »), le Groupe a souhaité formaliser cette Charte de protection des données personnelles du Groupe Crédit Agricole en matière de recrutement (la « Charte »).

La Charte vise à informer les candidats des opérations de traitement dont leurs données personnelles font l’objet au sein du Groupe, des grands principes de protection applicables à ces traitements et de la manière dont le Groupe respecte les exigences de la réglementation.

[1] Le terme « candidat » désigne toute personne extérieure au Groupe qui contacte une entité du Groupe ou est contactée par une entité du Groupe en vue de présenter sa candidature à tout poste au sein d’une entité du Groupe, pour un contrat de travail ou pour tout autre type de contrat assimilé, y compris pour un contrat d’apprentissage ou un contrat de professionnalisation, ainsi que pour un stage.

[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

1. Définitions

Les définitions ci-dessous sont appliquées dans la Charte :

  1. données personnelles: toute information se rapportant à un candidat identifié ou identifiable. Les données personnelles peuvent être, par exemple, les coordonnées des candidats, leur CV ou leur lettre de motivation ;
  2. traitement: toute opération (ou ensemble d’opérations) effectuée sur des données personnelles, par exemple la collecte, l’organisation, la conservation, la modification, l’utilisation, la transmission, la diffusion ou l’effacement de données personnelles ;
  3. finalité: l’objectif pour lequel est réalisé un traitement de données personnelles. Dans le cadre de la présente Charte, les finalités des traitements des données personnelles sont mentionnées au paragraphe 3 ci-dessous ;
  4. destinataire: toute personne physique ou morale, toute autorité publique, tout service ou tout autre organisme qui reçoit communication des données personnelles ;
  5. responsable de traitement: l’entité qui définit la finalité d’un traitement de données personnelles et les moyens mis en œuvre pour réaliser ce traitement. En ce qui concerne les traitements des données personnelles des candidats, le responsable de traitement est l’entité du Groupe qui cherche à recruter ;
  6. sous-traitant: toute entité autre que le responsable de traitement qui traite des données personnelles pour le compte et sur les instructions du responsable de traitement. Une entité du Groupe peut donc être le sous-traitant d’une autre entité du Groupe. Sont ainsi considérées comme sous-traitants des entreprises fournissant des prestations informatiques ou de conseil au responsable de traitement, par exemple en matière de recrutement, ou chargées de services relatifs à la gestion des ressources humaines pour le compte du responsable de traitement.

2. Quels sont les principes de protection des données personnelles appliqués par le Groupe ?

Les données personnelles des candidats sont traitées dans le respect des principes de protection des données personnelles présentés ci-dessous :

  1. Licéité, loyauté et transparence des traitements : les données personnelles des candidats sont toujours collectées et traitées sur la base d’une justification particulière (la « base légale »). Aucun traitement contraire aux principes de cette Charte et du RGPD ne peut être réalisé. De plus, des informations claires, transparentes et complètes sont fournies aux candidats sur les traitements réalisés sur leurs données personnelles ;
  2. Limitation des finalités: les données personnelles des candidats sont toujours collectées et traitées pour des objectifs déterminés, et ce dès le début du traitement ;
  3. Minimisation des données: seules sont collectées les données personnelles des candidats qui sont strictement nécessaires pour atteindre les objectifs prévus. Aucune donnée personnelle superflue, compte tenu des traitements opérés, n’est collectée ou utilisée ;
  4. Exactitude: les données personnelles des candidats sont exactes et tenues à jour régulièrement. Toutes les mesures raisonnables sont mises en œuvre pour que les données personnelles inexactes soient rectifiées ou supprimées ;
  5. Limitation de la durée de conservation: les données personnelles des candidats ne sont pas conservées pendant une durée supérieure à celle qui est nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées ;
  6. Sécurité: les données personnelles des candidats sont conservées et traitées d’une manière garantissant leur sécurité et leur confidentialité.

3. Dans quels cas les données personnelles des candidats sont-elles utilisées ? Quelles sont les bases légales des traitements des données personnelles des candidats ?

Les traitements des données personnelles des candidats permettent au responsable de traitement :

  1. De gérer les candidatures, de mettre en œuvre et suivre les entretiens et le processus de sélection, de gérer les recommandations et références, le vivier de candidats et le pré-recrutement et d’établir les promesses d’embauche et les contrats.

Ces traitements sont basés sur le consentement des candidats. Le consentement d’un candidat à l’utilisation de ses données personnelles doit toujours être libre, informé et explicite (ce qui se traduit, en général, par un consentement fourni par écrit). A tout moment, les candidats peuvent décider de retirer leur consentement pour ces finalités. Toutefois ce retrait n’a pas de conséquences sur la validité des traitements déjà réalisés avec le consentement des candidats.

  1. De gérer les accès aux locaux et les éventuels dispositifs de vidéosurveillance des locaux.

Ces traitements sont justifiés par l’intérêt légitime qui consiste à assurer la sécurité des biens et des personnes (en temps réel et a posteriori). Dans ce cas, le candidat a la possibilité de s’opposer au traitement de ses données pour des raisons tenant à sa situation particulière (sauf à ce que le responsable du traitement ne prouve qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice).

Les traitements des données personnelles communiquées par les candidats ne sont pas basés sur du profilage.

4. Dans quels cas les candidats sont-ils tenus de communiquer leurs données personnelles ?

Certaines données personnelles peuvent être nécessaires pour l’examen des candidatures par le Groupe. Les candidats en seront informés lors de la collecte par un astérisque ou par un moyen équivalent.

En l’absence de fourniture de ces données, le responsable de traitement ne sera pas en mesure de traiter la candidature.

5. Qui sont les destinataires des données personnelles des candidats ?

Pour les besoins des traitements décrits ci-dessus, les données personnelles des candidats pourront dans certains cas être communiquées aux destinataires suivants :

  • Les entités du Groupe ;
  • Les sous-traitants informatiques, les éditeurs de tests de recrutement ou les sous-traitants en charge de la gestion des accès aux locaux et des éventuels dispositifs de vidéosurveillance ;
  • Les cabinets de recrutement.

Les entités du Groupe font appel à des sous-traitants qui présentent des garanties suffisantes pour que le traitement soit conforme aux principes du RGPD et pour que la confidentialité et la sécurité des données personnelles soient assurées.

Si un destinataire de données personnelles est situé dans un pays hors de l’Union européenne, le destinataire doit être soumis au respect d’une législation locale assurant un niveau de protection adéquat ou, pour les entreprises établies aux États-Unis, au respect du Privacy Shield (mécanisme d’auto-certification reconnu par la Commission européenne), ou à des garanties permettant d’assurer ce niveau de protection.

Ces garanties peuvent être des Clauses Contractuelles Types de protection des données personnelles adoptées par la Commission européenne (c’est-à-dire un contrat de transfert entre le responsable de traitement et un destinataire précisant les obligations du responsable de traitement et du destinataire dans le cas d’un transfert de données personnelles hors de l’Union européenne).

6. Comment est assurée la sécurité des données personnelles des candidats ?

Les solutions utilisées afin de conserver et traiter les données personnelles des candidats répondent à des prérequis de sécurité émis par la Direction des Systèmes d’Information du Groupe et sont soumises à des procédures de validation et d’audit rigoureuses.

Pour assurer la sécurité et la confidentialité des données personnelles des candidats, le Groupe a mis en place des mesures techniques et organisationnelles, et notamment :

  • Le contrôle des accès et des habilitations sur les équipements informatiques permettant les traitements des données personnelles des candidats ;
  • Des mesures de sécurisation des infrastructures techniques (poste de travail, réseau, serveur) et des données (sauvegarde, plan de continuité d’activité) ;
  • La limitation des personnes autorisées à traiter des données personnelles en fonction des finalités et des moyens prévus pour chaque traitement ;
  • Des obligations de confidentialité strictes imposées à ses sous-traitants ;
  • Des procédures ont été mises en place afin de réagir promptement dans le cas où les données personnelles des candidats feraient l’objet d’un incident de sécurité.

7. Quelles sont les durées de conservation des données personnelles des candidats ?

Les données personnelles des candidats relatives aux traitements de gestion des candidatures mentionnés au 1. du paragraphe 3 sont conservées pour une durée de dix-huit (18) mois à compter du dernier contact avec le Groupe.

Les données personnelles recueillies pour la gestion des accès aux locaux sont conservées pendant une durée de trois (3) mois. Les données personnelles recueillies pour la gestion des éventuels dispositifs de vidéosurveillance sont conservées pendant une durée de trente (30) jours.

Pendant toute la durée de conservation de ces données personnelles, l’accès aux données personnelles des candidats est limité aux seules personnes qui doivent y accéder, et qui disposent des habilitations correspondantes, selon les finalités des traitements prévus.

A l’issue de cette durée, les données personnelles des candidats seront effacées définitivement ou anonymisées de manière irréversible.

8. Quels sont les droits des candidats en matière de traitement de données personnelles ?

Tout candidat peut faire valoir, à tout moment, ses droits détaillés ci-dessous[1] :

  1. droit d’accès: les candidats peuvent obtenir des informations sur la nature, l’origine et l’usage des données personnelles qui les concernent. En cas de transmission de leurs données personnelles à des tiers, les candidats peuvent également obtenir des informations concernant l’identité ou les catégories des destinataires ;
  2. droit de rectification: les candidats peuvent demander que des données personnelles inexactes ou incomplètes soient rectifiées ou complétées ;
  3. droit à l’effacement: les candidats peuvent demander l’effacement de leurs données personnelles, notamment si les données personnelles ne sont plus nécessaires aux traitements effectués. Le responsable de traitement devra procéder à l’effacement des données personnelles dans les meilleurs délais, sauf dans les cas prévus par la règlementation ;
  4. droit à la limitation du traitement: les candidats peuvent demander que leurs données personnelles soient rendues temporairement inaccessibles afin de limiter leur traitement futur dans les situations prévues par le RGPD[2] ;
  5. droit d’opposition : les candidats peuvent s’opposer à certains traitements de leurs données personnelles pour des raisons tenant à leur situation particulière sauf s’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés du candidat ou pour la constatation, l’exercice ou la défense de droits en justice ;
  6. droit à la portabilité : les candidats peuvent demander à recevoir communication des données personnelles qu’ils ont fournies au responsable de traitement, dans un format informatique structuré et couramment utilisé. Ce droit à la portabilité ne peut s’exercer que lorsque le traitement de données personnelles est opéré à la suite du consentement du candidat.

Le responsable de traitement s’engage à ce que l’examen d’une demande d’exercice d’un droit présentée par un candidat soit effectué dans les délais prévus par le RGPD.

[1] Par ailleurs, les candidats dont les données personnelles font l’objet d’un traitement par un responsable de traitement établi en France ont la possibilité de donner des consignes sur le sort de leurs données personnelles en cas de décès.

[2] C’est-à-dire :

  1. a) lorsqu’un candidat conteste l’exactitude de ses données personnelles (par exemple dans le cas d’une erreur en lien avec l’état civil du candidat), pendant une durée permettant au responsable du traitement de vérifier l’exactitude de ces données ;
  2. b) lorsque le traitement est illicite, et si le candidat s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ;
  3. c) lorsque les données personnelles n’ont plus de raison d’être conservées, mais que les candidats souhaitent que ces données personnelles soient conservées par le responsable de traitement pour l’exercice ou la défense de droits en justice ;
  4. d) lorsque le candidat s’est opposé au traitement, pendant la durée nécessaire pour vérifier si les motifs légitimes poursuivis par le responsable de traitement prévalent sur ceux du candidat.

9. Point de contact

Pour obtenir les coordonnées du délégué à la protection des données (« Data Protection Officer » ou « DPO »), pour obtenir copie des garanties appropriées mentionnées au paragraphe 5 et pour exercer les droits mentionnés au paragraphe 8, les candidats peuvent contacter :

Délégué à la protection des données
10 av FOCH BP 369
59020 LILLE
dpo@ca-norddefrance.fr

Les candidats peuvent également adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL), dont le siège se trouve 3 Place de Fontenoy – 75007 Paris, dans le cas où ils considèrent qu’un traitement de données personnelles ne respecte pas la réglementation sur la protection des données personnelles.

10. Application et modification de la Charte

La Charte est applicable à compter du 25 mai 2018.

La Charte est publiée sur le site internet https://recrutement.ca-norddefrance.fr/ à l’adresse suivante : https://recrutement.ca-norddefrance.fr/rgpd/

Elle pourra être mise à jour, notamment en cas d’évolution de la réglementation ou des traitements.