Quelles données personnelles peuvent être collectées auprès d'un candidat conformément au RGPD au Luxembourg ?
Réponse courte
Seules les données strictement nécessaires à l'évaluation des compétences et de l'aptitude professionnelle peuvent être collectées : identité complète, formation, expérience, compétences techniques, diplômes pertinents et références professionnelles.
Les données sensibles (article 9 RGPD) sont absolument interdites : origine raciale/ethnique, opinions politiques/religieuses, appartenance syndicale, données génétiques/biométriques, santé, vie/orientation sexuelle, sauf exception légale expresse documentée. Les questions sur la situation familiale, le nombre d'enfants ou la grossesse sont également prohibées.
La CNPD intensifie ses contrôles avec des amendes pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. La conformité exige une documentation rigoureuse et une transparence totale envers les candidats.
Définition
La collecte de données personnelles lors d'un entretien d'embauche englobe toute information permettant d'identifier directement ou indirectement un candidat : état civil, coordonnées, parcours professionnel, formation, compétences, ainsi que toute donnée pertinente pour évaluer l'aptitude au poste.
Ces données sont protégées par le RGPD (Règlement général sur la protection des données) et par les articles L.251-2 et L.241-2 du Code du travail luxembourgeois. La distinction entre données ordinaires (CV, expérience) et données sensibles (article 9 RGPD) est fondamentale, ces dernières bénéficiant d'une protection renforcée avec interdiction de principe et exceptions strictement encadrées.
Le principe de minimisation impose que seules les données ayant un lien direct avec l'évaluation professionnelle du poste peuvent être collectées, excluant toute donnée relative à la vie privée sans rapport avec les compétences requises.
Questions fréquentes
Conditions d’exercice
Principe de minimisation (articles 5 et 6 RGPD, article L.251-2 Code du travail) : L'employeur ne peut collecter que les données strictement nécessaires à l'évaluation professionnelle. Chaque donnée doit répondre à trois critères cumulatifs :
- Pertinence : lien direct avec les missions du poste
- Proportionnalité : adéquation entre l'information et l'objectif
- Nécessité : impossibilité d'évaluer sans cette donnée
Tableau comparatif : Données ordinaires vs. Données sensibles
| Catégorie | Exemples | Base légale | Collecte autorisée |
|---|---|---|---|
| Données ordinaires | Nom, diplômes, expérience, compétences | Art. 6 RGPD (intérêt légitime employeur) | OUI, si pertinentes pour le poste |
| Données sensibles | Origine, religion, santé, orientation sexuelle | Art. 9 RGPD (interdiction de principe) | NON, sauf exception légale expresse |
| Données conditionnelles | Permis de conduire, titre de séjour | Art. 6 RGPD (nécessité contractuelle) | OUI, uniquement si exigé par le poste |
Données sensibles (article 9 RGPD et L.251-2 Code du travail) : Interdiction absolue sauf :
- Obligation légale expresse (exemple : handicap pour aménagements raisonnables)
- Consentement explicite écrit du candidat (cas très limités)
- Nécessité démontrée pour le poste avec documentation complète
Égalité de traitement (articles L.241-1 et L.251-2) : Mêmes données collectées pour tous les candidats à un poste identique, sans discrimination fondée sur le sexe, l'âge, l'origine ou tout autre critère protégé.
Modalités pratiques
Données autorisées systématiquement :
- Identification : nom, prénom, date de naissance, coordonnées complètes
- Formation : diplômes, certifications, formations continues pertinentes
- Expérience : postes occupés, durée, responsabilités exercées
- Compétences : techniques, linguistiques, informatiques, relationnelles
- Disponibilité : date de prise de poste, mobilité géographique
Données conditionnelles (selon le poste) :
- Permis de conduire : uniquement si conduite requise pour les missions
- Titre de séjour/autorisation de travail : pour ressortissants pays tiers uniquement
- Références professionnelles : avec accord préalable du candidat
- Portfolio/réalisations : pour postes créatifs/techniques spécifiques
Données strictement interdites :
- Situation familiale, nombre d'enfants, projet de grossesse
- Origine ethnique, nationalité (sauf vérification droit au travail)
- Opinions politiques, syndicales, religieuses ou philosophiques
- Orientation sexuelle, identité de genre, vie privée
- État de santé, antécédents médicaux, informations génétiques
- Données financières personnelles (sauf fonction comptable sensible)
Tableau : Délais et obligations légales
| Obligation | Délai/Durée | Base légale |
|---|---|---|
| Information du candidat | Avant la collecte | Art. 13-14 RGPD |
| Conservation candidatures non retenues | Maximum 2 ans | Art. 5 RGPD |
| Notification violation de données | 72 heures | Art. 33 RGPD |
| Réponse demande d'accès candidat | 1 mois (extensible à 3 mois) | Art. 15 RGPD |
Information obligatoire du candidat (articles 13-14 RGPD) :
- Nature et finalité précise de la collecte
- Base légale du traitement (intérêt légitime, nécessité contractuelle)
- Durée de conservation des données (maximum 2 ans pour candidatures non retenues)
- Destinataires et transferts éventuels des données
- Droits : accès, rectification, effacement, opposition, portabilité, réclamation CNPD
Pratiques et recommandations
Cartographier toutes les données collectées et vérifier leur nécessité réelle par rapport au poste, en éliminant toute donnée non essentielle. Créer des trames d'entretien standardisées excluant les questions interdites et former les recruteurs aux biais inconscients et aux risques discriminatoires. Remettre systématiquement avant l'entretien une notice d'information RGPD sur le traitement des données personnelles, les droits du candidat et les coordonnées du délégué à la protection des données.
Documenter par écrit chaque catégorie de données collectées, établir un registre des traitements conforme et justifier les bases légales retenues. Pour les tests psychotechniques, obtenir un consentement explicite écrit, démontrer le lien avec le poste et faire interpréter les résultats par un professionnel qualifié.
Sécuriser les données sensibles par chiffrement, limiter l'accès aux personnes habilitées, journaliser les consultations et prévoir la destruction sécurisée après expiration des délais légaux avec un plan de notification CNPD sous 72 heures. Toute décision de recrutement basée sur un traitement automatisé nécessite une intervention humaine substantielle pour garantir l'équité et la transparence.
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD) | Cadre général de protection des données personnelles |
| Article 5 RGPD | Principes relatifs au traitement (licéité, minimisation, limitation) |
| Article 6 RGPD | Bases légales du traitement (intérêt légitime, nécessité contractuelle) |
| Article 9 RGPD | Traitement des données sensibles (interdiction et exceptions) |
| Articles 13-14 RGPD | Obligations d'information du responsable de traitement |
| Article 22 RGPD | Décisions automatisées (droit à intervention humaine) |
| Article L.241-1 Code du travail | Principe d'égalité de traitement et non-discrimination |
| Article L.241-2 Code du travail | Champ d'application (recrutement, sélection, conditions d'accès) |
| Article L.251-2 Code du travail | Non-discrimination dans les conditions de recrutement |
| Loi du 1er août 2018 | Organisation de la CNPD et application nationale du RGPD |
| Article 83 RGPD | Amendes administratives (jusqu'à 20M€ ou 4% CA mondial) |
Note
La CNPD luxembourgeoise exerce des contrôles réguliers sur le recrutement avec une attention particulière sur la conservation excessive des CV et le "droit à l'oubli" après deux ans. La conformité RGPD constitue une obligation que les employeurs doivent intégrer pleinement dans leurs processus de recrutement.