Recrutement via réseaux sociaux : quelles données collecter légalement ?
Réponse courte
Le recrutement via réseaux sociaux est autorisé mais strictement encadré par le RGPD et l'article L.121-6 du Code du travail. Seules les données professionnellement pertinentes au poste à pourvoir peuvent être collectées : parcours, compétences, formations, publications professionnelles.
Les réseaux à finalité personnelle (Facebook, Instagram) doivent être évités : la collecte d'informations privées y serait disproportionnée et contraire au principe de minimisation. Les données sensibles (opinions politiques, syndicales, religieuses, orientation sexuelle, santé) ne peuvent jamais être collectées, même si elles sont visibles sur le profil. Le candidat doit être informé du recours à de telles sources.
Définition
Le sourcing via réseaux sociaux est la pratique consistant pour un recruteur à utiliser des plateformes en ligne pour identifier, évaluer ou pré-sélectionner des candidats. La collecte de données issues de ces plateformes constitue un traitement au sens de l'article 4 du RGPD et engage la responsabilité de l'employeur.
Au Luxembourg, l'article L.121-6 exige que les questions et informations recueillies à l'embauche présentent un lien direct et nécessaire avec l'aptitude du candidat à occuper le poste.
Conditions d’exercice
Le sourcing doit respecter l'article L.121-6 du Code du travail (lien direct avec le poste), le principe de minimisation (art. 5 RGPD), l'interdiction absolue des données sensibles (art. 9 RGPD) et l'information du candidat via l'article 14 du RGPD, en se limitant aux plateformes professionnelles.
| Principe | Détail |
|---|---|
| Pertinence | Lien direct avec le poste à pourvoir (art. L.121-6) |
| Minimisation | Limitation aux données strictement nécessaires |
| Source professionnelle | Privilégier LinkedIn, Xing, sites professionnels |
| Exclusion | Pas de réseaux personnels (Facebook, Instagram, TikTok) |
| Données sensibles | Interdiction absolue de collecte |
| Information | Notice au candidat (art. 14 RGPD) |
Modalités pratiques
Le recrutement via les réseaux sociaux doit faire l'objet d'une politique écrite définissant les sources autorisées, une formation des recruteurs, une notice au candidat (art. 14 RGPD) et la suppression des informations collectées à la fin du processus.
| Étape | Détail |
|---|---|
| Politique interne | Document définissant les sources autorisées |
| Formation des recruteurs | Sensibilisation aux limites du sourcing |
| Notice d'information | Mention dans l'offre d'emploi |
| Tri | Conservation des seules informations pertinentes |
| Documentation | Trace des sources et données retenues |
| Suppression | Effacement à la fin du processus de recrutement |
Pratiques et recommandations
Limiter le sourcing aux plateformes professionnelles dont la finalité même est le recrutement et la mise en relation professionnelle.
Bannir la consultation des réseaux personnels qui ne contiennent par nature aucune information pertinente pour l'évaluation des compétences.
Former les recruteurs internes et externes aux principes du RGPD et aux limites posées par l'article L.121-6.
Informer le candidat dans la notice de l'offre d'emploi du recours éventuel à des sources publiques pour évaluer sa candidature.
Documenter les éléments retenus et la décision prise, afin de pouvoir répondre à une demande d'accès ou à une réclamation devant la CNPD.
Cadre juridique
Plusieurs textes encadrent la pratique du sourcing.
| Référence | Objet |
|---|---|
| Art. 5 RGPD | Principes de minimisation et finalité |
| Art. 9 RGPD | Interdiction des traitements de données sensibles |
| Art. 14 RGPD | Information de la personne quand les données ne sont pas collectées auprès d'elle |
| Art. L.121-6 Code du travail | Pertinence des informations demandées au candidat |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Délibérations CNPD | Doctrine sur le recrutement et la protection des candidats |
Note
La consultation de profils privés ou la collecte de données sensibles peut conduire à une plainte du candidat devant la CNPD et engager la responsabilité de l'employeur. La sanction peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.