← Article précédent
Télécharger en PDF
Article suivant →

La CNPD doit-elle être consultée pour traiter les données des candidats ?

Réponse courte

Non, la consultation préalable de la CNPD n'est pas obligatoire pour le traitement standard des données de candidature. Elle devient nécessaire uniquement si une analyse d'impact (AIPD) révèle un risque élevé résiduel non maîtrisable pour les droits et libertés des personnes.

Définition

Le traitement des données de candidature désigne toute opération effectuée sur des informations relatives à des personnes physiques identifiables dans le cadre d'un processus de recrutement. Cela comprend la collecte, l'enregistrement, la conservation, la consultation et la destruction des CV, lettres de motivation et autres documents de candidature.

Conditions d’exercice

Le traitement doit respecter les principes fondamentaux du RGPD et du droit luxembourgeois :

  • Base légale : exécution de mesures précontractuelles ou intérêt légitime
  • Finalité déterminée et explicite liée au recrutement
  • Minimisation des données collectées
  • Durée de conservation limitée
  • Sécurité et confidentialité garanties

Une AIPD est obligatoire si le traitement implique :

  • L'utilisation de technologies innovantes (IA, algorithmes)
  • Une évaluation systématique et automatisée des candidats
  • Le traitement à grande échelle de données sensibles

Modalités pratiques

L'employeur doit :

  • Documenter la conformité du traitement dans le registre des activités
  • Informer les candidats sur le traitement de leurs données
  • Mettre en place des mesures techniques et organisationnelles appropriées
  • Encadrer l'accès aux données par le personnel RH
  • Prévoir des procédures d'exercice des droits des candidats

En cas d'AIPD révélant un risque élevé non maîtrisable, l'employeur doit :

  • Consulter la CNPD avant de débuter le traitement
  • Fournir une description détaillée du traitement envisagé
  • Attendre l'avis ou les recommandations de la CNPD

Pratiques et recommandations

Il est conseillé de :

  • Établir une politique de conservation claire (6-24 mois maximum après le recrutement)
  • Former régulièrement le personnel RH à la protection des données
  • Privilégier des outils de recrutement certifiés RGPD
  • Documenter toutes les mesures de conformité mises en place
  • Réaliser des audits réguliers des pratiques de traitement

Cadre juridique

  • Articles 35 et 36 du RGPD relatifs à l'AIPD et à la consultation préalable
  • Articles 63 à 65 de la loi luxembourgeoise du 1er août 2018 sur la CNPD
  • Articles L.261-1 à L.261-4 du Code du travail luxembourgeois
  • Lignes directrices de la CNPD sur les AIPD (délibération n°A23/2018)

Note

Même sans consultation obligatoire de la CNPD, l'employeur reste responsable de la conformité du traitement. En cas de doute sur le niveau de risque, il est recommandé de solliciter l'avis de la CNPD à titre consultatif.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 29.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...