← Article précédent
Télécharger en PDF
Article suivant →

Peut-on partager le dossier candidat avec une entité tierce ?

Réponse courte

Le partage du dossier candidat avec une entité tierce n'est possible qu'avec le consentement explicite préalable du candidat et dans le strict respect du RGPD et du Code du travail luxembourgeois. Ce partage doit être limité aux données strictement nécessaires, documenté et sécurisé, sous peine de sanctions pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

Définition

Le dossier candidat regroupe l'ensemble des informations et documents collectés dans le cadre d'un recrutement : CV, lettre de motivation, résultats d'entretiens, tests d'évaluation et références. Une entité tierce désigne tout organisme externe à l'entreprise recruteuse (cabinet de recrutement, prestataire RH, société du groupe) susceptible d'intervenir dans le processus de recrutement.

Conditions d’exercice

Le partage est soumis aux conditions cumulatives suivantes :

  • Consentement explicite et spécifique du candidat avant tout partage
  • Finalité déterminée et légitime liée au processus de recrutement
  • Limitation aux données strictement nécessaires (principe de minimisation)
  • Information claire sur les destinataires et l'utilisation prévue
  • Mise en place de garanties techniques et organisationnelles appropriées
  • Encadrement contractuel conforme à l'article L.261-1 du Code du travail

Modalités pratiques

L'employeur doit mettre en œuvre les actions suivantes :

  • Établir une politique écrite de partage des données candidats
  • Recueillir le consentement via un formulaire dédié et traçable
  • Conclure un contrat de sous-traitance conforme au RGPD
  • Implémenter des mesures de sécurité pour les transferts
  • Maintenir un registre des activités de traitement
  • Définir des durées de conservation limitées

Pratiques et recommandations

Pour une gestion optimale, il est recommandé de :

  • Désigner un responsable du contrôle des partages de données
  • Réaliser une analyse d'impact préalable pour les traitements à risque
  • Mettre en place une procédure de validation à plusieurs niveaux
  • Effectuer des audits réguliers des pratiques des sous-traitants
  • Former régulièrement le personnel impliqué
  • Documenter chaque étape du processus de partage

Cadre juridique

  • Code du travail luxembourgeois :

    • Art. L.261-1 sur la protection des données personnelles au travail
    • Art. L.261-2 relatif au respect de la vie privée
    • Art. L.415-10 concernant l'égalité de traitement
    • Art. L.271-1 sur la confidentialité des données

  • Loi du 1er août 2018 portant organisation de la CNPD :

    • Art. 12 sur les pouvoirs de contrôle et de sanction
    • Art. 51 sur les amendes administratives

  • RGPD (applicable au Luxembourg) :

    • Art. 6 sur la licéité du traitement
    • Art. 28 sur la sous-traitance
    • Art. 32 sur la sécurité du traitement
    • Art. 83 sur les sanctions

Note

La violation des règles de protection des données expose l'employeur à des sanctions significatives de la CNPD. Une documentation rigoureuse du consentement et des transferts constitue la meilleure protection en cas de contrôle.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 29.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...