La digitalisation du secteur de l’intérim a considérablement modifié la façon dont les agences collectent, traitent et conservent les données des travailleurs temporaires. Face à cette évolution, le cadre juridique s’est renforcé, notamment avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018. Les agences d’intérim, en tant qu’intermédiaires entre les entreprises utilisatrices et les travailleurs, manipulent quotidiennement un volume considérable d’informations personnelles : CV, coordonnées, compétences, disponibilités, mais aussi parfois des données sensibles comme les informations bancaires ou médicales. Cette position particulière les soumet à des obligations spécifiques en matière de protection des données, dont le non-respect peut entraîner des sanctions administratives et financières substantielles.
Le cadre juridique applicable aux données des intérimaires
Les agences d’intérim évoluent dans un environnement juridique complexe qui encadre strictement leur utilisation des données personnelles des travailleurs temporaires. Au premier rang de ce dispositif figure le RGPD, texte fondateur qui a révolutionné l’approche de la protection des données en Europe. Ce règlement s’applique à toutes les entreprises traitant des données de personnes situées sur le territoire européen, indépendamment de leur localisation géographique.
En complément du RGPD, la loi Informatique et Libertés du 6 janvier 1978, modifiée à plusieurs reprises pour s’adapter aux évolutions technologiques et réglementaires, constitue le socle national de la protection des données personnelles. Cette loi précise les modalités d’application du RGPD en France et maintient certaines spécificités nationales.
Le Code du travail français comporte quant à lui des dispositions particulières concernant le travail temporaire. Les articles L.1251-1 et suivants définissent le cadre juridique de la relation triangulaire entre l’agence d’intérim, l’entreprise utilisatrice et le travailleur temporaire. Ces textes impactent indirectement la gestion des données personnelles en fixant les informations qui peuvent légitimement être collectées dans le cadre de cette relation de travail spécifique.
Les principes fondamentaux du RGPD appliqués à l’intérim
Le RGPD repose sur plusieurs principes cardinaux que les agences d’intérim doivent respecter :
- Le principe de licéité, loyauté et transparence : les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée
- Le principe de limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes
- Le principe de minimisation des données : seules les données strictement nécessaires au regard des finalités peuvent être collectées
- Le principe d’exactitude : les données doivent être exactes et tenues à jour
- Le principe de limitation de la conservation : les données ne peuvent être conservées sous une forme permettant l’identification des personnes que pendant une durée nécessaire aux finalités du traitement
Ces principes prennent une résonance particulière dans le secteur de l’intérim où la tentation peut être grande de constituer des bases de données extensives de candidats. La CNIL (Commission Nationale de l’Informatique et des Libertés) a d’ailleurs publié des recommandations spécifiques à l’attention des recruteurs, incluant les agences d’intérim, pour les guider dans l’application concrète de ces principes.
En cas de non-respect de ce cadre juridique, les sanctions peuvent être sévères : jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel mondial, sans compter les dommages réputationnels. En 2020, l’autorité de protection des données espagnole a ainsi infligé une amende de 35 000 euros à une agence d’intérim pour conservation excessive de données de candidats et défaut d’information.
Les obligations spécifiques des agences d’intérim en matière de collecte de données
Les agences d’intérim doivent respecter plusieurs obligations spécifiques lors de la collecte des données personnelles des travailleurs temporaires. Ces obligations commencent dès le premier contact avec le candidat et se poursuivent tout au long de la relation commerciale et professionnelle.
Tout d’abord, le principe de minimisation impose aux agences de ne collecter que les données strictement nécessaires à l’accomplissement de leurs missions. Concrètement, cela signifie qu’elles ne peuvent pas demander aux candidats des informations sans lien direct avec leur aptitude professionnelle ou leurs compétences. Par exemple, la collecte d’informations sur la situation familiale d’un candidat n’est généralement pas justifiée, sauf si elle est directement liée à des droits sociaux spécifiques.
L’obligation d’information constitue un autre pilier fondamental. Avant toute collecte, les agences doivent informer clairement les intérimaires sur :
- L’identité du responsable de traitement
- Les finalités du traitement
- La base juridique du traitement (consentement, exécution d’un contrat, obligation légale, etc.)
- Les destinataires des données
- La durée de conservation des données
- Les droits dont disposent les personnes concernées
Cette information doit être fournie de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Elle peut être communiquée via une politique de confidentialité sur le site web de l’agence, mais doit être portée à la connaissance des candidats avant la collecte effective des données.
Le consentement et les autres bases légales
Le consentement n’est pas la seule base légale sur laquelle une agence d’intérim peut fonder son traitement des données personnelles. Selon le contexte, d’autres bases légales peuvent être plus appropriées :
L’exécution d’un contrat : la majorité des traitements effectués par les agences d’intérim peuvent se justifier par la nécessité d’exécuter le contrat de mission temporaire. Cela inclut la gestion administrative du dossier, la paie, etc.
Le respect d’une obligation légale : certains traitements sont imposés par la législation du travail, comme la transmission d’informations aux organismes sociaux.
L’intérêt légitime du responsable de traitement : cette base légale peut justifier certains traitements comme la constitution d’une CVthèque, sous réserve que cet intérêt ne prévale pas sur les droits et libertés fondamentaux des personnes concernées.
Lorsque le consentement est choisi comme base légale, il doit être libre, spécifique, éclairé et univoque. Dans le contexte de l’intérim, où existe une asymétrie de pouvoir entre l’agence et le candidat, la CNIL recommande la plus grande prudence quant au recours au consentement, qui pourrait être considéré comme vicié si le candidat craint que son refus n’entrave ses chances d’obtenir une mission.
Les formulaires de collecte doivent clairement distinguer les champs obligatoires des champs facultatifs. Ils doivent proposer des options d’adhésion positives (opt-in) pour les traitements non essentiels comme l’envoi de newsletters ou le partage de données avec des partenaires. Un cas de jurisprudence notable a vu une agence d’intérim condamnée en 2019 pour avoir utilisé les coordonnées d’anciens intérimaires à des fins de prospection commerciale sans recueillir leur consentement préalable.
Le traitement et la conservation des données des intérimaires
Une fois les données collectées, les agences d’intérim doivent mettre en place des procédures strictes pour leur traitement et leur conservation. La question de la durée de conservation est particulièrement critique dans ce secteur où la tentation peut être forte de conserver indéfiniment les profils des candidats.
La CNIL a défini des durées de conservation recommandées pour le secteur du recrutement, qui s’appliquent aux agences d’intérim :
Pour les candidats non retenus : les données peuvent être conservées 2 ans maximum après le dernier contact avec le candidat, sauf consentement explicite pour une durée plus longue.
Pour les intérimaires ayant effectué des missions : les données nécessaires à la gestion administrative peuvent être conservées 5 ans après la fin de la dernière mission, conformément au délai de prescription en matière de salaires.
Certains documents doivent être conservés pour des durées spécifiques en vertu d’obligations légales : bulletins de paie (5 ans), documents relatifs aux cotisations sociales (3 à 6 ans selon les cas), etc.
Au-delà de ces périodes, les données doivent être soit supprimées, soit anonymisées de façon irréversible si l’agence souhaite les conserver à des fins statistiques.
La sécurité des données : une obligation de moyens renforcée
Les agences d’intérim manipulent des données sensibles (coordonnées bancaires, numéro de sécurité sociale, parfois données de santé pour certains postes) qui nécessitent des mesures de sécurité adaptées. Le RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
Ces mesures peuvent inclure :
- Le chiffrement des données sensibles
- La mise en place de droits d’accès différenciés selon les profils des utilisateurs
- Des procédures de sauvegarde régulière et de continuité d’activité
- Des audits de sécurité périodiques
- La formation du personnel aux bonnes pratiques en matière de protection des données
En cas de violation de données (accès non autorisé, perte, altération), l’agence doit notifier l’incident à la CNIL dans les 72 heures si cette violation est susceptible d’engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées doivent être directement informées.
Un cas exemplaire est celui d’une agence d’intérim majeure qui a subi en 2020 une attaque par rançongiciel ayant compromis les données de plusieurs milliers d’intérimaires. L’incident a donné lieu à une sanction de la CNIL pour insuffisance des mesures de sécurité, notamment l’absence de politique robuste de gestion des mots de passe et de chiffrement des données sensibles.
La sous-traitance constitue un autre point d’attention majeur. Les agences d’intérim font souvent appel à des prestataires externes pour la gestion de leurs systèmes d’information ou le traitement de la paie. Le RGPD impose de n’avoir recours qu’à des sous-traitants présentant des garanties suffisantes et de formaliser cette relation par un contrat spécifique détaillant les obligations de chaque partie en matière de protection des données.
Le partage des données avec les entreprises utilisatrices
La relation triangulaire caractéristique du travail temporaire soulève des questions spécifiques concernant le partage de données entre l’agence d’intérim et l’entreprise utilisatrice. Ce transfert d’informations est nécessaire à l’exécution de la mission, mais doit respecter le principe de minimisation et les droits des intérimaires.
Lorsqu’une agence d’intérim propose un candidat à une entreprise cliente, elle doit veiller à ne transmettre que les informations strictement nécessaires à l’évaluation de l’adéquation du profil avec le poste proposé. En pratique, cela se limite généralement au CV, aux compétences professionnelles et aux disponibilités du candidat. La transmission d’informations plus sensibles, comme des résultats de tests psychotechniques ou des appréciations subjectives, doit faire l’objet d’une attention particulière.
Le contrat de mise à disposition, qui lie l’agence d’intérim à l’entreprise utilisatrice, doit préciser les modalités de ce partage de données et les obligations respectives des parties. Il est recommandé d’y inclure des clauses spécifiques concernant :
- La finalité du partage de données
- Les catégories de données partagées
- Les mesures de sécurité à mettre en œuvre par l’entreprise utilisatrice
- L’interdiction de réutilisation des données pour d’autres finalités
- Les obligations en cas de violation de données
La qualification juridique du partage de données
Du point de vue du RGPD, le partage de données entre l’agence d’intérim et l’entreprise utilisatrice peut être qualifié de différentes manières selon les circonstances :
Il peut s’agir d’une communication de données à un tiers, l’entreprise utilisatrice étant alors considérée comme un destinataire distinct. Dans ce cas, l’agence d’intérim doit informer le travailleur temporaire de ce transfert au moment de la collecte des données.
Il peut parfois être considéré comme un cas de responsabilité conjointe de traitement, si l’agence et l’entreprise utilisatrice déterminent conjointement les finalités et les moyens du traitement. Cette situation impose la mise en place d’un accord spécifique définissant les obligations respectives des parties, notamment concernant l’exercice des droits des personnes concernées.
Plus rarement, l’entreprise utilisatrice peut être qualifiée de sous-traitant de l’agence d’intérim pour certains traitements spécifiques, ce qui nécessite là encore un encadrement contractuel précis.
La qualification juridique adéquate dépendra des circonstances concrètes de la relation entre les parties et de la nature des traitements effectués. Une analyse au cas par cas est souvent nécessaire pour déterminer le cadre juridique applicable.
Un arrêt notable de la Cour de justice de l’Union européenne (CJUE) a précisé en 2018 les critères de la responsabilité conjointe de traitement, soulignant qu’elle pouvait exister même en l’absence d’accès égal aux données personnelles par les différents acteurs. Cette jurisprudence peut s’appliquer à la relation entre agences d’intérim et entreprises utilisatrices dans certaines configurations.
Enfin, il faut noter que le consentement spécifique du travailleur temporaire peut être requis pour certains partages d’informations, notamment lorsqu’il s’agit de données sensibles ou que le partage excède ce qui est strictement nécessaire à l’exécution du contrat de mission.
Les droits des intérimaires et leur mise en œuvre pratique
Les travailleurs temporaires, comme toute personne dont les données sont traitées, bénéficient d’un ensemble de droits garantis par le RGPD et la loi Informatique et Libertés. Les agences d’intérim doivent non seulement respecter ces droits mais mettre en place des procédures efficaces pour faciliter leur exercice.
Le droit d’accès permet à l’intérimaire d’obtenir la confirmation que ses données sont traitées et, le cas échéant, d’accéder à ces données ainsi qu’à un ensemble d’informations sur les traitements (finalités, destinataires, durée de conservation, etc.). Ce droit est fondamental car il conditionne l’exercice des autres droits. En pratique, l’agence d’intérim doit être en mesure de fournir une copie des données dans un format compréhensible, dans un délai d’un mois à compter de la demande.
Le droit de rectification permet à l’intérimaire de faire corriger des données inexactes ou incomplètes. Ce droit prend une importance particulière dans le contexte de l’intérim, où l’exactitude des informations sur les compétences et l’expérience professionnelle est cruciale. Les agences doivent donc prévoir des procédures simples permettant aux intérimaires de mettre à jour leurs informations, par exemple via un espace personnel en ligne.
Le droit à l’effacement (ou « droit à l’oubli ») permet à l’intérimaire de demander la suppression de ses données sous certaines conditions, notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Ce droit n’est pas absolu et comporte des exceptions, particulièrement lorsque la conservation des données répond à une obligation légale.
Droits spécifiques et modalités d’exercice
Le droit à la limitation du traitement permet à l’intérimaire de demander la suspension temporaire du traitement de ses données dans certaines circonstances, par exemple pendant la vérification de l’exactitude de données contestées. Ce droit peut s’avérer utile lorsqu’un litige survient concernant les compétences ou l’expérience d’un candidat.
Le droit à la portabilité offre à l’intérimaire la possibilité de récupérer les données qu’il a fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Ce droit facilite la mobilité professionnelle en permettant aux travailleurs de réutiliser leurs données de profil auprès de différentes agences.
Le droit d’opposition permet à l’intérimaire de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données le concernant, notamment lorsque ce traitement est fondé sur l’intérêt légitime du responsable de traitement. Ce droit est particulièrement pertinent pour les traitements à des fins de prospection commerciale, auxquels l’intérimaire peut s’opposer sans condition.
Pour faciliter l’exercice de ces droits, les agences d’intérim doivent mettre en place des procédures claires et accessibles. Cela peut inclure :
- Un formulaire dédié sur le site web
- Une adresse email spécifique pour les demandes relatives aux données personnelles
- Des fonctionnalités d’auto-gestion dans l’espace personnel de l’intérimaire
- Une procédure de vérification d’identité pour garantir que les demandes émanent bien de la personne concernée
Un délai de réponse d’un mois maximum doit être respecté, avec possibilité de prolongation de deux mois supplémentaires en cas de demande complexe ou nombreuse, sous réserve d’en informer la personne concernée.
L’exercice de ces droits doit être gratuit, sauf en cas de demandes manifestement infondées ou excessives. Dans ce cas, l’agence peut exiger le paiement de frais raisonnables ou refuser de donner suite à la demande, mais elle doit alors justifier sa décision.
En cas de refus de faire droit à la demande d’un intérimaire, l’agence doit l’informer des motifs de ce refus et de la possibilité d’introduire une réclamation auprès de la CNIL ou de former un recours juridictionnel.
Vers une gouvernance éthique des données dans le secteur de l’intérim
Au-delà du strict respect des obligations légales, les agences d’intérim ont tout intérêt à développer une approche éthique et responsable de la gestion des données personnelles. Cette démarche répond à des enjeux de conformité mais constitue surtout un avantage compétitif dans un secteur où la confiance des candidats et des entreprises clientes est primordiale.
La mise en place d’une gouvernance des données efficace commence par la désignation d’un Délégué à la Protection des Données (DPD ou DPO). Si cette nomination n’est pas obligatoire pour toutes les agences d’intérim, elle est fortement recommandée dès lors que l’entreprise traite des données à grande échelle. Le DPO joue un rôle central dans la sensibilisation du personnel, la coordination des actions de mise en conformité et les relations avec la CNIL.
L’élaboration d’un registre des traitements constitue une étape fondamentale. Ce document, obligatoire pour la plupart des entreprises, recense l’ensemble des traitements de données personnelles mis en œuvre par l’agence. Il permet d’avoir une vision globale des flux de données et facilite l’identification des risques potentiels.
La réalisation d’analyses d’impact relatives à la protection des données (AIPD) peut être nécessaire pour certains traitements présentant des risques élevés. C’est notamment le cas lorsque l’agence utilise des technologies innovantes comme des algorithmes d’appariement entre candidats et offres, ou lorsqu’elle traite des données sensibles à grande échelle.
L’intégration de la protection des données dans les processus métier
Le concept de Privacy by Design (protection des données dès la conception) encourage les agences d’intérim à intégrer les exigences de protection des données dès la conception de leurs outils et processus. Concrètement, cela peut se traduire par :
- La mise en place de formulaires de collecte minimalistes, ne demandant que les informations strictement nécessaires
- Le développement de systèmes d’information intégrant des fonctionnalités de suppression automatique des données après expiration des durées de conservation
- L’implémentation de mécanismes de traçabilité permettant de suivre l’ensemble des opérations effectuées sur les données
La formation et la sensibilisation du personnel constituent un autre axe fondamental. Les consultants en recrutement, les chargés de relation client et le personnel administratif doivent être formés aux bonnes pratiques en matière de protection des données. Cette formation doit être régulièrement mise à jour pour tenir compte des évolutions réglementaires et technologiques.
L’audit régulier des pratiques permet d’identifier et de corriger d’éventuelles non-conformités. Ces audits peuvent être réalisés en interne par le DPO ou confiés à des prestataires spécialisés pour garantir un regard externe et objectif.
Enfin, la mise en place d’une politique de gestion des incidents de sécurité permet de réagir efficacement en cas de violation de données. Cette politique doit définir les rôles et responsabilités de chacun, les procédures de notification à la CNIL et aux personnes concernées, ainsi que les actions correctives à mettre en œuvre.
L’adoption d’une approche éthique de la gestion des données peut se traduire par l’obtention de certifications telles que la certification RGPD délivrée par la CNIL ou des labels sectoriels comme le label « Responsabilité Numérique » promu par certaines fédérations professionnelles du recrutement.
Plusieurs grands groupes d’intérim ont déjà fait de la protection des données un axe majeur de leur stratégie de responsabilité sociale d’entreprise, publiant des rapports détaillés sur leurs pratiques et s’engageant sur des standards allant au-delà des exigences légales. Cette tendance devrait s’accentuer dans les prochaines années, la confiance numérique devenant un facteur de différenciation de plus en plus important.
