numero-75-titles

Afin de s’assurer de la qualité et de la fiabilité des candidats, la majorité des employeurs souhaite effectuer un certain nombre de vérifications, que ce soit auprès d’anciens employeurs ou en consultant le casier judiciaire de leurs futurs employés. A cet égard, l’employeur peut également faire appel à des prestataires de services spécialisés dans l’offre de support pour ce type de vérifications. Or, la réglementation en matière de protection des données à caractère personnel encadre strictement ce type de background checks. Nous proposons ci-après un bref aperçu des conditions que les futurs employeurs doivent respecter.

Est considérée comme une donnée à caractère personnel toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant un individu identifié ou identifiable. Tout traitement de données à caractère personnel dont un employeur (ou futur employeur) établi au Luxembourg (1) détermine les finalités et les moyens doit notamment se conformer aux règles édictées par la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, telle que modifiée (la loi de 2002). Ceci vaut également pour les vérifications portant sur des candidats potentiels dans le cadre du processus de recrutement.

Au-delà des obligations générales qui résultent de cette loi, telles que l’obligation qu’un traitement de données personnelles soit licite, légitime et proportionnel aux finalités recherchées, la nécessité d’effectuer les formalités requises auprès de la Commission Nationale pour la Protection des Données (CNPD) ou l’obligation de fournir une information adéquate aux personnes concernées, certaines pratiques courantes en matière de recrutement méritent une analyse plus spécifique.

Les vérifications auprès d’anciens employeurs

Il est de coutume de vérifier les références d’un candidat avant son embauche, y compris auprès d’anciens employeurs. Le CV renseigne sur l’identité des anciens employeurs, ce qui permet en principe de prendre facilement contact avec eux. La CNPD considère cependant que si le recruteur souhaite contacter un ancien employeur, le candidat doit donner son accord à cet égard. L’indication d’une personne de contact spécifique dans le CV (en plus d’une référence générique à l’ancien employeur) vaut à notre sens accord de contacter cette personne.

Dans le cadre des renseignements demandés, l’employeur doit toujours respecter le principe de la proportionnalité: seules les informations nécessaires pour identifier la qualité et l’honorabilité du candidat peuvent être demandées. Se renseigner sur l’épouse du candidat n’est généralement pas pertinent dans le cadre de l’embauche de l’époux, sauf dans des cas particuliers (par exemple : cas particuliers dans le domaine financier).

Les extraits du casier judiciaire

De plus en plus d’employeurs souhaitent également obtenir un extrait du casier judiciaire de leurs futurs employés. Ces données, qui qualifient de données judiciaires au sens de la loi de 2002, bénéficient d’une protection accrue (tout comme d’autres données sensibles telles que les convictions religieuses). Les données judiciaires ne peuvent être traitées qu’en exécution d’une disposition légale. Or, jusqu’à l’entrée en vigueur de la loi du 29 mars 2013 relative à l’organisation du casier judiciaire, aucune disposition générale ne permettait aux futurs employeurs de traiter les données judiciaires et, partant, de demander un extrait du casier judiciaire.

Si aujourd’hui un employeur peut demander la copie du bulletin n° 2 du casier judiciaire aux candidats et aux employés existants, cette possibilité reste strictement encadrée. Sous le régime actuel, l’extrait du casier judiciaire doit en effet être fourni par la personne concernée à l’employeur, qui devra le détruire (ainsi que toute copie qu’il en aura effectuée) au plus tard vingt-quatre mois après la date d’établissement du bulletin (et non la date de remise à l’employeur). Il est donc fortement recommandé de mettre en place des procédures qui garantissent la destruction des extraits du casier judiciaire et de leurs copies en temps utile. Un projet de loi vise à encadrer plus strictement la possibilité pour les employeurs luxembourgeois de solliciter la commu-nication d’un extrait de casier judiciaire dans le cadre du recrutement et de la gestion du personnel. Une réforme que les employeurs et recruteurs devraient suivre de près.

La CNPD considère que si le recruteur souhaite contacter un ancien employeur, le candidat doit donner son accord à cet égard. L’indication d’une personne de contact spécifique dans le CV (en plus d’une référence générique à l’ancien employeur) vaut à notre sens accord de contacter cette personne.

Le recours à des sous-traitants

Certaines entreprises ont recours à des prestataires de services pour se faire assister dans les tâches liées au recrutement. Selon les circonstances, ces personnes peuvent agir en qualité de sous-traitants (donc agir seulement sur instruction de leur client) ou encore comme responsables du traitement (si elles définissent les finalités et les moyens du traitement). Si la loi de 2002 autorise le recours à des sous-traitants, elle énonce plusieurs obligations devant alors être respectées, et ce sous peine de sanctions pénales.

Si aujourd’hui un employeur peut demander la copie du bulletin n° 2 du casier judiciaire aux candidats et aux employés existants, cette possibilité reste strictement encadrée.

En premier lieu, la loi de 2002 impose qu’un contrat écrit soit conclu entre le responsable du traitement (c’est-à-dire, le futur employeur) et le sous-traitant (c’est-à-dire, le prestataire de services). Ce contrat doit contenir un certain nombre de clauses, notamment l’obligation pour le sous-traitant (i) de ne traiter les données personnelles que sur instruction du responsable du traitement et (ii) de mettre en place des mesures de sécurité organisationnelles et techniques adéquates pour garantir la sécurité et la confidentialité des données. Enfin, le responsable du traitement devra informer la personne concernée du transfert de ses données à caractère personnel à un sous-traitant.

L’obligation d’information

Dr Catherine Di Lorenzo PP/TMT Senior Associate Allen & Overy
Dr Catherine Di LorenzoPP/TMT Senior Associate Allen & Overy

En tant que responsable du traitement, une obligation d’informer toutes les personnes concernées de l’existence et des modalités du traitement envisagé de leurs données à caractère personnel incombe au futur employeur. Plus spécifiquement, les informations suivantes doivent au moins être fournies: l’identité du responsable du traitement, la ou les finalités déterminées du traitement auquel les données sont destinées et toute autre information supplémentaire nécessaire pour assurer à l’égard de la personne concernée un traitement loyal de ses données (telle que les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées, l’existence d’un droit d’accès aux données la concernant et de rectification de ces données, le transfert des données hors Union européenne, etc.).

Me Natalie Schall - IP/TMT Associate Allen & Overy
Me Natalie Schall - IP/TMT Associate Allen & Overy

Alors que la loi de 2002 ne prévoit pas de format spécifique selon lequel les informations devront être données au candidat, l’information devrait idéalement être fournie de façon à permettre à l’employeur d’apporter la preuve qu’il a respecté ses obligations légales (par exemple dans l’e-mail accusant réception de la candidature).

Finalement, l’employeur devra s’assurer que les formalités adéquates après de la CNPD ont été effectuées, ou encore analyser s’il peut bénéficier d’une exemption à cet égard.

S’il est admis que l’employeur a un intérêt légitime à vérifier si un candidat répond aux besoins d’un poste, les droits fondamentaux du candidat, qui sont entre autres protégés par la loi de 2002, doivent également être respectés. L’employeur doit donc se demander, pour chaque poste à pourvoir, quelles données sont nécessaires et utiles pour évaluer si un candidat cadre avec ce poste.

(1) Dans certaines circonstances, la loi luxembourgeoise peut également s’appliquer à des futurs employeurs établis en dehors du Grand-Duché de Luxembourg. Toutefois, ces aspects dépassent le cadre de cet article.