Candidats : comment protéger vos données personnelles lorsque vous postulez ?

Arnaque à la fausse annonce d’emploi

La farce est grosse comme un poisson d’avril. Pourtant les conséquences sont bien moins drôles pour celui ou celle qui se fait attraper. « L’hameçonnage » ou « le phishing » consiste à obtenir du candidat au recrutement qu’il transmette ses coordonnées bancaires ou d’autres informations sensibles. Depuis quelques temps, avec en appât une fausse annonce de recrutement, des cybers délinquants se livrent à un véritable pillage de données personnelles. « Il est difficile d’obtenir des chiffres précis sur les arnaques au recrutement, reconnaît Éric Delisle. Sur les 15 000 plaintes reçues en moyenne par an à la CNIL (Commission nationale de l’informatique et des libertés, ndlr), 1 500 seulement concernent le secteur du travail. Le recrutement représente une très faible part de ces plaintes. Les fausses annonces d’emploi sont assez peu répandues en France, contrairement aux États-Unis. »

Lorsqu’il y a fraude, le plus souvent, l’escroc cherche à collecter des éléments d’identité (carté d’identité, passeport, numéro de sécurité sociale) ou encore des données bancaires (RIB ou paiement d’acomptes). « Cela intervient très majoritairement au stade de la contractualisation, en bout de processus de recrutement, observe-t-il. Néanmoins, le Code du travail encadre très fermement les documents qui peuvent être demandés au candidat, il y a donc un certain nombre de garde-fous. » Difficile pourtant de se prémunir contre une telle escroquerie. « Malheureusement, c’est une fois le candidat escroqué, qu’il s’aperçoit que ses données ont été exploitées à des fins de vol bancaire ou d’usurpation d’identité, déplore l’expert. À moins de redoubler de vigilance, il est difficile de se prémunir contre ce type de délit. »

Recrutement : la pêche massive aux données personnelles

Il y a bien sûr de gros poissons dans l’océan, mais d’autres petits recruteurs nagent aussi très subtilement entre les mailles du filet. Cette fois, il n’est pas question de vous vider votre compte en banque, mais plutôt de vous absorber quelques données personnelles qui pourraient être utiles à l’entreprise. La pêche n’est pas massive, elle est bien plus discrète, mais au bout de la ligne, c’est bien le recruteur qui vous tient. Orientation sexuelle, politique, appartenance à un syndicat ou situation familiale, certains recruteurs n’hésitent pas à s’aventurer en eaux troubles. « Le principe de base en matière de données personnelles est assez simple, explique Éric Delisle. Les informations demandées au candidat doivent être utiles pour apprécier vos aptitudes personnelles ou votre capacité à occuper le poste. C’est évidemment un peu plus personnel lorsqu’on aborde la question des soft skills. En revanche, tout ce qui touche à la vie privée, à l’apparence physique (sauf si c’est un élément essentiel du job visé), aux origines ou encore aux informations bancaires ou médicales n’ont absolument pas leur place en processus de recrutement. C’est tout simplement de la discrimination. »

Il existe également une pratique peu répandue en France, mais bien plus aux États-Unis, qui consiste pour une entreprise à créer de fausses annonces d’emploi pour récolter des données sur de nombreux profils de candidats. « Cela permet au recruteur de se constituer un précieux vivier de recrutement pour l’avenir, explique l’expert. Le plus souvent, le candidat ne s’aperçoit pas que l’annonce ne porte pas sur un poste réel à pourvoir. Il reçoit simplement une réponse négative à sa candidature. Ce n’est que dans l’hypothèse où cette même offre d’emploi est récurrente, voire constamment en ligne, qu’elle peut éveiller les soupçons. »

Candidats : les bons réflexes pour protéger vos données personnelles

Phishing ou pêche aux informations plus subtile : ne vous faites pas avoir ! Ne vous laissez pas porter naïvement par le courant mais, au contraire, restez vigilant. La ligne à suivre pour éviter de se faire piller ses données est de garder en tête tout au long du processus de recrutement que les informations requises doivent être strictement en lien avec le poste.

1. Communiquez les seules informations nécessaires

Entre l’entretien, les échanges par mails et les documents à joindre à votre CV, il en faut peu pour glisser une information personnelle en recrutement. Pour éviter de déborder sur un terrain sensible, n’oubliez pas que le recruteur doit se contenter de mesurer vos aptitudes professionnelles. Tous les éléments qu’il cherche à connaître doivent donc être en lien avec la fiche de poste pour laquelle vous postulez.

Ainsi, il n’est pas surprenant que le recruteur aille à la pêche aux informations telles que :

• Votre identité et vos coordonnées pour vous joindre (nom, prénom, email, téléphone) ;
• Vos expériences professionnelles passées (anciens jobs, tâches réalisées, contact de votre ancien manager, lettre de recommandation) ;
• Votre parcours de formation (parcours académique, diplômes, mentions obtenues) ;
• Vos compétences (maîtrise d’outils informatiques ou d’une langue étrangère).

2. Ne dévoilez pas d’information sensible

Le processus de recrutement semble sérieux, l’entretien se déroule bien, vous êtes dans le bain… Attention ! C’est souvent à cet instant précis, quand on baisse la garde, que pique l’hameçon. Il y a pourtant certaines informations que l’on ne peut pas vous réclamer au stade du recrutement.

Ainsi, vous ne devez pas communiquer :

• Vos coordonnées bancaires, ni recevoir de virement ou rétribution de votre futur employeur ;
• Votre numéro de sécurité sociale ;
• Des informations relatives aux membres de votre famille ;
• Si vous avez le projet d’avoir des enfants ;
• Des informations relatives à vos caractéristiques physiques à moins qu’il ne s’agisse d’un type de postes particuliers (mannequins, pilotes de course, jockeys…).

Qu’en est-il de la fiche de paie ? D’apparence purement professionnelle, ce document comporte pourtant de nombreuses informations sensibles à votre sujet (montant de votre salaire, jour d’arrêt maladie, un congé pour événement familial, exercice du droit de grève…etc.) Des éléments que le recruteur n’est pas censé connaître à ce stade. Donc, si l’on vous réclame vos dernières fiches de paie, vous avez toujours la possibilité de masquer les éléments non pertinents. « D’une manière générale, insiste Éric Delisle, on a toujours le droit de refuser de communiquer certaines informations qui nous paraissent déplacées. Le candidat est certes placé dans une situation vulnérable, en processus de recrutement. Cependant, il est possible de répondre au recruteur : ‘’cela ne me semble pas répondre à la question de mes compétences professionnelles’’, sans le braquer pour autant. »

3. Sollicitez des explications

Si une demande du recruteur vous paraît déplacée ou sans rapport avec le poste pour lequel vous candidatez, ne mordez pas à l’hameçon sans poser de question. Vous avez la possibilité de solliciter des explications. « C’est un élément central du RGPD qu’on appelle la transparence, précise Éric Delisle. Lorsqu’un élément vous est réclamé par le recruteur, il doit vous expliquer en quoi cela va lui être utile et comment il va utiliser et stocker ces données. Vous êtes donc tout à fait en droit de le demander. C’est, il me semble, une qualité d’un candidat que de se renseigner sur l’utilisation qui sera faite de ces données. »

4. Faites valoir vos droits

Mieux vaut prévenir que guérir dit le dicton. Pour éviter de chavirer dans une situation de collecte de ses données personnelles, l’expert de la CNIL recommande aux candidats de se former. « Il existe des règles et le recruteur y est soumis, assure-t-il. La formation est la première des protections. » À cet égard, la CNIL a récemment développé de nombreuses fiches pratiques à destination des candidats au recrutement, mais également un guide du recrutement dédié aux recruteurs.

Pour autant, lorsque cela ne suffit pas, il faut agir. « Il est d’ailleurs important de réagir pour faire cesser ces comportements illégaux, insiste Éric Delisle. La CNIL peut évidemment recevoir des plaintes rapportant des violations de données personnelles en processus de recrutement. Mais elle peut également s’autosaisir pour contrôler une entreprise. Le plus souvent, le contrôle intervient à la suite d’un scandale dénoncé dans les médias. » D’autres organes sont également habilités à recevoir des dénonciations d’abus de collecte de données en recrutement. La police ou la gendarmerie est compétente s’il s’agit d’une véritable escroquerie. « Le défenseur des droits dispose aussi d’une compétence concurrente de celle de la CNIL sur la collecte de données illégales », précise Éric Delisle.

Gare au phishing dans l’océan du recrutement ! À force d’être sur la ligne, gros et petits recruteurs ont tôt fait de se retrouver en eaux troubles. Un détail attire votre attention ? Méfiez-vous, il s’agit peut-être d’un hameçon. Soyez prudent, demandez des explications et, si le doute persiste, n’hésitez pas à nager à contre-courant.

Photographie par Thomas Decamps, article édité par Gabrielle Predko