Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

En cliquant sur « Je m'inscris », je confirme mon enregistrement à la liste d'abonnement et je consens à ce que TCJ puisse traiter mon courriel dans le but de me faire parvenir des infolettres de façon ponctuelle. Je confirme avoir lu et consenti à la Politique de confidentialité.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

En cliquant sur « Envoyer », je confirme avoir lu et consenti à la Politique de confidentialité.

Protection de la vie privée et cybersécurité

Collecte de renseignements personnels lors du recrutement

  • Élyse Rioux
  • Dany Guimond-Valcourt
Par Élyse Rioux et Dany Guimond-Valcourt
Vous recrutez dans votre entreprise? Êtes-vous alignés sur les nouvelles lignes directrices de la Commission d’accès à l’information?

La Commission d’accès à l’information du Québec (CAI) a publié, le 17 mars 2025, de nouvelles lignes directrices encadrant la collecte de renseignements personnels dans le cadre du recrutement de personnel.

Ce document, destiné aux employeurs, agences de placement et sous-traitants, offre des précisions utiles à toutes les étapes du processus d’embauche. Il est accessible ici : Recrutement | Commission d’accès à l’information du Québec

Pourquoi est-ce important pour notre pratique et nos clients?

1. Renforcement des obligations en vertu de la Loi 25 

Ces nouvelles lignes directrices traduisent une volonté claire de la CAI de poursuivre une application active et encadrée quant à la protection des renseignements personnels, notamment en contexte d’embauche et relativement à la :

- justification des pratiques de collecte;
- transparence envers les candidats;
- minimisation des données.

Toute collecte non nécessaire ou excessive pourrait entraîner une plainte d’un candidat, une enquête et des sanctions administratives pécuniaires.

2. Nouveau standard de diligence pour les pratiques RH

La Commission établit des balises concrètes aux quatre étapes du processus de recrutement :

1- Réception des candidatures
2- Évaluation des meilleurs candidats
3- Confirmation des compétences et aptitudes du candidat retenu
4- Embauche du candidat retenu

Seules les informations strictement nécessaires à l’objectif poursuivi peuvent être collectées. Le consentement du candidat à la collecte, l’utilité de la collecte ou la convenance ne suffisent plus.

Par exemple, les informations contenues sur une pièce d’identité servant à établir l’identité du candidat ne peuvent pas être photocopiées, prises en photo ou consignées de toute autre façon au dossier du candidat.

3. Responsabilité accrue de l’employeur, même en cas de sous-traitance 

La CAI réaffirme que l’employeur demeure pleinement responsable du traitement des renseignements personnels, même lorsque des tiers agissent en son nom (p. ex., agence de recrutement, outil de tri automatisé, test psychométrique offert par un fournisseur externe).

Par conséquent, toute externalisation du processus de recrutement doit être encadrée contractuellement pour assurer la conformité aux lois sur la protection des renseignements personnels (p. ex., clauses de confidentialité, limitation des accès, engagements sur la suppression des données).

4. Encadrement des pratiques émergentes

La CAI émet des lignes claires sur l’usage des tests psychométriques, de l’intelligence artificielle (IA) et de la consultation de profils de réseaux sociaux, souvent mal comprises et mal encadrées en entreprise.

Notamment, relativement à l’IA :

- Éviter les systèmes de reconnaissance de l’état émotionnel ou psychologique utilisés lors d’une entrevue en visioconférence.

- Pour les systèmes permettant de rendre une décision exclusivement fondée sur un traitement automatisé de renseignements personnels – comme le rejet automatique de certaines candidatures par un logiciel de tri – l’employeur doit en aviser les candidats, au plus tard au moment où il les informe de la décision. Il doit aussi fournir des informations supplémentaires aux candidats et leur offrir le droit de demander la révision de la décision.

Avant d’avoir recours à un système d’IA, l’employeur doit réaliser une démarche d’évaluation des facteurs relatifs à la vie privée (EFVP). 

5. Encadrement spécifique pour certains types de vérifications

Références : interdites à l’étape initiale, doivent faire l’objet d’un consentement éclairé après une offre conditionnelle. 

Dossier de crédit : à éviter, la Commission juge ce moyen intrusif, sauf exception justifiable. 

Médical et judiciaire : hautement encadrés et à manipuler avec grande prudence, notamment en ce qui a trait à la conservation et l’accès. Spécifiquement, pour les renseignements médicaux, elle conseille la conservation dans des dossiers distincts. 

6. Durée de conservation et destruction des renseignements personnels

Les employeurs, tout comme leurs sous-traitants, ne peuvent pas conserver indéfiniment les renseignements personnels des candidats non retenus. Lorsque les objectifs pour lesquels les renseignements personnels ont été collectés ou utilisés ont été atteints, il faut les détruire de façon sécuritaire. D’ailleurs, la CAI soulève d’importantes mises en garde quant à  l’anonymisation de renseignements personnels. Il est donc recommandé de procéder à la destruction des renseignements personnels.

Ce point soulève l’importance de revoir les politiques internes et les ententes contractuelles avec les fournisseurs tiers pouvant faire du recrutement pour l’organisation pour y inclure des engagements clairs sur la durée de conservation et la méthode de destruction des données.

Ce que nous pouvons faire pour nos clients :

Vérification diligente des pratiques internes RH, des formulaires de candidature et des questions d’entrevue pour s’assurer de leur conformité.

Révision et mise à jour des ententes avec les agences de placement, contrats de services de plateformes technologiques, fournisseurs de tests (psychométriques ou IA).

Encadrement du recours à l’IA dans les processus RH, notamment en matière de tri automatisé des CV ou d’analyse comportementale.

Mise à jour des politiques internes et des procédures RH en lien avec la collecte, le consentement, l’accès et la conservation des renseignements personnels.

Accompagnement dans la réalisation d’EFVP pour tout outil technologique utilisé dans le processus d’embauche.

Sensibilisation et formation des équipes internes sur les nouvelles exigences, notamment en ce qui concerne les limites de la collecte, l’usage de l’IA et la protection des renseignements sensibles (santé, antécédents, réputation en ligne, etc.).

Autoévaluation

Évaluez vos pratiques avec notre questionnaire diagnostic de 10 questions : iconInputkitapp.inputkit.io/#/feedback/rwTMnknhg

Le recrutement se veut un levier stratégique pour votre croissance, ne le laissez pas devenir un risque pour votre entreprise.

Partager cet article
2