Quelques mois après m'être intégré dans un emploi convenable, j'ai envisagé d'envoyer une demande d'effacement de mes données personnelles aux cabinets de recrutement et autres sociétés de conseil missionnés pour les offres auxquelles j'avais postulé. J'ai renoncé : la flemme. Bien mal m'en a pris. :(
En 2021, plusieurs cabinets de recrutement auprès de qui j'avais postulé en 2017 (voire en 2014 pour l'un d'eux !) m'ont contacté, par email ou téléphone, pour me proposer des offres d'emplois. Certains m'ont relancé. C'était inopportun, désagréable, lourd, vraiment.
Le hic, c'est qu'ils ont conservé mes données personnelles au-delà du délai raisonnable (en informatique, on retrouve un emploi en quelques semaines / mois, les compétences et les spécialisations évoluent rapidement, et les aspirations avec), mais surtout au-delà de ce qu'ils annoncent dans leur politique de confidentialité. Deux ans annoncés. Ils m'ont recontacté quatre ans après le dernier échange consenti. Sept ans, même, pour l'un d'eux ! À ce stade, on n'est plus sur une législation trop compliquée à comprendre gnagnagna mais sur le fait ne pas faire ce qu'on a convenu.
Lesdits cabinets jouent sur une confusion. Un candidat postule à l'une des offres d'emploi dont ils ont la charge pour le compte d'un client final. Tout se passe comme s'il candidatait auprès du service RH du client final. En l'espèce, le service RH est externalisé. Le candidat ne s'inscrit pas dans une quelconque démarche avec le cabinet, il l'ignore, ce qui l'intéresse, c'est l'emploi proposé par le client final. Il ne souscrit pas non plus à une prestation d'accompagnement à l'emploi, de placement, de gestion de carrière (mention aux cabinets qui proposent des « opportunités de carrière »). À l'inverse, le cabinet a besoin de placer rapidement des pions pour le compte de ses clients, donc il souhaite se garder un vivier de profils sous la main.
C'est à ce titre que la base légale de ce traitement de données personnelles est l'intérêt légitime. Or, il m'apparaît que le test de validité en trois parties pour se prévaloir de cette base légale n'est pas passé (lire mes plaintes pour avoir tous les arguments) :
ÉDIT DU 17/09/2023 : depuis janvier 2023, le guide du recrutement rédigé par la CNIL confirme mon analyse : base légale d'un vivier de candidats = consentement ; durée de conservation adaptée au poste / contrat <= 2 ans. FIN DE L'ÉDIT DU 17/09/2023.
Certains cabinets de recrutement qui m'ont contacté cumulent d'autres infractions au RGPD : email émis par un prestataire d'e-mailing états-unien (cf. la décision de l’APD bavaroise portant sur l’utilisation de MailChimp), moyens ineffectifs pour s'opposer à la réception de nouvelles offres), liens et image traçants dans l'email (cf. l'explication technique et le raisonnement juridique), politique de confidentialité présentant une obligation systématique de présenter un justificatif d'identité pour exercer ses droits (voir ici), absence de réponse dans le délai légal, etc.
Pour deux cabinets, j'avais déjà saisi la CNIL il y a environ 1 an. Dans un cas, absence de retour sur ma demande d'effacement. Dans l'autre, demande d'effacement exécutée, mais aucun retour sur les autres griefs (quelles mesures correctrices vas-tu mettre en œuvre ?) et désinvolture dans la réponse ("ho bah oui, ça arrive"). Dans les deux cas, la CNIL s'est contentée d'appuyer ma demande d'effacement, sans recadrer ni sanctionner, semble-t-il, les autres infractions… Dans mes nouvelles plaintes, je suis plus explicite sur ce que j'attends de la CNIL, on verra bien. Je regrette l'absence d'un suivi / retour de la CNIL, le fait que le plaignant soit écarté de la procédure, tout est opaque, tout se passe entre la CNIL et les responsables de traitement…
Du coup, hop, de nouvelles plaintes à la CNIL. Encore trois jours d'efforts dans le vent…
Nouveauté : c'est la première fois que je conteste la validité d'une base légale avec un argumentaire étayé dans les règles, avec la bonne grille d'analyse.
Bonjour,
Suite à une candidature, en novembre 2014, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Danitis (https://danitis.com/), celui-ci m'a proposé, le 30/11/2021, par email, des offres d'emploi. Le 10/01/2020, il m'avait déjà envoyé un email pour, entre autres, consulter ses offres, et j'avais utilisé (en vain) le lien de désinscription.
DPO contacté par email. Absence de réponse.
J'ai saisi la CNIL le 02/01/2022. Plainte en ligne numéro <CENSURE>.
Intervention de la CNIL le 12/01/2022 et clôture de ma plainte.Absence de réponse de Danitis.
Infractions :
- Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
- Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure à celle, maximale, énoncée dans la politique de confidentialité ;
- Inefficacité du lien « se désinscrire » présents dans les e-mailings de Danitis pour exercer son droit d'opposition ;
- Utilisation, dans ses emails, de liens et d'images de traçage sans nécessité ni recueil du consentement ;
- Transfert de données personnelles vers les États-Unis : prestataire d'e-mailing Mailgun et stockage du logo inclus dans les emails chez Amazon ;
- Absence de réponse après 10 mois malgré l'intervention de la CNIL, donc impossibilité d’exercer concrètement mon droit d’effacement.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.
Bonne journée.
Bonjour,
En octobre-novembre 2014, j’ai candidaté à l’une des offres d’emplois dont avait la charge le cabinet de recrutement Danitis. C’est le dernier échange consenti.
Le 10/01/2020, j’ai reçu un email de Danitis pour booster ma carrière, rejoindre Danitis ou ses clients, et suivre l’actualité de Danitis. Cf. PJ 1 (l’affichage est rustique, car je désactive l’interprétation du HTML dans mon logiciel de messagerie). J’ai cliqué sur le lien « Se désinscrire » de cet email (cf. sa couleur dans la PJ).
Le 30/11/2021, j’ai reçu un email de Danitis me proposant trois offres d’emplois… qui, de sus, ne correspondent pas à mes compétences. Cf. PJ 2.
Le 02/01/2022, j’ai déposé une demande d’opposition et une demande d’effacement auprès du DPO de Danitis. J’ai lui ai également signalé les manquements au RGPD que je vais rappeler ci-dessous. Cf. PJ 2.
Le même jour, j’ai sollicité la CNIL sur l’ensemble de ces mêmes points. Il s’agit de la plainte numéro <CENSURE>.
Le 12/01/2022, la CNIL a clôturé ma plainte <CENSURE> : « La CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause, pour lui rappeler ses obligations et l'alerter sur la nécessité de respecter les règles en vigueur, notamment en vous répondant. ».
À ce jour, j’ai n’ai pas reçu de réponse de Danitis. Nouvelle infraction au RGPD : absence de réponse et impossibilité d’exercer concrètement mon droit d’effacement.
De même, la CNIL m’a présenté aucun suivi / retour détaillé, ce qui est contraire à l’article 77.2 du RGPD.
Pouvez-vous m’informer des actions engagées par la CNIL dans le cadre de ma plainte numéro <CENSURE> ? Pouvez-vous m’informer de l’état actuel et d’avancement de ma plainte <CENSURE> ainsi que de son issue ?Je vous demande de me transmettre une copie de tous vos échanges (email, courrier) avec Danitis dans le cadre de ma plainte <CENSURE>. Il s’agit de documents librement communicables au sens du Code des Relations entre le Public et l’Administration.
À ce jour, j’ignore si mes données personnelles ont bien été effacées par Danitis conformément à ma demande adressée le 02/01/2022 à son DPO et à la CNIL. De même, j’ignore quelles actions correctrices ont été mises en œuvres par Danitis suite à mon signalement, dans la même demande, de ses manquements au RGPD (que je vais rappeler ci-après). C’est sur ces points que, par la présente plainte, je sollicite une action de la CNIL, y compris pour sanctionner les nombreuses infractions de Danitis. Sans quoi les atteintes aux droits des personnes sont et seront réitérées.
Rappel et actualisation des infractions au RGPD commises par Danitis.D’abord, dans sa politique de confidentialité (https://danitis.com/politique-de-confidentialite/), Danitis basait et base toujours son traitement de « proposition d’opportunités de carrière » sur l’intérêt légitime. Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :
Objectif : « proposition d’opportunités de carrière ».
- D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
- D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
- Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
- Balance des droits :
- Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposition d’opportunités de carrière » se fait solliciter à flot continu par toutes les sociétés qui, comme Danitis, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
- Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
- Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve très rapidement un emploi, etc. ;
- L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous avons vu et nous verrons que Danitis est incapable de répondre aux obligations légales élémentaires du RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité.
Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.
Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.
De sus, plus de sept ans (!) se sont écoulés entre le dernier échange consenti (24/10/2014) et l’email non sollicité de Danitis du 30/11/2021.Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.
En tout état de cause, dans sa politique de confidentialité (https://danitis.com/politique-de-confidentialite/), Danitis énonçait et énonce toujours une durée de conservation maximale de cinq ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.
Ensuite, le lien « Se désinscrire » présent dans le pied de page de l’email du 10/01/2020 était fonctionnel techniquement parlant (il m’a très probablement retiré de la liste des destinataires constituée à l’occasion de cet e-mailing précis), mais il ne m’a pas permis d’exercer mon droit d’opposition.Je pouvais pourtant légitimement m’attendre à un tel effet puisque l’email visait à me proposer des offres d’emplois, donc le lien « se désinscrire » devrait consigner mon opposition à de futures propositions d’offres par e-mailing.
Je constate que l’email du 10/01/2020 a été envoyé via le prestataire d’e-mailing Sendinblue (cf. entêtes dans PJ 3), et que celui du 30/11/2021 l’a été par le prestataire Mailgun (cf. entêtes dans PJ 4). Mon opposition a donc été collectée par Sendinblue sans remonter jusqu’à Danitis puis cette dernière a re-exportée sa base de données interne vers Mailgun, perdant ainsi la trace de mon opposition.
Nouvelle infraction au RGPD.
De plus, les emails de Danitis du 10/01/2020 et du 30/11/2021 contiennent des liens de traçage selon votre terminologie (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger). De plus, leur version HTML contient au moins une image de traçage (à la toute fin de l’email). Cf. PJ 3 et PJ 4.L’image de traçage est téléchargée auprès de la société commerciale Sendinblue (email du 10/01/2020) ou Mailgun Technologies (email du 30/11/2021), qui agissent ici en tant que prestataire d’e-mailing de Danitis. Il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel. Méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du destinataire et sert, précisément, à détecter et à consigner ladite ouverture.
Les liens pointent d’abord sur les serveurs web du prestataire d’e-mailing (Sendinblue ou Mailgun) qui redirigent, après consignation / journalisation, vers leurs destinations finales.
Dans l’email du 30/11/2021, le nom de domaine des liens et de l’image, « email.danitis.com » est délégué, par Danitis, à son prestataire d’e-mailing Mailgun :
$ dig +short email.danitis.coms
email.catsoneemail.com.
mailgun.org.
34.86.85.56La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Il ne repose pas plus sur une quelconque obligation légale ou contractuelle.
Le destinataire des emails de Danitis, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.
Il découle des deux derniers points qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
Enfin, Mailgun est une société commerciale états-unienne. Il y a donc eu transfert de données personnelles (adresse emails de l’ex-candidat Danitis, etc.), par Danitis, à une entité de droit états-unien.Ce transfert de données personnelles aux États-Unis n’est pas conforme au RGPD, cf. la décision LDA-1085.1-12159/20-IDV du 15 mars 2021 de l’APD bavaroise portant sur l’utilisation de MailChimp, un concurrent de Mailgun.
On notera que la politique de confidentialité de Danitis (https://danitis.com/politique-de-confidentialite/) n’énonce pas l’existence de ce transfert de données personnelles aux États-Unis et, donc, ne l’encadre pas.
De même, l’email du 30/11/2021 fait télécharger le logo de Danitis (dans l’entête de sa version HTML) auprès de la société commerciale états-unienne Amazon.
À l’ouverture de l’email, un contact direct est établi automatiquement entre le terminal du candidat Danitis et les serveurs informatiques d’Amazon. Cela génère de facto un transfert de plusieurs données personnelles de l’ex-candidat Danitis à destination d’Amazon : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc. Cf. la décision 3_O_17493/20 de la Cour régionale de Munich portant sur l’utilisation de Google Fonts ou la décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics.
Ce transfert de données personnelles est illégal, cf. les décisions sus-citées ainsi que votre mise en demeure du 10 février 2022 relative à l’utilisation de Google Analytics. Absence de décision d’adéquation, de garanties appropriées, et de mesures supplémentaires. Pas de recueil du consentement après information sur les risques induits par le transfert (49.1a). Pas de nécessité à l’exécution d’un contrat au sens du 49.1b (un traitement basé sur l’intérêt légitime ne peut pas générer un transfert nécessaire à l’exécution d’un contrat, et il est techniquement possible et à moindre coût d’héberger cette image sur les serveurs informatiques de Danitis ou d’un prestataire européen hébergé informatique dans l’UE).
Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.
En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.
De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.
La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.
Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.
Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.
Bonne journée.
Bonjour,
Suite à une candidature, en juin 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Expectra / SELECT T.T. (https://www.expectra.fr/), celui-ci m'a proposé, le 01/04/2021, par email, une offre d’emploi.
DPO contactée. Réponse insuffisante et absence d'actions correctrices.
Infractions :
- Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
- Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de confidentialité ;
- Absence de réponse de la DPO dans le délai légal ;
- Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an et demi).
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.
Bonne journée.
Bonjour,
Suite à une candidature à l’une des offres d’emplois dont avait la charge le cabinet de recrutement Expectra en juin 2017, l’un de ses employés m’a contacté par email le 01/04/2021 pour me proposer une offre d’emploi ciblée par rapport à mes compétences consignées dans leur base de données. Cf. PJ 1.
D’abord, dans sa politique de confidentialité (https://www.grouperandstad.fr/informations-legales/#candidats ‒ oui, il s’agit de la cible du lien « données personnelles » présent sur le site web officiel), Expectra basait et base toujours son traitement sur l’intérêt légitime (à « envoyer des offres aux candidats » et à « présenter de nouveaux candidats au placement »). Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :
Objectif : « recommander des emplois » / « proposer des opportunités d’emploi ».
- D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
- D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
- Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
- Balance des droits :
- Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposer des opportunités d’emploi » se fait solliciter à flot continu par toutes les sociétés qui, comme Expectra, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
- Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
- Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
- L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous verrons qu’Expectra peine à répondre à ses obligations légales RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité.
Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.
Donc, il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.
Ensuite, plus de quatre ans se sont écoulés entre le dernier échange consenti (13/06/2017) et l’email non sollicité d’Expectra du 01/04/2021.Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.
En tout état de cause, dans sa politique de confidentialité (https://www.grouperandstad.fr/informations-legales/#candidats), Expectra énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.
J’ai contacté la DPO d’Expectra le 01/04/2021 (cf. PJ 1). Relance le 03/05/2021 (cf. PJ 2). Réponse le 19/05/2021 (cf. PJ 3).Nouvelle infraction au RGPD : absence de réponse du DPO dans le délai légal d’un mois.
La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés d’Expectra à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre d’Expectra et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.
Si mes données personnelles ont été effacées par Expectra, la réponse n’est pas satisfaisante sur les autres points : à ce jour, sa politique de confidentialité énonce toujours un traitement basé sur l’intérêt légitime, et J’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de confidentialité). De ces faits, les atteintes aux droits des personnes sont et seront réitérées. Si vous contrôlez le système d’informations d’Expectra, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par la société commerciale.
Ma demande d’effacement a été traitée, mais les traitements illégaux de données personnelles (base légale irrecevable) et le système d’information (qui contient des données périmées) demeurent intacts… dans un objectif de business.
Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Base légale, respect des engagements annoncés, protection des données personnelles dès la conception, etc. Expectra péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.
Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.
En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.
De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.
La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.
Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.
Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).
a
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.
Bonne journée.
ÉDIT DU 20/07/2023 :
Information de la CNIL reçue le 17/02/2023 :
Monsieur,
Vous avez saisi la CNIL d’une plainte à l’encontre de la société SELECT T.T. / EXPECTRA relative à la collecte et à la conservation des données à caractère personnel vous concernant dans le cadre d’une opération de recrutement.
Je vous informe que nous sommes intervenus auprès du délégué à la protection des données de cet organisme afin de l’interroger sur les faits que vous dénoncez.
Nous ne manquerons pas de vous informer des suites apportées à votre plainte.
Nous vous prions d’agréer, Monsieur, nos salutations distinguées.
Le service de l'exercice des droits et des plaintes
Le 27/06/2023, dans une réponse à une demande de communication de documents, la CNIL m'informe que ma « plainte [est] toujours en cours d'instruction ».
FIN DE L'ÉDIT DU 20/07/2023.
Bonjour,
Suite à une candidature, en septembre 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement ITalent, celui-ci m'a contacté, le 09/09/2021, par email, pour m'informer d’une erreur lors de l’envoi d’un précédent email de test (que je n’ai pas reçu).
DPO contactée. Réponse insuffisante et absence d'actions correctrices.
Infractions :
- Absence d'information et de transparence sur les traitements de données personnelles (au sens des articles 12 et 13 du RGPD) ;
- Durée de conservation des données personnelles excessive (au regard de la finalité présumée) et supérieure (du double) à celle, maximale, énoncée dans la politique de protection des données personnelles ;
- Utilisation, dans les emails, de liens et d'images de traçage sans nécessité ni recueil du consentement ;
- Utilisation de Google Fonts dans les emails, donc transfert automatique de données personnelles vers les États-Unis ;
- Politique de confidentialité énonçant une obligation de joindre un justificatif d'identité à une demande d'exercice des droits ;
- Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an).
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.
Bonne journée.
Bonjour,
Suite à une candidature à l’une des offres d’emplois dont avait la charge le cabinet de recrutement ITalent en septembre 2017, j’ai reçu, le 09/09/2021, un email m’informant d’une erreur lors de l’envoi d’un précédent email (que je n’ai pas reçu) et me demandant de donner mon consentement pour la conservation de mes données personnelles ou de demander leur suppression. Cf. PJ 1 (l’affichage est rustique, car je désactive l’interprétation du HTML dans mon logiciel de messagerie).
ITalent a été rachetée, en 2020, par Cooptalis (992B avenue de la République, 59 700 Marcq-en-Baroeul ; SIRET : 75367030600053) et est devenu Cooptalis Recrutement. Cooptalis a été renommée Anywr en 2022. Dans la présente, j’utiliserai son nom initial, ITalent.
D’abord, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent présentait et présente toujours les bases légales sur lesquelles elle s’appuie (« le consentement, l’intérêt légitime de l’entreprise et l’exécution d’un contrat ») sans préciser laquelle elle associe à telle finalité. Même si je peux le deviner, je ne sais pas à quel titre ITalent a traité mes données personnelles pour me contacter. Premier manquement au RGPD : manque d’information, de clarté et de transparence (articles 12 et 13 du RGPD).
Ensuite, quatre ans se sont écoulés entre le dernier échange consenti (29/09/2017) et l’email non sollicité d’ITalent du 11/09/2021.Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.
En tout état de cause, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.
De plus, les liens contenus dans l’email d’ITalent du 09/09/2021 sont des liens de traçage selon votre terminologie (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger), y compris celui permettant de demander l’effacement de ses données personnelles. Cf. PJ 3.De plus, la version HTML de cet email contient au moins une image de traçage (à la toute fin). Cf. PJ 3.
L’image de traçage est téléchargée auprès de la société commerciale Sendinblue, qui agit ici en tant que prestataire d’emailing d’ITalent. Il s’agit d’une image transparente de dimensions 1 pixel sur 1 pixel. Méthode habituellement utilisée pour traquer les visiteurs d’un site web. Cette image est téléchargée automatiquement à l'ouverture de l'email par le logiciel de messagerie du destinataire et sert, précisément, à détecter et à consigner ladite ouverture.
Les liens pointent d’abord sur les serveurs web du prestataire Sendinblue qui redirigent, après consignation / journalisation, vers leurs destinations finales.
La nécessité de ce traçage (par l’image et les liens) n'est pas établie : il est techniquement possible d'utiliser des liens directs (qui pointent sans détour sur le contenu web final). Il ne repose pas plus sur une quelconque obligation légale ou contractuelle.
De plus, je n’ai pas cliqué sur les liens (sauf pour rédiger la présente) et mon logiciel de messagerie n’a pas téléchargé l’image traçante puisque je désactive l’affichage HTML de tous mes emails. ITalent a donc collecté aucune donnée de traçage me concernant, et cela a eu aucune incidence sur mes échanges avec son DPO. Ces liens traçants et cette image traçante constituent donc des traitements de données personnelles superflus en infraction avec le principe de minimisation du RGPD.
Le destinataire de ces emails d’ITalent, n'est pas informé de l’aspect traçant des liens et de l’image qu’ils contiennent et son consentement n'est pas récolté.
Il découle des trois derniers points ci-dessus qu’il s’agit d'un manquement au RGPD selon le CEPD (document WP 118, section V) et selon vous (https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger).
En sus, à l’ouverture de sa version HTML, l’email d’ITalent fait automatiquement télécharger des polices de caractères auprès du service Fonts de la société commerciale états-unienne Google.
Un contact direct est donc établi automatiquement entre le terminal de l’ex-candidat d’ITalent et les serveurs informatiques de Google. Cela génère de facto un transfert de plusieurs données personnelles de l’ex-candidat d’ITalent à destination de Google : son adresse IP, sa langue (entête HTTP Accept-Language), la marque, le modèle et des caractéristiques techniques de son navigateur web et de son terminal (entête HTTP User-Agent, etc.), etc. Cf. la décision de l’APD autrichienne du 22 avril 2022 portant sur l’utilisation de Google Analytics.
Google reconnaît la réception et la conservation, lors de l’utilisation de son service Fonts, de ces données personnelles (cf. https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users). De plus, sa mise en œuvre des clauses contractuelles types ne couvre pas son service Fonts (cf. https://policies.google.com/privacy/frameworks). L’utilisation de ce service ne peut pas relever de la nécessité ou de l’intérêt légitime, car il est techniquement, juridiquement et économiquement possible d’utiliser les polices de caractères Google Fonts sans établir de connexion aux serveurs de Google. En conséquence, l’utilisation de Google Fonts a été jugée illégale par la Cour régionale de Munich (décision 3_O_17493/20) : absence de décision d’adéquation, de garanties appropriées, et de mesures supplémentaires. Pas de recueil du consentement après information sur les risques induits par le transfert (49.1a). Pas de nécessité à l’exécution d’un contrat (49.1b).
Ensuite, on constate que la cible du lien pour « supprimer l’ensemble de mes données personnelles détenues par Cooptalis, Izyfreelance ou ITalent » est identique à celui pour « Se désinscrire ». Les deux liens doivent avoir pour unique effet de désinscrire le demandeur de la liste de diffusion constituée par ITalent auprès de Sendinblue. On peut facilement présumer une tromperie : le lien « supprimer l’ensemble de mes données personnelles » n’a très probablement pas l’effet escompté par le demandeur.De sus, il est inquiétant de constater qu’ITalent semble nettoyer ses bases de données à l’occasion d’une boulette technique ayant entraîné l'envoi involontaire d'emails. Cela révèle clairement qu’ITalent n’a pas automatisé ce processus (alors que sa politique de protection des données personnelles énonce qu’au-delà de la durée maximale de conservation, un recueil du consentement aura lieu) et que des données personnelles périmées (conservées au-delà de la durée consignée dans sa politique de protection des données personnelles) traînent en permanence dans ses bases.
Enfin, dans sa politique de protection des données personnelles (https://www.anywr-group.com/politique-generale-de-protection-des-donnees-a-caractere-personnel/), ITalent exigeait et exige toujours « une photocopie d’un titre d’identité en cours de validité signé » en accompagnement d’une demande d’exercice des droits.Or, d’après votre doctrine (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces), le principe est de ne pas exiger de justificatif, sauf en cas de doute raisonnable.
J’ai contacté la DPO d’ITalent le 11/09/2021 (cf. PJ 1). Réponse reçue le 20/09/2021 (cf. PJ 2).La présente plainte a pour objectif de signaler les nombreux manquements au RGPD sus-référencés d’ITalent à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre d’ITalent et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.
Si mes données personnelles ont été effacées, la réponse de la DPO n’est pas satisfaisante sur les autres points. À ce jour :
- La politique de confidentialité d’ITalent n’associe toujours pas une base légale à chaque finalité ;
- La DPO n’a pas commenté l’utilisation de liens (et d’image) de traçage ni n’y a mis un terme. Le pied de page de l’email de la DPO du 20/09/2021 contient lui-même des liens de traçage… (cf. PJ 2, les liens, composés d’un identifiant unique commun et d’un motif « /collect/ », pointent vers un intermédiaire qui effectuera une redirection vers la destination finale) ;
- La politique de protection des données personnelle d’ITalent énonce toujours une obligation de fournir un justificatif d’identité pour exercer ses droits ;
- J’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de protection des données personnelles). Si vous contrôlez le système d’informations d’ITalent, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par ITalent ;
- Des faits qui précèdent, les atteintes aux droits des personnes sont et seront réitérées.
En résumé : ma demande d’effacement a été traitée, mais l’absence d’information (telle base légale pour telle finalité), les traitements illégaux de données personnelles (image et liens traçants), les processus (affichage d’une prétendue obligation de présenter un justificatif d’identité pour exercer ses droits), et le système d’information (qui contient des données périmées portant sur des milliers de personnes) demeurent intacts… dans un objectif de business.
Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Communication des informations légales, respect des engagements annoncés et des obligations légales, protection des données personnelles dès la conception, etc. ITalent péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.
Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.La collecte dans le plus grand flou (voire opacité) et la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.
Cette infraction au RGPD doit être regardée comme une atteinte à la libre concurrence en cela qu’elle ralentit fortement l’émergence et le développement d’une multitude de cabinets de recrutement et/ou d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.
Bonne journée.
Bonjour,
Suite à une candidature, en juin 2017, à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Silkhom (https://www.silkhom.com/), celui-ci m'a proposé, le 04/06/2021, par email, des offres d'emploi. Ré-itération avec de nouvelles offres le 08/07/2021.
Société commerciale contactée via l'adresse email générique énoncée dans sa politique de protection des données personnelles.
Absence de réponse sous deux mois.J'ai saisi la CNIL le 14/08/2021. Plainte en ligne numéro <CENSURE>.
Intervention de la CNIL le 20/12/2021.J'ai reçu une réponse du directeur de Silkhom le 17/03/2022. Réponse insuffisante et absence d'actions correctrices.
Infractions :
- Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
- Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de protection des données personnelles ;
- Absence de réponse dans le délai légal et impossibilité d’exercer concrètement mon droit d’effacement sans passer par la CNIL.
- Réponse insuffisante du directeur et absence d'actions correctrices (après 7 mois).
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Le problème est sectoriel (tous les cabinets de recrutement en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.
Bonne journée.
Bonjour,
En juin 2017, j’ai candidaté à l’une des offres d’emploi dont avait la charge le cabinet de recrutement Silkhom. C’est le dernier échange consenti.
Le 04/06/2021, j’ai reçu un email de Silkhom me proposant des offres d’emploi. Cf. PJ1.
Le 06/06/2021, j’ai déposé une demande d’opposition et une demande d’effacement auprès de Silhkom. J’ai lui ai également signalé, à l’adresse email énoncée dans sa politique de protection des données personnelles, les manquements au RGPD que je vais rappeler ci-dessous. Cf. PJ 1.
Le 08/07/2021, j’ai reçu un autre email de Silkhom me proposant, à nouveau, des offres d’emploi. Cf. PJ 2.
Le jour même, j’ai réitéré mes demandes ci-dessus auprès de Silkhom. Cf. PJ 2.
Absence de réponse dans le délai légal.
Le 14/08/2021, j’ai sollicité la CNIL sur l’ensemble des points énumérés ci-dessus. Il s’agit de la plainte en ligne numéro <CENSURE>.
Le 20/12/2021, la CNIL a clôturé ma plainte <CENSURE> : « La CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause, pour lui rappeler ses obligations et l'alerter sur la nécessité de respecter les règles en vigueur, notamment en vous répondant. ».
Le 17/03/2022, le directeur de Silkhom m’a envoyé un email. Cf. PJ 3.
Pouvez-vous m’expliquer le décalage entre votre réponse du 20/12/2021 à ma plainte numéro <CENSURE>, qui énonce que vous étiez déjà intervenu à date, et les propos du directeur de Silkhom qui déclare avoir reçu votre courrier seulement le 03/03/2022 ?M’avez-vous déclaré être intervenu avant d’intervenir effectivement ?
Avez-vous dû contacter Silhkom à plusieurs reprises et/ou via différents canaux avant d’avoir une réponse ? Dans ce cas, pourquoi ne pas m’avoir tenu informé de vos différentes actions ?
Cette opacité est contraire à l’article 77.2 du RGPD.
Pouvez-vous m’informer des actions engagées par la CNIL dans le cadre de ma plainte numéro <CENSURE> ? Pouvez-vous m’informer de l’état actuel et d’avancement de ma plainte <CENSURE> ainsi que de son issue ?
Je vous demande de me transmettre une copie de tous vos échanges (email, courrier) avec Silkhom dans le cadre de ma plainte <CENSURE>. Il s’agit de documents librement communicables au sens du Code des Relations entre le Public et l’Administration.
La réponse du directeur de Silkhom fait uniquement référence à l’exercice de mon droit d’effacement. Pouvez-vous m’informer de votre décision (rappel pédagogique des dispositions du RGPD, sanction, etc.) concernant les autres infractions soulignées dans ma plainte <CENSURE> ? Pour rappel (vois plus loin pour la version détaillée) : durée de conservation excessive et supérieure (doublée) à celle annoncée dans la politique protection des données personnelles ; absence d’information sur le traitement (finalité, base légale, etc.) ; absence de réponse dans le délai légal d’un mois et impossibilité d’exercer concrètement mon droit d’effacement sans passer par la CNIL.
De même, la réponse du directeur de Silkhom est inquiétante par sa désinvolture : « […] il y a du effectivement y avoir un souci de notre côté ». Ho bah oui il y a eu un problème, c’est pas de chance, ça arrive, les problèmes. Quelles conclusions ont été tirées de ma plainte ? Quelles procédures ont été mises en œuvre depuis ? Quelles actions correctives ont été menées ? Un mécanisme d’effacement (d’archivage) automatique des données personnelles périmées (> 2 ans d’après la politique de protection des données personnelles) ? En leur absence, les atteintes aux droits des personnes sont et seront réitérées.
C’est sur les points énoncés dans les deux derniers paragraphes (que le quidam ne peut ni contrôler ni imposer) que je sollicite une action de la CNIL, y compris pour sanctionner les infractions et l’inaction de Silkhom.
Rappel et actualisation des infractions au RGPD commises par Silkhom.D’abord, dans sa politique de protection des données personnelles (https://www.silkhom.com/vie-privee/), Silkhom n’énonce pas pour quelle finalité et selon quelle base légale elle m’a envoyé des offres d’emploi. Cette action est uniquement évoquée au détour d’une phrase : « Afin d’optimiser les chances que nous vous proposons des opportunités susceptibles de vous intéresser, nous vous remercions de nous informer, par mail à contact@silkhom.com, de toute modification […] ».
La base légale du traitement ne peut pas être l’exécution d’un contrat, car l’unique contrat entre Silkhom et moi a consisté à étudier ma candidature à une offre d’emploi précise pour le compte d’un de ses clients. J’ai candidaté à une unique offre d’emploi, pas à un service de placement ou d’accompagnement ou d’aide au retour à l’emploi.
La base légale ne peut pas être l’intérêt légitime, car son test en trois parties n’est pas validé :
Objectif : proposer « des opportunités susceptibles de vous intéresser ».
- D’une part, les cabinets de recrutement jouent sur la confusion entre candidater à l’une des offres d’emploi dont ils ont la charge et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, de gestion de la carrière, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise en ignorant le cabinet de recrutement qui en a la charge et sans s’inscrire dans une quelconque démarche avec celui-ci. Tout se passe comme s’il candidatait auprès du service RH du client final, sauf que ledit service est externalisé ;
- D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
- Nécessité : il est possible, pour un cabinet de recrutement de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite, par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
- Balance des droits :
- Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « proposer « des opportunités susceptibles de vous intéresser » » se fait solliciter à flot continu par toutes les sociétés qui, comme Silkhom, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel du cabinet de recrutement entre en jeu ;
- Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les cabinets de recrutement concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
- Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
- L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous avons vu et nous verrons que Silkhom est incapable de répondre aux obligations légales élémentaires du RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de protection des données personnelles.
Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt du cabinet de recrutement.
Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.
Ensuite, quatre ans se sont écoulés entre le dernier échange consenti (15/06/2017) et l’email non sollicité de Silkhom du 04/06/2021.Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.
En tout état de cause, dans sa politique de confidentialité (https://www.silkhom.com/vie-privee/), Silkhom énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.
Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des cabinets de recrutement et des entreprises de services / de conseils en informatique enfreignent le RGPD à dessein afin de favoriser leurs affaires.Quand elles sont mandatées (directement ou indirectement) par un client pour recruter, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise dont j’ai la charge, donc je vais les accompagner dans leur recherche sans les en informer ni recueillir leur consentement », alors qu’elles agissent alors comme un service RH externalisé pour le compte d’un de leurs clients (tout se passe comme si les candidats postulaient auprès dudit client final). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.
En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour un poste précis en tant que service RH externalisé. Comme nous l’avons analysé dans la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.
De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de protection des données personnelles n’est jamais tenu.
La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.
Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.
Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude de cabinets de recrutement et d’entreprises de services / de conseils en informatique sains (qui respectent le RGPD).
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.
Bonne journée.
ÉDIT DU 20/07/2023 :
Information de la CNIL reçue le 17/02/2023 :
Monsieur,
Vous avez saisi la CNIL d’une plainte à l’encontre de la société SILKHOM relative au traitement des données à caractère personnel vous concernant.
Je vous informe que nous sommes intervenus auprès de cet organisme afin de l’interroger sur les faits que vous dénoncez.
Nous ne manquerons pas de vous informer des suites apportées à votre plainte.
Nous vous prions d’agréer, Monsieur, nos salutations distinguées.
Le service de l'exercice des droits et des plaintes
Le 27/06/2023, dans une réponse à une demande de communication de documents, la CNIL m'informe que ma « plainte [est] toujours en cours d'instruction ».
FIN DE L'ÉDIT DU 20/07/2023.
Bonjour,
Suite à une candidature, en mai 2017, à l’une des offres d’emploi de la société de conseils en informatique Squad (https://www.squad.fr/fr/), celle-ci m'a contacté, le 08/09/2021, par téléphone afin de me proposer des offres d'emploi.
DPO contactée. Réponse insuffisante et absence d'actions correctrices.
Infractions :
- Traitement de données personnelles justifié par une base légale irrecevable (intérêt légitime) ;
- Durée de conservation des données personnelles excessive (au regard de la finalité) et supérieure (du double) à celle, maximale, énoncée dans la politique de confidentialité ;
- Politique de confidentialité énonçant une obligation de joindre un justificatif d'identité à une demande d'exercice des droits ;
- Réponse insuffisante de la DPO et absence d'actions correctrices (après 1 an).
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Le problème est sectoriel (toutes les sociétés de conseils en informatique), donc je vous encourage à grouper l'instruction de mes plaintes du jour.
Bonne journée.
Bonjour,
Le 13/05/2017, j’ai candidaté sur l’une des offres d’emploi de la société de conseils en informatique Squad. Nos échanges prennent fin le 09/06/2017.
Le 08/09/2021, une employée de Squad me téléphone afin de savoir si, suite à ma candidature (sic !), je suis toujours à l’écoute du marché et pour me proposer des offres d’emploi.
D’abord, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad basait et base toujours son traitement sur l’intérêt légitime (à nous « proposer des offres d’emplois »). Or, ledit traitement ne valide pas le test en trois parties de l’intérêt légitime :
Objectif : « pourvoir des emplois ».
- D’une part, les sociétés commerciales comme Squad jouent sur la confusion entre candidater à l’une de leurs offres d’emploi pour un client / une mission bien défini et souscrire à une prestation d’accompagnement, de placement, d’aide au retour à l’emploi, ou assimilée. Si, dans le deuxième cas, proposer / transmettre des offres d’emploi est légitime (ça fait même partie du contrat), dans le premier, cela ne correspond pas et n’est pas compatible avec la démarche du candidat qui postule à une offre d’emploi bien précise sans s’inscrire forcément dans une quelconque démarche de fond avec la société de conseils ;
- D’autre part, sur le marché de l’emploi en informatique, où un emploi se trouve en quelques semaines / mois, les profils (CVs, résultats d’évaluation et d’entretiens, etc.) conservés deviennent très vite obsolètes (pas actualisés, relatifs à des personnes qui ne sont très rapidement plus en recherche d’emploi, etc.).
- Nécessité : il est possible, pour une société de conseils de pourvoir des emplois en flux tendu c’est-à-dire de publier une offre pour un ou plusieurs postes au moment où un client exprime son besoin. La réactivité face aux concurrents, prétendument induite par la détention d’une base de profils, n’est pas un argument recevable : il est possible de proposer, aux clients, des contrats d’exclusivité, telle une agence immobilière. De plus, il est possible de se constituer un réseau et/ou une base de CVs / profils sur la base légale du consentement. Dans les deux cas, cela est moins intrusif pour les candidats pour un résultat identique (deuxième procédé) voire supérieur (le premier procédé conduit à l’obtention de profils actualisés de personnes intéressées / en recherche d’emploi) ;
- Balance des droits :
- Alors qu’il n’est plus en recherche d’emploi, l’ex-candidat qui fait l’objet du traitement « pourvoir des emplois » se fait solliciter à flot continu par toutes les sociétés qui, comme Squad, se prévalent de leur intérêt légitime pour les démarcher (ce qui est fatiguant et oppressant). Les offres proposées sont inintéressantes (la personne peut avoir de nouvelles aspirations et elle a acquis de l’expérience, de nouvelles compétences, etc. qui ne sont pas mentionnées sur son CV antérieur). Le contact intervient à des moments inopportuns : très rarement quand l’ex-candidat en a besoin, beaucoup plus quand le marché de l’emploi informatique est en tension et que l’intérêt concurrentiel de la société de conseils entre en jeu ;
- Cette pratique a pour seul but d’espérer rendre captif l’ex-candidat qui fait l’objet du traitement afin d’espérer prendre de vitesse les concurrents. Elle peut s’analyser comme une atteinte à la libre concurrence via un contournement du consentement des candidats, c’est-à-dire d’un mésusage de ses données personnelles ;
- Sur le marché de l’emploi en informatique, un candidat ne saurait s’attendre raisonnablement à une conservation de son CV ni à des sollicitations ultérieures de piètre qualité (cf. ci-dessus) : il postule à une offre bien précise, il trouve rapidement un emploi, etc. ;
- L’intérêt légitime suppose une responsabilité supplémentaire à assurer les droits des personnes. Or, nous verrons que Squad peine à répondre à ses obligations légales RGPD et qu’elle ne tient pas les engagements qu’elle prend dans sa politique de confidentialité ;
- Dans sa politique de confidentialité, Squad n’informe pas sur les intérêts qu’elle poursuit. Difficile, dès lors, d’invoquer l’intérêt légitime.
Ainsi, ce traitement n’a pas de réel intérêt, sa nécessité n’est pas établie, et, parce qu’il leur porte une atteinte disproportionnée, les droits des personnes prévalent sur l’intérêt de la société de conseils.
Donc il doit reposer sur la seule base légale possible restante, le consentement. Or, je n’ai pas consenti à recevoir des offres d’emplois (j’ai candidaté à une offre bien précise, point barre). Ce traitement dénué de base légale est donc illégal.
Ensuite, plus de quatre ans se sont écoulés entre le dernier échange consenti (09/06/2017) et l’appel téléphonique non sollicité de Squad du 08/09/2021.Sur le marché de l’emploi en informatique, une aussi longue conservation des données personnelles sur d’ex-candidats n’a pas d’intérêt et elle est disproportionnée par rapport à la finalité recherchée : la durée moyenne pour trouver un emploi se compte en semaines / mois, et la montée rapide en compétences rend rapidement obsolète un CV. Les principes de proportionnalité et de minimisation imposent une durée de conservation plus courte.
En tout état de cause, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad énonçait et énonce toujours une durée de conservation maximale de deux ans. Ne pas tenir ses engagements constitue un abus de confiance qui dépasse le cadre du RGPD.
Enfin, dans sa politique de confidentialité (https://www.squad.fr/fr/annexes/politique-de-confidentialite/), Squad exigeait et exige toujours la « copie d’un justificatif d’identité » comme « condition indispensable pour le traitement » d’une demande d’exercice des droits.Or, d’après votre doctrine (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces), le principe est de ne pas exiger de justificatif, sauf en cas de doute raisonnable.
J’ai contacté la DPO de Squad le 11/09/2021 (cf. PJ 1). Elle m’a répondu le 13/09/2021 (cf. PJ 2).
La présente plainte a pour objectif de signaler les manquements au RGPD sus-référencés de Squad à l’autorité de contrôle que vous êtes dans un objectif de sanction à l’encontre de Squad et de documentation des nombreuses infractions au RGPD qui ont cours afin de guider votre action.
Si mes données personnelles ont été effacées, la réponse n’est pas satisfaisante sur les autres points : à ce jour, la politique de confidentialité de Squad énonce toujours une obligation de fournir un justificatif d’identité pour exercer ses droits et un traitement « pourvoir des emplois » basé sur l’intérêt légitime. De sus, j’ai reçu aucune information sur la mise en place d’un processus automatisé de purge des données personnelles obsolètes (> 2 ans, cf. la politique de confidentialité). De ces faits, les atteintes aux droits des personnes sont et seront réitérées.
La rhétorique habituelle, employée par la DPO de Squad, de l’incident isolé qui expliquerait une durée de conservation de mes données personnelles au-delà des deux ans annoncés ne me convainc pas : il s’agit d’une excuse courante qui reflète à chaque fois un choix délibéré de ne pas mettre en œuvre un nettoyage automatique des bases de données. Si vous contrôlez le système d’informations de Squad, vous y trouverez une masse de données périmées et/ou qui excédent la durée de conservation annoncée par la société.
En résumé : ma demande d’effacement a été traitée, mais les traitements illégaux de données personnelles (base légale irrecevable), les processus (affichage d’une prétendue obligation de présenter un justificatif d’identité pour exercer ses droits) et le système d’information (qui contient des données périmées) demeurent intacts… dans un objectif de business.
Or, le respect des droits des personnes ne saurait reposer sur l’exercice, par quelques individus isolés, de leur droit d’effacement. Base légale, respect des engagements annoncés, protection des données personnelles dès la conception, etc. Squad péche sur tout cela. C’est sur ces points (que le quidam ne peut ni contrôler ni imposer) que je sollicite, par la présente plainte, une action de la CNIL.
Ce qui est relaté dans la présente plainte est caractéristique du secteur : la majorité des entreprises de services / de conseils en informatique et des cabinets de recrutement enfreignent le RGPD à dessein afin de favoriser leurs affaires.Quand elles recrutent pour répondre au besoin d’un client, ces sociétés commerciales jouent sur le glissement « les candidats postulent sur telle offre d’emploi bien précise, donc je vais les rediriger vers d’autres clients et missions sans les en informer ni recueillir leur consentement » alors que ceux-ci postulent sur une offre bien précise (voire pour un client et une mission précis). Dans ce contexte, proposer des offres d’emploi supplémentaires sans recueillir le consentement des candidats constitue un mésusage des données personnelles confiées par lesdits candidats.
En effet, proposer des opportunités de carrière fussent-elles ciblées (« adaptées aux compétences ») est une finalité nouvelle et différente de celle visant à récolter, traiter, évaluer, etc. les candidatures pour une offre d’emploi précise. Comme nous l’avons vu au début de la présente, en l’absence de base légale plus adaptée (l’intérêt légitime est irrecevable par déséquilibre entre l’intérêt du responsable du traitement et l’atteinte aux droits des personnes), cette nouvelle finalité devrait reposer uniquement sur le consentement qui, in fine, n’est jamais recueilli.
De même, la conservation des CVs, des résultats des évaluations et des entretiens, etc. sans limite de durée (en tout état de cause, au-delà de celle consignée dans leur politique de confidentialité) est monnaie courante puisque ces sociétés commerciales pensent que leur base de profils (CVs, etc.) est leur valeur ajoutée sur le marché afin d’espérer être plus réactives à la demande d’un client qu’un éventuel concurrent. Se faisant, la base de profils n’est jamais purgée (nouvelle atteinte aux droits des personnes : données personnelles périmées, données disséminées), et l’engagement pris dans la politique de confidentialité n’est jamais tenu.
La sollicitation non désirée des ex-candidats des mois voire des années après leur candidature constitue un dérangement inutile et génère fatigue et oppression quand elles proviennent de plusieurs sociétés commerciales en simultané au motif du seul intérêt commercial desdites sociétés. Là encore, il y a une disproportion entre l’intérêt du traitement et l’atteinte aux droits des personnes qu’il constitue.
Ce n’est pas un hasard si les sociétés commerciales qui font l’objet de mes plaintes du jour m’ont toutes contacté en 2021. Le marché de l’emploi en informatique était alors tendu (cela est documenté dans la presse spécialisée), il fallait se tirer la bourre, quitte à utiliser le trésor de guerre (base de CVs) constitué illégalement afin de rebondir après la crise du Covid.
Ces infractions au RGPD doivent être regardées comme une atteinte à la libre concurrence en cela qu’elles ralentissent fortement l’émergence et le développement d’une multitude d’entreprises de services / de conseils en informatique et de cabinets de recrutement sains (qui respectent le RGPD).
Le problème est sectoriel et c’est à cette granularité-là que vous devez agir, comme en 2015 lorsque vous avez mis en demeure une palanquée de sites web de rencontres amoureuses. Mes différentes plaintes du jour ont pour but de vous y inciter fortement. Ainsi, je vous encourage à grouper leur traitement.
Bonne journée.