Loi 25 et RH : gérer les CV, entretiens et données candidats en conformité

La Loi 25 ne concerne pas uniquement le site web de votre entreprise. Elle touche aussi — et de façon très concrète — tout ce que vous faites avec les données personnelles dans le cadre de vos activités de ressources humaines : affichage de postes, réception de CV, entretiens d'embauche, dossiers d'employés, évaluations de performance. Si vous gérez des personnes au Québec, vous gérez des renseignements personnels au sens de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25).

Ce guide vous explique vos obligations concrètes à chaque étape du cycle RH, les erreurs les plus fréquentes, et comment vous mettre en conformité sans transformer votre département en bureau juridique.

Pourquoi la fonction RH est particulièrement exposée

Le département des ressources humaines est l'un des plus grands collecteurs de renseignements personnels dans toute organisation. À chaque étape du cycle de vie d'un employé, des données sensibles circulent :

• Au recrutement : nom, adresse, historique professionnel, formation, références, parfois situation familiale ou état de santé (bilans de présélection)
• À l'embauche : NAS, coordonnées bancaires, informations d'assurance, dossier médical pour les avantages sociaux
• En cours d'emploi : évaluations de performance, notes disciplinaires, absences pour raison médicale, rémunération détaillée
• À la fin du contrat : motifs de départ, références, dossier complet archivé

Chacune de ces catégories est soumise aux obligations de la Loi 25 dès qu'elle circule sous forme numérique — courriel, formulaire en ligne, logiciel RH, stockage cloud.

La collecte de CV : ce que vous avez le droit de demander

Le principe de minimisation des données

La Loi 25 s'appuie sur un principe fondamental : vous ne pouvez collecter que les renseignements personnels qui sont nécessaires pour la finalité déclarée. En recrutement, cela signifie que votre formulaire de candidature ne devrait demander que les informations pertinentes pour évaluer la candidature au poste affiché.

Des questions sur l'état civil, la situation familiale, l'origine ethnique ou l'état de santé lors de la candidature initiale sont non seulement contraires à la Charte des droits et libertés, mais elles constituent aussi une collecte de renseignements non nécessaires au sens de la Loi 25. La double violation potentielle est un signal d'alarme à prendre très au sérieux.

La durée de conservation des CV

C'est l'obligation la plus souvent négligée par les employeurs québécois. Lorsqu'un candidat n'est pas retenu, son CV et ses documents de candidature doivent être détruits dans un délai raisonnable — que vous devez définir dans votre politique de confidentialité. Une pratique courante et défendable est de conserver les CV non retenus pendant 12 mois (pour référence en cas de poste similaire) puis de les détruire de façon sécurisée.

Conserver des centaines de CV dans une boîte de courriel partagée ou sur un serveur partagé sans aucune politique de nettoyage constitue une accumulation de renseignements personnels bien au-delà de ce qui est nécessaire — et c'est précisément ce que la CAI évalue lors d'une inspection.

La transparence lors de la réception de la candidature

Lorsqu'un candidat soumet sa candidature — que ce soit via votre site web, un portail comme Indeed ou LinkedIn, ou par courriel — vous avez l'obligation de l'informer :

• Quelles informations sont collectées et pourquoi
• Comment elles seront utilisées (évaluation de la candidature uniquement ? partage avec d'autres départements ?)
• Combien de temps elles seront conservées
• Comment le candidat peut exercer son droit d'accès ou de retrait

Dans la pratique, cette information peut apparaître dans la confirmation automatique de réception de candidature, dans le pied de votre formulaire de candidature, ou dans les conditions d'utilisation de votre page carrières. L'important est qu'elle soit accessible et lisible avant que le candidat soumette ses informations.

Les entretiens d'embauche : enregistrement, notes et questions interdites

Enregistrer un entretien : obligations et limites

De plus en plus d'entreprises enregistrent leurs entretiens — en personne via une plateforme vidéo, ou à des fins de formation interne. La Loi 25 s'applique pleinement à ces enregistrements :

• Le candidat doit être informé de l'enregistrement avant qu'il commence, et son consentement doit être explicite
• L'enregistrement ne peut pas être utilisé à d'autres fins que celles déclarées (vous ne pouvez pas analyser l'enregistrement avec un outil d'IA biométrique sans consentement supplémentaire)
• L'enregistrement doit être conservé de façon sécurisée et détruit dans un délai raisonnable après la fin du processus de sélection

L'analyse automatisée des entretiens par IA — tonalité de la voix, expressions faciales, mots-clés — est une zone particulièrement sensible sous la Loi 25. L'article 12.1 de la loi encadre les décisions entièrement automatisées fondées sur des renseignements personnels. Si votre outil d'entrevue utilise l'IA pour scorer les candidats, vous avez des obligations de transparence renforcées.

Les notes de recruteur

Les notes prises par le recruteur lors d'un entretien constituent des renseignements personnels au sens de la Loi 25. Un candidat peut demander à accéder à ces notes en vertu de son droit d'accès. Cela signifie que vos recruteurs doivent être formés à prendre des notes objectives et professionnelles — toute note subjective, discriminatoire ou non pertinente peut être problématique à la fois sous la Loi 25 et sous la Charte des droits.

Le dossier d'employé : quelles données, combien de temps

Données obligatoires vs données optionnelles

Votre logiciel RH contient probablement beaucoup plus d'informations que nécessaire. La Loi 25 vous oblige à faire la distinction entre :

• Données obligatoires légalement : NAS (pour les déductions fiscales), coordonnées, informations de rémunération, heures travaillées, congés
• Données optionnelles avec consentement : coordonnées d'urgence, informations médicales pour les avantages sociaux, photo pour le répertoire interne
• Données qui ne devraient pas être collectées sans raison précise : informations familiales détaillées, convictions religieuses, appartenance syndicale hors des cas prévus par la loi

La durée de conservation légale vs la durée Loi 25

Les lois du travail québécoises et fédérales imposent des délais de conservation pour certains documents RH (bulletins de salaire, T4, relevés d'emploi). La Loi 25 n'efface pas ces obligations légales — mais elle impose de ne pas conserver les renseignements au-delà des délais légaux. En pratique, votre politique de conservation des données RH doit être alignée sur :

• Les exigences fiscales et du travail (généralement 5 à 7 ans pour les documents de paie)
• La suppression des données non obligatoires après la fin de l'emploi (par exemple, les évaluations de performance)
• La destruction sécurisée des documents physiques et numériques dans les délais prévus

Les logiciels RH et la question du transfert transfrontalier

La majorité des logiciels RH utilisés au Québec — Workday, BambooHR, ADP Workforce Now, HiBob — sont d'origine américaine et hébergent les données sur des serveurs aux États-Unis. Cela crée une obligation spécifique sous l'article 17 de la Loi 25 : tout transfert de renseignements personnels hors du Québec doit être encadré par un accord de protection conforme.

Concrètement, pour votre logiciel RH américain, vous devez :

1. Obtenir un accord de traitement des données (DPA) auprès de votre fournisseur
2. Vérifier que cet accord couvre les exigences spécifiques de la Loi 25 (pas seulement le RGPD européen)
3. Informer vos employés du transfert dans votre politique de confidentialité interne
4. Évaluer si une EFVP (Évaluation des facteurs relatifs à la vie privée) est nécessaire pour les projets à risque élevé

Les 4 actions prioritaires pour les équipes RH

1. Auditez votre page carrières et vos formulaires de candidature. Listez chaque information demandée, vérifiez qu'elle est nécessaire, ajoutez les mentions légales obligatoires, et assurez-vous que les candidats non retenus sont informés du sort de leurs données.
2. Rédigez une politique de conservation des données RH. Définissez explicitement combien de temps vous gardez les CV, les notes d'entretien, les dossiers d'employés et les données de paie — et comment vous les détruisez de façon sécurisée.
3. Vérifiez les accords avec vos fournisseurs RH. Pour chaque logiciel qui traite des données d'employés, demandez le DPA ou l'accord de traitement. Si votre fournisseur ne peut pas vous en fournir un, c'est un risque à documenter.
4. Formez vos recruteurs. Ils collectent des renseignements personnels au quotidien. Une formation de deux heures sur les bases de la Loi 25 appliquées au recrutement peut éviter des incidents coûteux.