RGPD ET RECRUTEMENT : LES BONNES PRATIQUES

Qu’est-ce que la RGPD ?

Cette nouvelle réglementation qui a tendance à préoccuper de plus en plus le marché, sera appliquée le 25 mai 2018. Elle vise à protéger les données personnelles traitées par tous types d’organisations : entreprises, administrations ou associations. A noter que la RGPD n’est pas une révolution en soi. Beaucoup de points existaient auparavant. Il s’agit plutôt d’un renforcement des règles en vigueur plutôt que d’une profonde mutation structurelle.

Comme beaucoup de disciplines, le recrutement sera naturellement impacté par ces nouveaux textes. Comment cela va-t-il se traduire d’un point de vue opérationnel ?

Les candidats bénéficieront d’un droit d’information, de regard et d’action renforcé au regard de ce qui était prévu par la loi informatique et liberté de 1978.

Pour cela, les entreprises devront revoir leur manière de considérer et surtout de traiter les données personnelles des candidats.

Quels sont les grands principes de la RGPD ?  

  • Un renforcement des droits des personnes,
  • Une conformité basée sur la transparence et la responsabilisation,
  • Des responsabilités partagées et précisées,
  • Un cadre de transfert des données hors union européenne mis à jour,
  • Des sanctions encadrées, graduée et renforcées,
  • (…)

Les bonnes pratiques en matière de recrutement :

1/ Cartographier les traitements de données personnelles

Avant toute chose, avez-vous une idée précise des données personnelles que vous collectez ? La première étape consiste donc à déterminer :

Qui récolte ces données ? Quelles sont leur nature ? Pourquoi les récoltez-vous (quelle est la finalité) ? Où sont hébergées ces données ? Jusqu’à quand ? Et enfin quelles-sont les mesures de sécurité mises en œuvre pour minimiser le risque d’accès non autorisé aux données ?

2/ Informer les candidats

Il est désormais impératif pour utiliser les données d’un candidat d’obtenir son consentement ou a minima de lui donner la possibilité de s’opposer à la détention ou à l’utilisation des données. La RGPD qualifie cette thématique de droit à l’oubli.

Par conséquent, lors de sa candidature, vous pouvez de manière automatique ou manuelle informer le candidat que les données le concernant seront conservées ou supprimées selon vos usages mais qu’il dispose dans tous les cas d’un droit de modification ou de suppression. Communiquez donc l’adresse email et/ou le numéro de téléphone qui lui permettra de faire valoir ses droits.

Il peut être aussi pertinent de rédiger un document qui pourrait être adressé au candidat lors de la confirmation de l’entretien par exemple précisant quelles sont les informations qui seront collectées et surtout l’utilisation que vous en ferez.

 

La RGPD précise que les données personnelles doivent être supprimées si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Précisez donc que les données seront supprimées si aucun contact n’était établi dans un délai de deux ans. Délai préconisé par la CNIL aujourd’hui.

Enfin vous pouvez aussi préciser que le candidat peut, s’il le souhaite, faire valoir son droit à la portabilité. Cela implique que si le candidat vous le demande, vous devez lui restituer ses données sous une forme qui lui permette de les réutiliser afin qu’il puisse les communiquer à un tiers le cas échéant.

L’objectif de ces pratiques est de répondre à la notion de transparence mise en avant par la réglementation.

3/ Centraliser vos données

Si vous souhaitez être en capacité de gérer correctement l’ensemble des données de vos candidats, il semble important d’utiliser un ATS ou un SIRH qui vous permettra de retrouver les informations rapidement et surtout qui vous facilitera la suppression ou la restitution des données à vos candidats. Sans un tel outil, les recherches peuvent se montrer fastidieuses !

Attention, la RGPD apporte un complément sur les rôles et responsabilités de chacun. Par conséquent, vous devrez veillez à ce que le sous-traitant (ATS par exemple) avec lequel vous collaborez respecte ses obligations en matière de sécurité et de confidentialité des données.

Par ailleurs, un des principes de la RGPD réside en la minimisation de la collecte des données au regard de la finalité. Exemple simple, il est impossible de demander le numéro de sécurité social à un candidat lors du processus de recrutement. Cela n’a pas d’utilité.

4/ Cloisonner en interne l’accès aux informations

Une personne en charge du recrutement et des ressources humaines n’aura pas accès aux mêmes informations qu’un manager opérationnel. Veillez donc à ce que votre SIRH / ATS soit paramétré en ce sens. Cette étape permet de respecter le principe de sécurisation des données.

Rassurez-vous la législation préconise la nomination d’un Data Protection Officer. Ce dernier rattaché au département SI ou juridique vous accompagnera pour être en conformité avec la réglementation.

Source : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels