RGPD: quel impact sur vos recrutements ?

En tant que recruteur, vous collectez et traitez forcément des données personnelles. Qu'est-ce qu'une donnée personnelle, concrètement ? Quelles obligations avez-vous envers vos candidats ? Comment être conforme aux RGPD ? L'univers juridique peut être assez compliqué à comprendre parfois, c'est pourquoi nous avons décidé de vous éclairer.

>> Téléchargez gratuitement notre livre blanc sur l'utilité d'un ATS pour vos recrutements.

Le RGPD, qu'est-ce que c'est ?

#Définition

Tout d'abord, il faut savoir que RGPD est l'acronyme de Règlement Général sur la Protection des Données (en anglais GDPR pour “General Data Protection Regulation”). Ce règlement a été constitué afin d'’harmoniser le recueil des données dans le cadre des activités numériques des entreprises et encadrer la gestion des données personnelles dans tous les Etats membres de l’Union Européenne.

#Définition d'une donnée personnelle

La définition officielle de la CNIL est la suivante « toute information se rapportant à une personne physique identifiée ou identifiable est considérée comme une donnée personnelle. »

Nous pouvons donc nous demander ce que l'on entend par identification ? En ce qui concerne les données personnelles, il existe deux options: l’identification directe et d’identification indirecte.

On parlera d'identification directe lorsqu'une personne livre des informations concrètes sur son identité à un organisme, comme son nom, prénom, âge et autres données personnelles.

On parlera d'identification indirecte lorsqu'elle livrera des informations personnelles sous forme d'identifiants, de numéro de contrats, etc.

#Application

Depuis le 25 mai 2018, en France, le Règlement Général sur la Protection des Données ou RGPD oblige toutes les entreprises européennes concernées par le traitement de données personnelles à se conformer aux exigences du nouveau règlement. Pour information, ce règlement fait suite à la Loi Informatique et Libertés de 1978, qui encadrait la collecte et l'utilisation des données personnelles.

Le RGPD à plusieurs objectifs :

• Renforcer le droit des utilisateurs quant à la protection de leurs données personnelles.
• Responsabiliser légalement les différents organismes qui traitent leurs données.
• Harmoniser les politiques de protection des données dans toute l’Union Européenne.

En tant que recruteur, que dois-je savoir ?

En tant que recruteur, vous êtes amené à collecter et trier des données personnelles de vos candidats : vous recevrez et collectez les coordonnées de prospects à travers les candidatures que vous traitez. Vous êtes donc amenés à identifier des candidats et à partir de ce moment là, vous devez vous conformer aux normes du RGPD. Cela implique plusieurs actions de votre part :

#Le droit à l'oubli

Dans le cadre du RGPD, toute personne ayant livré des données personnelles à organisme quelconque peut lui demander la récupération, la modification et la destruction de ces dernières.

De ce fait, si vous souhaitez continuer à recueillir les données personnelles de vos candidats, vous devez pouvoir tracer et transmettre ou supprimer toutes les données que vous collectez sur eux. C'est ce qui s'appelle 'le droit à l'oubli". "Oh mais ça n'arrive jamais" Détrompez-vous, les candidats sont de plus en plus soucieux de l'utilisation de leurs données personnelles, c'est pourquoi cette obligation n'est pas à prendre à la légère.

Pour rendre cela plus simple, il est plus que recommandé de se munir d'un logiciel de recrutement, il vous permettra de tracer plus rapidement la provenance d’informations sur un candidat particulier.

#Le consentement

Avant de collecter des informations personnelles sur vos candidats, vous devez absolument vous assurer que vous avez eu leur consentement pour le faire, surtout lorsqu'il s'agit de constituer un "vivier". Nous avons bien conscience que cette pratique peut prendre beaucoup de temps sur des têches plus prioritaires. Encore une fois, pour gagner du temps, nous vous conseillons de vous faire aider par un ATS qui sera capable de générer des mails automatiques et d’en garder une trace officielle, ce qui vous garantira d'être en accord avec la loi.

#La sécurité des données

Comme nous l'avons vu, l'objectif du RGPD est de limiter et sécuriser la confidentialité des données personnelles des utilisateurs. Il n'est donc pas surprenant qu'une autre des grandes mesures de ce règlement soit de vous assurer que les données sont bien au chaud sur un serveur sécurisé, et de préférence basé dans l'Union Européenne.

Pour être certain d'être en conformité avec la loi, nous vous conseillons, si ce n'est déjà fait, de :

• Définir la manière dont vous traitez les données dans le cadre de vos processus de recrutement, de sorte à bien pouvoir le justifier dans votre politique de confidentialité.
• Mettre à jour votre politique de confidentialité pour assurer une transparence sur ces sujets-là.
• Demander le consentement du candidat pour stocker ses données.

Combien de temps puis-je conserver leurs données personnelles ?

Au bout de 2 ans, les informations sur les candidats non retenus à l'embauche et leur CV devront être supprimées 2 ans après le dernier contact.

A savoir : les dates de limites de conservation des données personnelles de vos salariés:

• 5 ans pour ce qui est des données personnelles des salariés de l'entreprise après la fin de la relation contractuelle.
• 10 ans pour tous les documents comptables, à savoir les livres et registres comptables (livre journal, livre d'inventaire...) ainsi que les pièces justificatives (bon de commande, facture client et fournisseur...) à compter de la clôture de l'exercice.

Voici deux emails type que vous pourrez utiliser pour informer vos candidats :

#Email standard : 

"Les données collectées que vous venez de nous communiquer sont indispensables à l'exécution de votre candidature. Elles seront conservées pendant une durée de deux ans et sont destinées au responsable de traitement, soit [Nom de l'entreprise] ou le cas échéant, à ses sous-traitants.
L'entreprise [Nom entreprise], concernée par le recrutement et située [Adresse], collecte vos données dans le cadre du recrutement de ses candidats et s’engage à ne pas transférer vos données personnelles en dehors de l’Union européenne. Vous disposez toutefois d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition au traitement de vos données et du droit de définir des directives relatives au sort de vos données après votre décès. Vous pouvez exercer vos droits par courrier postal en joignant une copie de votre pièce d’identité à votre demande à notre adresse [Adresse] ou par email à l’adresse suivante : [Email]. S’il ne vous était pas donné satisfaction, vous avez la possibilité de saisir la CNIL."

#Email plus cool

"Qu'allons-nous faire de vos données personnelles ? Pas d'inquiétude à avoir, elles seront exploitées dans le seul but d’étudier votre candidature. Sachez que la protection de vos données est une priorité pour nous. Si cette question vous taraude vraiment, n'hésitez pas à retrouver notre Politique de protection des données personnelles [Ajouter le lien], qui explique quel usage est fait de vos informations, la manière dont elles sont exploitées et conservées. Vous y trouverez également le rappel de vos droits concernant vos données personnelles et les moyens de nous contacter pour toute demande d'information complémentaire."

Comment savoir si votre logiciel de recrutement est conforme aux normes du RGPD ? 

Voici la liste des mesures nécessaires pour être en conformité au RGPD :

• Les candidats peuvent consulter, modifier ou supprimer leurs données via une page web unique.
• Les candidats peuvent demander la suppression intégrale de leurs données.
• Anonymisation des fiches candidats.
• Envoi (automatique, c'est mieux) d'un mail au candidat deux ans après sa dernière candidature pour une demande de consentement.
• Email de consentement envoyé dès l'importation d'un candidat que vous souhaitez ajouter à vos viviers.
• En cas de fuite de données de candidats, vous devez pouvoir les avertir rapidement dans un délai de 48h fixé par la loi.
• Le logiciel de recrutement tient un registre de sécurité de ses sous traitants et fournisseurs.

Force est de constater que les données des candidats sont devenues le moteur du marché du recrutement. Malheureusement, la plupart du temps elles sont utilisées sans le consentement des candidats, ou à leur insu. Le RGPD représente donc une belle opportunité pour les candidats de faire respecter leurs droits, et pour les entreprises de gagner la confiance de leurs partenaires, leurs candidats et leurs collaborateurs. Terminée la collecte de données artisanale et non encadrée où l'on perdait du temps et rien n'était sécurisé, désormais, il faut laisser place à tous les bénéfices que peut vous apporter la digitalisation sur votre stratégie RH.