Recrutement et RGPD: comment assurer la protection des données des candidats?

Table des matières

Depuis que je forme des recruteurs, j’ai régulièrement des questions à propos du RGPD et de son application en entreprise, particulièrement pendant la phase de recrutement (logique). Comme je ne suis pas une experte du sujet, j’ai pris le temps de me renseigner et de me former cet été de manière à répondre aux questions que je rencontre le plus souvent (je mets toutes mes sources en fin d’article).

C’est un sujet qui m’a longtemps paru obscur mais après avoir mieux compris le cadre, il me semble qu’il s’agit, comme souvent, de faire avant tout preuve de bon sens et de respect. Et c’est une opportunité de faire mieux et de mettre en place des process fiables et transparents qui participent à la réputation d’une entreprise.

Je ne suis toujours pas une experte et cet article à surtout pour but de “déblayer” le terrain. Je vous donne ici quelques clés et conseils pour vous repérer et savoir où vous vous situez par rapport au RGPD. N’hésitez pas à vous renseigner en fonction de votre activité et à vous faire accompagner 🧐.

1/ Le RGPD, c’est quoi?

RGPD signifie Règlement Général sur la Protection des Données. Il est donc question ici du respect et de la protection des données personnelles (c’est l’une des facettes du droit au respect de la vie privée).

Le RGPD a pour but d’encadrer le traitement des données personnelles sur l’ensemble du territoire de l’Union Européenne. Il s’inscrit dans la continuité de la loi Informatique et Libertés de Janvier 1978 qui a également donné naissance à la CNIL, la Commission Nationale de l’Informatique et des Libertés. Ce n’est donc pas un nouveau sujet, mais plutôt le prolongement d’un travail démarré depuis plusieurs décennies.

Effectif depuis Mai 2018, le RGPD concerne toutes les entreprises et propose:

  • un contrôle renforcé de l’utilisation qui peut être faite des données concernant les citoyens
  • un dispositif d’harmonisation des règles en Europe pour concilier la protection des droits fondamentaux des individus et la libre circulation des données

Il s’agit d’une extension du cadre juridique permettant de s’adapter aux évolutions de la société, notamment dans le cadre de l’utilisation accrues des outils numériques (transformation digitale toussa, toussa)

2/ Les données personnelles et leur traitement

D’après la CNIL, une données personnelle est une information se rapportant à une personne physique identifiée ou identifiable. Il peut s’agir d’un prénom, du nom, d’une photo, d’un n° de téléphone, d’une adresse mail ou postale, d’un n° d’identifiant, d’un enregistrement vocal, etc…Toutes les entreprises, petites ou grandes sont amenées à gérer ce type d’informations et notamment les services RH et recrutement.

On parle de traitement de données personnelles pour désigner une opération (ou un ensemble d’opérations) portant sur des données personnelles: collecte, consultation, enregistrement, modification, conservation, suppression etc…Et on peut traiter des données personnelles de manière informatique ou sous format papier, cela ne concerne pas uniquement les fichiers numériques.

Exemples de traitement de données: une base de CV candidats, un fichier de clients ou de prospects, une liste d’envoi pour une newsletter…

A noter: si vous tenez un fichier clients où n’apparaissent que des coordonnées d’entreprises (n° de standard et adresses mail génériques du type “fournisseur@entreprise.fr”), il ne s’agit pas d’un traitement de données personnelles.

🎯 Chaque traitement de donnée doit avoir un objectif clair et défini: on ne peut pas collecter et conserver des données simplement pour le plaisir, cela doit servir à quelque chose de bien précis dans l’organisation.

Exemple: si je collecte des CV et des informations sur des candidats, c’est uniquement dans le but de gérer mes recrutements. Mon fichier de candidats ne doit pas servir à faire de la prospection commerciale.

Dans tous les cas, le traitement des données personnelles dans le cadre du RGPD doit respecter 3 obligations. Il doit être: licite, loyal et transparent.

3/ Quelles sont les obligations pour un recruteur ?

Un recruteur est forcément amené à collecter, trier et conserver les données personnelles des candidats. C’est d’ailleurs l’un des objectifs du sourcing: trouver un maximum d’informations.

Si vous souhaitez savoir si vous êtes en conformité avec le RGPD, vous devriez pouvoir répondre aux 3 questions suivantes:

  • Quelles sont les données dont j’ai réellement besoin dans le cadre de mon processus de recrutement? On parle ici des données qui sont vraiment nécessaires;
  • Pourquoi ai-je besoin de ces données? Vous devez pouvoir expliquez à quoi vont servir ces données dans le cadre précis du recrutement;
  • Les candidats sont-ils d’accord pour que je collecte et que je conserve ces données? Vous devez avoir leur consentement pour traiter et stocker leurs informations

Evidemment, ce n’est pas à vous seul, en tant que recruteur, de gérer tout le sujet du RGPD. Mais vous devez avoir conscience que vous ne pouvez pas faire n’importe quoi avec les CV et les données des candidats.

Ensuite, vous devez pouvoir garantir des points précis prévus par le RGPD

Le droit d’accès: tous les candidats doivent pouvoir accéder aux informations les concernant que vous avez recueillies et vous devez être en mesure de leur expliquer comment vous traitez leurs données

Le droit de rectification: les candidats peuvent vous demander de corriger, modifier et mettre à jour les informations que vous conservez dans vos bases de données (ATS et autres logiciels de suivi)

Le droit à l’oubli: les candidats peuvent vous demander de récupérer leurs données ou de les supprimer. Et vous devez démontrer que vous avez bien effacé les données en question

La sécurisation des données: vous ne pouvez pas stocker les données des candidats n’importe où. En principe, vous devez conserver les données personnelles sur des serveurs sécurisés et de préférence basé dans l’Union Européenne

Le consentement: c’est un point absolument central du RGPD puisqu’il renforce le pouvoir de contrôle des utilisateurs sur leurs données. Vous devez donc obtenir un consentement clair de la part de vos candidats vous autorisant à recueillir et à traiter leur données personnelles

4/ Comment s’y prendre pour être conforme?

Si ce n’est pas encore fait, vous devez vérifier que vous suivez bien les recommandations du RGPD (sous peine de sanctions qui peuvent être lourdes, CF point 5)

Le meilleur moyen est de se faire accompagner ou au minimum de désigner une personne qui sera en charge du sujet en interne. On parle souvent de DPO ou Délégué à la Protection des Données.

Au quotidien, voici quelques conseils simples à suivre

👉 Réduisez le nombre de données collectées: vous ne pouvez pas exiger tout et n’importe quoi pendant le processus de recrutement. L’article L1221-6 du Code du travail précise que « les informations demandées doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles »

Par exemple, un CV, la copie d’un diplôme ou une lettre de motivation (même si elle n’a pas forcément d’utilité…) sont des informations que vous pouvez légitimement demander à un candidat, y compris au début d’un processus de recrutement. Par contre, vous n’êtes pas censé demander le n° de sécurité sociale, le permis de conduire ou un RIB qui sont des données sensibles non-nécessaires à ce stade de vos échanges

👉 Informez les candidats: communiquez clairement sur votre politique RGPD et sur la confidentialité des données. Vous pouvez utiliser des modèles de mails (vous trouverez des exemples sur le site de la CNIL) Par exemple, vous pouvez ajouter un paragraphe à la fin de vos mails en insérant un texte du type:

“Les informations personnelles vous concernant sont stockées de manière sécurisée et sont accessibles uniquement aux collaborateurs habilités en interne.
Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’opposition et de suppression des données vous concernant. Pour exercer vos droits, il vous suffit de nous écrire à l’adresse xxx@yyy.fr”

👉 Limitez la durée de stockage: vous ne pouvez pas conserver les données personnelles des candidats indéfiniment. N’oubliez pas encore une fois que ce sont des données sensibles et que vous devez les protéger. La CNIL recommande une durée maximale de conservation de 2 ans pour les dossiers des candidats. Si vous souhaitez conserver les informations plus longtemps, vous devrez demander et obtenir l’accord des candidats concernés.

👉 Utilisez des outils conformes: si vous le pouvez, n’hésitez pas à investir dans des logiciels qui suivent les principes du RGPD et qui vous donnent donc un certain nombre de garanties. Cela ne doit pas vous empêcher de rester vigilant mais différentes fonctionnalités vous faciliteront la vie. Si vous faites partie des recruteurs qui stockent des données sensibles dans des tableaux Excel (et je ne vous blâme pas, ça a longtemps été mon cas 😱), il est peut-être temps d’en discuter sérieusement avec votre direction. La plupart des ATS sont aujourd’hui conformes aux normes du RGPD, mais prenez le temps d’en discuter et de vérifier.

👉 Faites preuve de bon sens: il y a des gestes simples qui peuvent éviter de prendre des risques inutiles.

Si vous imprimez encore les CV des candidats, ne les laissez pas traîner sur votre bureau à la vue et au su de tous! Au minimum, rangez-les dans un tiroir fermé à clé (et ne laissez pas non plus la clé sur votre bureau!)

Si vous stockez des CV et autres documents sur un serveur, pensez à (faire) restreindre l’accès aux seules personnes qui sont autorisées à les consulter. Suivez des règles strictes pour la protection de données particulièrement sensibles (documents d’identité RIB, casiers judiciaires): vous pouvez restreindre les accès/consultations en ajoutant un mot de passe pour ouvrir les documents concernés par exemple.

5/ Quelles sont les sanctions en cas de non-respect du RGPD?

C’est l’article 83 du RGPD qui prévoit les sanctions en cas de violation des principes du règlement.

La sanction doit toujours être proportionnée mais dissuasive et prend en compte plusieurs éléments, notamment:

  • la gravité et la durée de la violation
  • les mesures mises en place pour diminuer le préjudice subi par la/les personne(s) concernée(s)
  • le degré de coopération

La sanction peut être

💰une amende “administrative“: jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires

📜une sanction pénale: jusqu’à 5 ans d’emprisonnement et 300 000€ d’amende. La France a inséré dans son Code pénal plusieurs sanctions liées au traitement de données personnelles.

Dans la plupart des cas, la CNIL va surtout adresser des avertissements et des rappels à l’ordre quand un manquement au RGPD est constaté.

Les personnes concernées (qui ont subi le préjudice lié à la violation du RGPD) peuvent demander des dommages et intérêt qui s’ajoutent aux sanctions précédentes.

La CNIL peut choisir de rendre les sanctions publiques ce qui peut avoir des conséquences très négatives sur l’image d’une entreprise…

Conclusion

Même si le RGPD est effectif depuis plus de 3 ans, c’est encore un sujet qui n’est clairement pas maîtrisé en entreprise et notamment par les recruteurs. Certaines règles simples peuvent éviter des prises de risques inutiles et des sanctions mais il mérite qu’on se pense sérieusement sur la question.

Il faut retenir l’importance du consentement (central dans le RGPD) et la nécessité que le traitement des données personnelles soit licite, loyal et transparent.

Et le sujet revient au coeur de l’actualité avec l’arrivée du passe sanitaire obligatoire pour de nombreux salariés d’ici quelques jours…Je pense que j’y reviendrai!

Liste des ressources qui m’ont permis de rédiger cet article:

Facebook
Twitter
LinkedIn

Découvrir plus d'articles...

Recruter en ESN: mode d’emploi

Je reçois souvent des messages de recruteurs/recruteuses qui me demandent comment recruter en ESN. Ils viennent de démarrer en ESN et ont

2 réponses

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *