Conformité au RGPD : Les Pratiques à Connaître
#Recruteur
Le recrutement des nouveaux collaborateurs fait appel à des expertises spécifiques. Mais en plus des questions RH classiques, vous devez respecter certaines règles liées au traitement des données personnelles. Pour vous mettre en conformité avec le RGPD, différentes pratiques peuvent être adoptées par votre entreprise. Loin de constituer une tâche insurmontable, ces quelques techniques vous fourniront un double avantage. En plus d’éviter la sanction liée à la non-conformité avec les directives européennes, vous renforcez votre image de marque.
Qu’est-ce que le RGPD ?
Depuis mai 2018, le Règlement Général sur la Protection des Données s’applique à toute organisation traitant des données personnelles pour son propre compte ou celui d’un tiers.
Ces dispositions européennes touchent au droit au respect de la vie privée et à la protection des informations personnelles. Elles visent une harmonisation du traitement de ces data à l’échelle communautaire, en conformité avec la libre circulation des individus.
Le RGPD impose 3 principes au traitement des données personnelles : la transparence, la loyauté et la licéité du processus.
Une entreprise concernée par la réglementation devra se montrer claire sur sa collecte et gestion des données, ainsi que sur son fondement juridique.
Vous êtes concerné par le RGPD ? Sachez que celui-ci implique plusieurs garanties :
- Le droit à l’oubli, ou la possibilité pour le candidat de solliciter la suppression de ses données stockées par une société.
- Le droit d’accès, qui permet à un individu de connaître le détail de ses données personnelles collectées par l’entreprise.
- Le droit à la portabilité des données, la personne physique concernée pouvant exiger l’exportation de sa data.
- La sécurisation des données collectées, l’organisme collectant les informations devant empêcher la divulgation de celles-ci à des tiers extérieurs.
- Le droit de rectification, un candidat pouvant demander une modification des éléments collectés en cas d’imprécision par exemple.
Pour savoir si vous êtes en conformité avec le RGPD, vous devez pouvoir identifier les données qui vous sont réellement nécessaires dans votre processus de recrutement.
En cas de contrôle, vous devez être en mesure d’expliquer pourquoi vous avez besoin de ces informations. Il vous faudra aussi avoir le consentement des candidats quant au traitement et au stockage de leurs données.
Pourquoi est-il nécessaire d’appliquer les principes du RGPD pendant le recrutement ?
Éviter la sanction administrative et pénale
Le non-respect des principes du RGPD est réprimé par l’article 83.
Le régime juridique de cette réglementation se fonde sur un esprit dissuasif. Autrement dit, la sanction varie en fonction de l’importance et de la gravité du défaut de conformité, et de son ancienneté.
Si vous avez pris des mesures pour tenter de réparer un préjudice subi par des candidats liés à ce défaut de conformité, la sanction sera réajustée en fonction de vos actions.
Dans le cas où votre organisation fait l’objet d’une condamnation, celle-ci peut d’abord prendre la forme d’une amende. Cette dernière peut monter jusqu’à 4 % du chiffre d'affaires de votre société.
Le Code pénal français prévoit également des dispositions liées au traitement des données. La sanction pénale peut impliquer plusieurs années d'emprisonnement, et jusqu’à 300 000 € d’amende.
Vous l’aurez compris, appliquer les principes du RGPD dans votre processus de recrutement vous évitera différentes sanctions.
Renvoyer l’image d’un employeur rigoureux et fiable
Un recruteur soucieux du traitement des données de ses candidats renverra toujours une image plus positive auprès de ces derniers.
C’est d’autant plus vrai dans le domaine de la tech. Outre une plus grande sensibilité à la gestion de la data et à la protection des données, les individus peuvent attendre une certaine éthique de la part des organisations.
Dans des secteurs faisant l’objet de tensions de recrutement, le respect du RGPD peut faire la différence et vous positionner comme une entreprise plus attrayante.
Pour toutes ces raisons, certaines entreprises considèrent que l’établissement d’une politique de données conforme au RGPD s’inscrit dans le métier du Data Engineer.
Nos conseils concrets pour assurer la protection des données des candidats !
En pratique, la protection des données des candidats se décline sous forme de plusieurs actions possibles.
Désignez un responsable chargé de la politique de protection des données personnelles
En interne, vous pouvez choisir d’intégrer le sujet de la gestion des données au sein d’un Équivalent Temps Plein (ETP). En désignant une personne chargée de la politique du traitement de cette data, vous vous assurez de pratiques plus fluides et transparentes.
Bien sûr, des consultants extérieurs peuvent également venir vous appuyer dans l’établissement de votre politique de traitement des données.
Appliquez le principe de transparence en suivant les recommandations de la CNIL
Concrètement, vous pouvez ajouter un paragraphe concis, mais précis à la fin de vos questionnaires et de vos mails. Ce texte court écrit en caractères réduits, assure les candidats de la sécurisation de leurs données, et les informe de leurs droits issus du RGPD (droit à l’oubli, à la rectification…).
Enfin, ce rappel des droits de l’internaute doit s’accompagner d’une adresse de contact pour que l’individu puisse faire part de ses demandes.
Prévoyez une date limite de conservation des données
Vous n’avez normalement pas besoin de stocker indéfiniment les informations liées aux candidats.
En pratique, les entreprises prévoient généralement une durée maximale de 2 ans pour le stockage des données. Cette limitation permet de mieux se mettre en conformité avec les principes du RGPD.
Soyez attentif à la politique de traitement des données de vos prestataires et réseaux
Vous envisagez ou avez décidé d’intégrer d’autres entités à votre processus de recrutement ? Les réseaux professionnels comme LinkedIn, ou les organisations spécialisées comme l’APEC, Pôle Emploi ou Indeed peuvent effectivement vous aider efficacement.
Que ce soit avec une agence de recrutement ou une plateforme, vous devez prêter attention aux dispositions contenues dans votre contrat de collaboration.
Celles-ci doivent notamment prévoir le régime et les modalités de traitement des données personnelles. Vous devez, là aussi, vous assurer de la bonne conformité avec le RGPD.
Développez les compétences de vos collaborateurs
Le maniement des données personnelles de vos candidats implique une expertise précise, et une certaine éthique. Le RGPD englobe des informations sensibles et strictement encadrées par la loi.
À côté des formations au métier de recruteur spécialisé, les équipes dédiées au recrutement d’une entreprise peuvent monter en compétence sur la question du RGPD. Cela leur permet notamment de savoir quelles sont les informations essentielles pour l’entreprise et les questions à poser aux candidats.
Quelles sont les erreurs communes à éviter en terme de RGPD ?
Le duplicata des données candidat et des données collaborateur
Une fois que vous avez recruté un nouveau salarié, pensez à bien transférer les données issues de son dossier candidat à son profil interne à l’entreprise.
Cela vous évitera les doublons inutiles, et le stockage de données devenues obsolètes au sein de votre base de données candidat et ATS.
La conservation des données au-delà de 2 ans
Pour purger votre base de données et rester en conformité avec la réglementation, organisez précisément l’effacement des informations sur le candidat.
Certains ATS ou outils liés au recrutement prévoient des options permettant la suppression automatique des données personnelles.
Le stockage des casiers judiciaires
En fonction de votre secteur d’activité ou du poste offert, vous pouvez avoir besoin d'accéder à des données très sensibles, et donc au casier judiciaire du candidat.
Qu’il s’agisse du bulletin n° 2 ou du bulletin n° 3, l’employeur n’a en aucune façon le droit de conserver ces données dans sa base.
La négligence des règles de l’accessibilité
Dans la pratique, vous pouvez recourir à un bandeau cookie pour afficher votre politique de traitement des données personnelles. C’est ici que seront également mentionnés les droits de l’internaute.
Assurez-vous que les caractères présents soient suffisamment visibles, et donc accessibles. Pour ce faire, adoptez une taille et une police adaptées, sans oublier le contraste de couleurs qui devra être assez élevé.
Le choix d’une politique du One Shot
Pour vous mettre en conformité avec le RGPD, vous devrez fournir un travail dans le temps. Les recommandations de la CNIL et les exigences européennes sont en constante évolution. C’est pourquoi les organisations soumises au RGPD doivent s’adapter en continu.
Un simple mécanisme de veille vous suffira à vous tenir informé des changements en termes de réglementation. Cela vous évitera l’inadéquation entre vos pratiques et les potentielles nouvelles dispositions légales.