Recrutement et RGPD : 11 pratiques à adopter pour être en conformité

Comment gérer les données personnelles de mes clients ? C’est sans aucun doute LA question qui vous taraude quotidiennement depuis l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), en mai 2018.

Risques de sanctions financières, perte de confiance des consommateurs… En cas de fuite de données ou de contrôle inopiné de la CNIL (​​Commission Nationale de l'Informatique et des Libertés), un non-respect des directives européennes ne serait pas sans conséquences pour la pérennité de votre entreprise. 

Des menaces concrètes évidentes qui, inévitablement, guident vos actions pour le développement d’une activité commerciale conforme à la législation en vigueur, respectueuse de la vie privée de vos clients.

Pourtant, une autre menace plane, de temps à autre, sur votre société. Ceci sans même que vous vous en aperceviez. Vous ne voyez pas ?

Laissez-moi vous éclairer : elle concerne votre service ressources humaines et des personnes en contact occasionnel avec votre entreprise...

Ça y est. Je suis sûr que vous avez identifié les périodes pendant lesquelles vous devez être particulièrement vigilant : les périodes de recrutement.

Eh oui, dans un processus d'embauche, un recruteur entre nécessairement en contact avec des candidats. Collecte, stockage, conservation, transfert à des tiers... Ces interactions aboutissent inévitablement à des traitements de données personnelles, très probablement informatisés (stockage sur un disque dur ou sur un cloud).

Les candidats sont, eux aussi, couverts par le RGPD. Vous devez protéger leur vie privée, les informations qu’ils vous confient.

Nom, prénom, âge, sexe, expérience professionnelle, cursus scolaire, loisirs... Sans elles, impossible d'entamer une phase de recrutement. Et impossible de la conclure par la signature d'un contrat de travail. 

Le RGPD vous responsabilise. Vous êtes dans l'obligation d'utiliser tous les moyens techniques, humains et organisationnels nécessaires pour respecter les droits des postulants.

Quelles sont les bonnes pratiques à adopter ? Quelles sont celles à éviter ? Découvrez-le dans cet article.

Recrutement et RGPD : les bonnes pratiques

 "Dans le cadre d’un recrutement, les données collectées ne doivent servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé (qualification, expérience, etc.)"

Le site internet de la CNIL est particulièrement explicite. Vos pratiques de recrutement doivent être proportionnées et responsables.

Toutefois, on vous rassure. Rien d’insurmontable ne vous attend.

Informer les candidats

Proposez un document d'informations aux candidats reçus. Ainsi, communiquez en toute transparence vos modalités de traitement.

Votre document doit apporter une réponse aux questions suivantes :

• Qui est le responsable du traitement ?
• Quelle est la finalité poursuivie (la gestion des candidatures) ?
• Quelle est la base légale ?

Toutes les informations récoltées doivent être légitimes pour la sélection, ainsi que pour l'exécution d'un contrat ou de mesures précontractuelles.

Par le document d’information, le candidat doit savoir :

• Quelles sont les informations obligatoires et facultatives ? En cas de refus, quel impact sur le processus de recrutement ?
• Qui est le destinataire des informations personnelles ?
• Combien de temps conservez-vous les données ?
• Comment les candidats peuvent-ils exercer leurs droits ?
• Comment porter réclamation auprès de la CNIL ?

Bref, vous l’avez compris, les postulants doivent connaître et comprendre "le cycle de vie" de leurs informations personnelles au sein de l'entreprise.

La CNIL rappelle qu’"aucune information concernant un employé ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance". Cela vaut aussi pour les candidats.

Former vos collaborateurs

Minimisation. Finalité. Données sensibles. Trois concepts clés du RGPD. 

Une formation des collaborateurs en contact avec les candidats est donc nécessaire pour respecter ces 3 piliers de la réglementation européenne. 

Pendant la phase de recrutement, seules doivent être posées les questions utiles et nécessaires en relation avec le poste à pourvoir.

Par exemple : demander un numéro de sécurité sociale ou un RIB avant la signature d'un contrat de travail ne constitue pas une collecte de données pertinentes. C’est donc une pratique non conforme au RGPD lors d’une phase de recrutement !

Le site Internet “ le Journal du Net” recommande de limiter votre collecte aux pièces suivantes :

• le Curriculum Vitae ; 
• la lettre de motivation ;
• le(s) diplôme(s) ;
• d'éventuelles recommandations professionnelles.
  

Limiter l'accès aux informations personnelles au sein de l'entreprise

Protéger la vie privée des candidats, c'est assurer la confidentialité de leurs données au sein de l'entreprise.

La règle à observer est simple : seuls les employés qui participent à un recrutement doivent pouvoir accéder aux informations des candidats. Les mesures techniques et organisationnelles doivent être mises en place pour sécuriser les informations personnelles détenues.

Vous ne devez ainsi pas laisser trainer de documents personnels, tel qu’un CV, sur un bureau accessible aux collaborateurs non concernés. Chaque accès d'un employé impliqué dans le processus de recrutement doit être enregistré. 

Qui a consulté les informations d'un candidat ? Quand cette consultation a-t-elle eu lieu ? Pourquoi ?

Recrutement et RGPD : respectez les droits des candidats

Opposition, accès, rectification… Organisez votre activité pour répondre à ces 3 droits.

Par exemple : vous devez être en mesure de proposer une copie des informations collectées lors d’un processus de recrutement si un candidat en fait la demande.

Veillez à la conformité des sites carrières

Linkedin, Monster, Indeed, ANPE... Ces acteurs digitaux sont devenus incontournables dans les processus d'embauche. 

Des bases de données gigantesques à utiliser avec une infime précaution. 

Ces plateformes en ligne doivent absolument respecter le RGPD pour une utilisation sereine, conforme à la réglementation en vigueur. 

Posez-vous les questions suivantes :

• Quelle est la politique de confidentialité des sites de recrutement ?
• Des cookies sont-ils utilisés pour recueillir des informations personnelles ? 
• Les candidats donnent-ils leur consentement ? Existe-t-il des opérations de profilage ?
  

Veillez à la conformité de vos prestataires extérieurs

Recherches de candidats, collectes de CV, entretiens préliminaires... Peut-être faites-vous appel à l'expertise d'un cabinet de recrutement extérieur ?

Tout comme les sites carrières, vous devez connaître et surveiller la conformité de ses actions et de ses processus avec le RGPD.

Il doit informer les candidats de toute opération de traitement portant sur leurs données personnelles.

Organisez votre activité en interne

Vous devez organiser votre service ressources humaines de sorte à respecter les droits des candidats. Des processus à installer et “à faire vivre” pour répondre à toute éventuelle demande avec efficacité.

La création d’un registre qui récapitule les activités de traitement et qui regroupe les différents fichiers de recrutement peut vous aider.

Respectez la durée de conservation des données légales

2 ans maximum (à compter du dernier contact) si le recrutement n'a pas abouti à une embauche.

Vous souhaitez conserver les données personnelles d'un candidat plus longtemps ? Il vous faut son consentement.

Sachez également que le candidat peut exiger la destruction de son dossier quand il le souhaite.

Documentez vos actions

La conformité au RGPD n'est pas le résultat d'une action ponctuelle. Une démarche active et continue est nécessaire pour respecter les directives européennes.

La CNIL veille ! En documentant vos opérations de traitement, vous justifierez aisément vos actions et prouverez leur conformité en cas de contrôle. Vous renvoyez ainsi l’image d’une entreprise sérieuse et responsable. 

Réalisez une analyse d'impact

C'est un dispositif qui favorise un traitement des données personnelles responsable, éthique et conforme au RGPD.

Obligatoire, si vous avez recours à des algorithmes pour réaliser votre recrutement.

Recrutement et RGPD : les pratiques proscrites

La CNIL met en garde : “Il est interdit de demander à un candidat à un emploi son numéro de sécurité sociale. Il est également interdit de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicale.”

Recrutement et RGPD : votre activité en danger

Vous en savez désormais un peu plus sur les bonnes pratiques à observer pendant un recrutement.

 Soyez vigilant !  En cas de manquements avérés, les sanctions peuvent être très lourdes :

• des sanctions financières (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) ;
• une dégradation de votre image.

Imaginez ! La CNIL qui rend publique les sanctions prononcées à votre encontre. 

Quel serait le ressenti des candidats (qui peuvent être aussi vos clients) ? Que penseraient vos collaborateurs ? Une crise de confiance pourrait s’installer durablement dans l’entreprise.

Faites-vous accompagner dans votre mise en conformité. La nomination d'un DPO (Data Protect Officer) équipé du logiciel RGPD Leto, constitue un une must en matière de conformité RGPD.