RGPD : Quel est l’impact pour les recrutements ?

La mise en application du Règlement Général sur la Protection des Données (RGPD) contraint les entreprises à repenser leurs processus liés à la protection des données personnelles sous peine de s’exposer à des sanctions sévères. Qu’est-ce que le RGPD ? Quels sont les conséquences pour les RH et plus particulièrement le recrutement ?

Sommaire :

• Qu’est-ce que la loi RGPD ? Quel est l’objectif principal ?
• Que devient le stockage des informations sur les candidats avec le RGDP ?
• Comment le RGDP affecte la gestion du recrutement ?
• Ce qu’il faut retenir sur le principe du RGPD dans le recrutement

Définition du règlement général sur la protection des données

Le RGPD, ou GDPR, est le Règlement Général européen sur la Protection des Données Personnelles. Cette directive européenne, mise en place en mai 2018, impacte toutes les entreprises de l’Union Européenne qui collectent et traitent des données à caractère personnel sur des résidents de l’UE. Le cadre légal de ce règlement est strict et impose des obligations spécifiques aux recruteurs et aux organismes responsables du traitement des données.

L’objectif principal du RGPD est de renforcer l’encadrement des pratiques en matière de collecte et d’utilisation des données à caractère personnel. Ce règlement s’inscrit dans une démarche de conformité, notamment en ce qui concerne :

• L’uniformisation au niveau européen de la réglementation sur la protection des données, garantissant une protection adéquate et uniforme dans tous les États membres.
• La responsabilisation des entreprises dans leur traitement des données, incluant des étapes précises pour assurer la conformité avec le RGPD, telles que la nomination d’un Délégué à la Protection des Données (DPO).
• Le renforcement des droits des personnes concernées, tels que le droit à la portabilité des données, le droit à l’oubli, et le droit de rectification. Ces droits doivent être respectés par les responsables du traitement, qui sont tenus d’informer les candidats de manière transparente sur l’utilisation de leurs données personnelles.

En pratique, cela signifie que les entreprises doivent mettre en œuvre des mesures de sécurité appropriées et justifiées pour protéger les données personnelles des candidats, y compris lors des processus de recrutement. La conformité avec le RGPD implique également une analyse régulière des méthodes de traitement, des bases légales utilisées, et de l’adéquation des mesures de protection de la vie privée mises en place.

La définition de la CNIL des données à caractère personnel

La CNIL (Commission Nationale de l’Informatique et des Libertés) décrit une donnée personnelle comme toute information se rapportant à une personne physique identifiable ou identifiée, de façon directe ou indirecte. Dans le cadre d’un recrutement, ces données personnelles peuvent être :

• Le nom et le prénom du candidat
• Les diplômes et certifications obtenus
• Les expériences professionnelles
• Des tests de recrutement afin d’évaluer les compétences du candidat, …

La plupart de ces données sont directement accessibles via le CV du candidat. Cependant, certaines d’entre elles peuvent être collectées de façon indirecte, lorsque l’entreprise se met en lien avec un ancien employeur après autorisation du candidat, pour effectuer une prise de références, par exemple. Pour vous assurer de la conformité de vos pratiques de recrutement avec le RGPD, vous pouvez consulter le guide régulièrement mis en place par la CNIL.

Sécurité des données

En utilisant différents outils de recrutement, il est facile d’accéder aux bases de données en ligne mais aussi de rechercher des candidats potentiels sur le web. Le stockage des informations sur les candidats est affecté par la réglementation. En effet, le RGPD préconise que les informations relatives aux candidats – et notamment les données personnelles – soient stockées sous une forme cryptée. Le cryptage des données consiste à rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de chiffrement.

Consentement et transparence

Le consentement préalable des candidats est obligatoire pour enregistrer et conserver à long terme leurs données, qui peuvent être modifiées et supprimées par la suite. L’entreprise se doit d’être transparente sur la collecte et l’utilisation de ces informations, c’est-à-dire fournir aux candidats des indications claires et sans ambiguïté sur la manière dont sont traitées les données dans le cadre du recrutement.

• La collecte des informations, avec notamment l’obtention des données personnelles des candidats : prénom, nom, âge, adresse, mail… des données qui doivent rester confidentielles et protégées conformément aux exigences de la CNIL.
• Le stockage des données récoltées par l’entreprise, qui a l’obligation formelle de sécuriser l’accès à ces données.
• L’exploitation des informations, dont l’entreprise certifie la non-divulgation et la totale confidentialité.
• L’accessibilité de ces données par le candidat lui-même qui peut demander de les modifier ou de les supprimer.

La gestion des données non-structurées, c’est-à-dire dispersées entre les différents services (RH, commerciaux, marketing, etc.) de l’entreprise, est complexe. En effet, il est difficile de connaître le lieu de stockage et les personnes autorisées à consulter ces données. Dans le cadre du recrutement, le stockage des CV dans les e-mails, des tableaux Excel récapitulatifs des candidats, et autres fichiers similaires sont des exemples de données non-structurées et donc non maîtrisées.

Mettre en place le RGPD

L’utilisation d’un logiciel de recrutement ou ATS (Applicant Tracking System) sécurise le traitement des données personnelles et garantit, en cas de demande d’un utilisateur, leur extraction, annulation, suppression et anonymisation, conformément aux exigences de la CNIL et du RGPD.

Une partie de plus en plus importante du recrutement est automatisée à l’aide d’un ATS qui structure les données collectées au même endroit. L’entreprise peut alors spécifier aux candidats quelles données seront collectées et pour quelle finalité. Les différentes fonctionnalités d’un ATS permettent de garder uniquement les informations pertinentes et nécessaires sur les fiches des candidats.

Dans le cadre d’un recrutement, si le profil d’un candidat ne répond pas aux exigences d’un poste à pourvoir, les données peuvent être supprimées du système dans un délai de mise en œuvre rapide.

Période de conservation des données personnelles

Les données personnelles sont supprimées au bout de 24 mois après le dernier contact avec le candidat, conformément à la loi. Un logiciel ATS, conforme au RGPD dans le recrutement, vous permet également de paramétrer la durée de conservation des données des candidats. Ainsi, les candidatures seront supprimées automatiquement en fonction de leur date d’expiration, assurant la conformité avec les exigences légales et évitant toute sanction administrative. Il est possible d’informer les candidats avant la suppression afin de leur permettre de prolonger la conservation de leurs données personnelles.

Via un logiciel ATS, les modèles d’e-mails automatiques de confirmation de candidature peuvent contenir des liens via lesquels les candidats peuvent demander la suppression ou la correction de leurs données. Les recruteurs peuvent ainsi facilement animer leur vivier de talents. Cette transparence dans le traitement des données personnelles est un atout pour renforcer la marque employeur de l’entreprise.

Le Règlement Général sur la Protection des Données (RGPD) oblige les entreprises à repenser leurs processus de recrutement pour protéger les données personnelles des candidats. Les entreprises doivent garantir la transparence, obtenir le consentement préalable des candidats et mettre en œuvre des mesures de sécurité adaptées.

Les logiciels de recrutement (ATS) assurent la conformité au RGPD, en permettant la gestion sécurisée des données, leur suppression automatique après 24 mois et la possibilité pour les candidats d’exercer leurs droits. En adoptant ces pratiques, les entreprises renforcent la confiance des candidats et évitent des sanctions administratives.