Ce sujet complète l’article sur : Qu’est-ce qu’un logiciel de recrutement ?
Le Règlement Général sur la Protection des Données ou RGPD est une politique de confidentialité mise en place pour protéger les citoyens européens et l’ensemble de leurs données depuis mai 2018. Cette loi est applicable à toutes les entreprises qui traitent des données personnelles de manière régulière, y compris les services de ressources humaines.
Lors des phases de recrutement, les entreprises doivent donc être conformes au RGPD pour garantir que les données personnelles du candidats ne soient traitées que par le personnel autorisé, et uniquement lorsque cela est nécessaire.
Les données personnelles des candidats incluent toutes les informations qui peuvent être utilisées pour les identifier, tels que leur nom, leur adresse, leur numéro de téléphone, leur adresse e-mail, leur expérience professionnelle ou scolaire, leur état civil, etc. Les entreprises de recrutement doivent protéger ces informations en mettant en place des mesures de sécurité adéquates pour éviter tout accès non autorisé ou toute violation de données.
Pour respecter les principes du RGPD dans le cadre du recrutement, les entreprises doivent avoir une base légale pour collecter et traiter les données personnelles des candidats. Ils doivent également informer les candidats de l’utilisation de leurs données personnelles et obtenir leur consentement explicite avant de collecter ou de traiter les données. En outre, toutes les données doivent être collectées à des fins spécifiques et ne doivent pas être utilisées à d’autres fins. Les entreprises doivent aussi conserver les données personnelles des candidats pendant une durée limitée et garantir que toutes les données sont exactes et à jour.
Lorsqu’il s’agit de collecter et de traiter des données personnelles, il est important de respecter une base légale. Le consentement est l’une de ces bases, mais il peut être difficile à obtenir dans le contexte du recrutement. C’est pourquoi l’intérêt légitime est souvent considéré comme la base la plus appropriée pour le recrutement. En effet, l’intérêt légitime permet de collecter et de traiter les données nécessaires pour le recrutement sans avoir à obtenir le consentement explicite de chaque candidat. Cependant, il est important de s’assurer que l’intérêt légitime est bien équilibré avec les droits et les intérêts des candidats, et que les informations personnelles sont traitées de manière transparente et sécurisée.
Pour mettre en place les dispositions du RGPD dans le contexte du recrutement, les entreprises doivent mettre en place des politiques de confidentialité et de sécurité pour protéger les données personnelles des candidats. Les candidats doivent également être informés de leurs droits en matière de protection des données et les entreprises doivent être prêtes à répondre à toutes leurs demandes concernant l’accès, la suppression ou la modification de leurs données personnelles.
Les données personnelles des candidats ne peuvent être collectées que lorsque cela est nécessaire pour évaluer leur candidature. Les candidats doivent par ailleurs être informés du but de la collecte de leurs données et sur leur durée de conservation. Les entreprises peuvent collecter les informations des candidats de différentes manières, notamment en leur demandant de remplir un formulaire de candidature en ligne, en recevant leur candidature par email ou en réalisant un entretien téléphonique ou en personne. Les candidats doivent être informés dans tous les cas de la collecte et conserver la maîtrise de leurs données.
La durée de conservation des données personnelles des candidats doit être déterminée au cas par cas selon les besoins de l’entreprise. Les données personnelles ne doivent être conservées que pendant la durée nécessaire à la finalité pour laquelle elles ont été collectées. Les entreprises doivent donc déterminer la durée de conservation en fonction de la durée du processus de recrutement, de la disponibilité du poste et des exigences légales. Les données personnelles doivent être supprimées lorsque la durée de conservation maximale est atteinte. La CNIL recommande une durée maximale de 24 mois.
Les entreprises peuvent utiliser un logiciel de recrutement pour traiter les données personnelles des candidats, mais elles doivent s’assurer que le logiciel est conforme aux règles du RGPD. Le logiciel doit être adapté à la collecte et au traitement des données personnelles et les candidats doivent être informés si leurs données sont stockées dans un tel logiciel. Les entreprises doivent garantir que le logiciel est sécurisé et qu’aucun risque n’existe de violation de données.
Les candidats ont le droit d’accéder à leurs données personnelles stockées et de les modifier ou les supprimer si nécessaire. Ils ont également le droit de demander des informations sur la manière dont leurs données sont collectées et utilisées. Les candidats peuvent de plus réclamer à ce que leurs données soient effacées si elles ne sont plus nécessaires pour la finalité pour laquelle elles ont été collectées.
Pour garantir la protection des données personnelles des candidats, les entreprises doivent mettre en place des mesures de sécurité et de confidentialité pour éviter tout accès non autorisé à ces informations. Les données doivent être stockées dans un lieu sûr et les employés doivent recevoir une formation sur la manière de protéger ces informations. Les entreprises doivent aussi conserver les données personnelles pour garantir leur intégrité, leur confidentialité et leur disponibilité.
Les curriculums vitae contiennent par essence des informations personnelles. Ils doivent être conservés en garantissant à la personne concernée son traitement conformément aux exigences du RGPD. Par voie de conséquence, il faut éviter à tout prix le transfert de candidatures par email aux collaborateurs. Sinon il devient impossible pour l’entreprise de respecter ses obligations. En effet, si des postulants demandent à supprimer leurs données, comment s’assurer que tous les emails concernés seront effacés. De la même manière, un CV peut-être facilement de nouveau transféré vers des personnes qui ne sont pas nécessairement habilitées à traiter la donnée.
Les recruteurs doivent informer les candidats de l’utilisation de leurs données personnelles et des finalités pour lesquelles elles seront utilisées. Les candidats doivent donner leur consentement explicite avant que leurs données soient collectées ou traitées (si le consentement est la base légale) . Les recruteurs doivent également informer les candidats de leurs droits en matière de protection des données et de leur droit d’accéder à leurs données personnelles et de les modifier ou les supprimer si nécessaire (au cas où la base légale serait l’intérêt légitime).
Les entreprises doivent mettre en place des mesures de sécurité appropriées pour protéger les données à caractère personnel collectées durant le processus de recrutement. Les données doivent être stockées de manière sécurisée et les employés doivent être formés sur la manière de protéger ces informations. Les entreprises peuvent aussi utiliser des experts en protection des données pour les aider à garantir le respect des exigences du RGPD. Dans tous les cas, ces informations devront être documentées (par exemple, dans une politique de confidentialité) et facilement accessible par le candidat.
Les entreprises doivent respecter les impératifs de conformité du RGPD pour conserver les données personnelles des candidats. Les données personnelles doivent être stockées de manière sécurisée et ne doivent être conservées que pendant le temps nécessaire à la finalité pour laquelle elles ont été collectées. Les candidats doivent également être informés de la durée de conservation de leurs données personnelles et de leurs droits en matière de protection des données.