Nous sommes régulièrement interpellés par nos utilisateurs sur le RGPD dans le cadre de notre activité de commercialisation du logiciel Candidatus, de gestion du recrutement et des candidatures.

Cette page est donc consacrée au thème : “RGPD et processus de recrutement“.

Nous commencerons par rappeler ce qu’est le RGPD, puis sous la forme des questions fréquentes, nous détaillerons l’impact du RGPD dans le traitement des candidatures.

Qu’est-ce que le RGPD dans le cadre du recrutement ?

Après une entrée en vigueur fracassante le 25 mai 2018 (Qui n’a pas reçu son petit email lui demandant le consentement sur ses données personnelles 😉 ?), le Règlement Général sur la Protection des Données, autrement dit RGPD a pour but de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées.

Le RGPD encadre le traitement et la circulation des données à caractère personnel sur le territoire de la communauté européenne.

Ce règlement européen date en fait du 27 avril 2016. Il est entré officiellement en vigueur dans l’ensemble des Etats membres le 25 mai 2018.

Pour faire face aux enjeux majeurs que représente le traitement de données personnelles, le RGPD est le fruit d’une volonté européenne de créer un cadre juridique unifié.

Dans le cadre des recrutements les données des candidats sont de fait des données personnelles au sens du RGPD.

Est-ce que le RGPD s’applique aux RH ?

Le RGPD s’applique à toute organisation, quelle que soit sa taille, qui traite des données personnelles pour son compte ou non, dès lors que cette organisation est établie sur le territoire de l’union européenne ou que son activité cible directement des résidents européens.

Le RGPD s’applique aussi plus largement à l’Espace Économique Européen ou « EEE » qui est constitué bien sûr par les États membres de l’Union Européenne (actuellement 28 États jusqu’au Brexit) et trois des quatre États membres de l’Association européenne de libre-échange (AELE), à savoir : l’Islande, la Norvège et le Liechtenstein. La Suisse n’est pas à l’heure actuelle concernée.

Cela veut donc dire que toute entreprise, quelque soit sa taille est soumise au RGPD !

La responsabilité de la mise en oeuvre de la protection des données repose sur celui qui utilise les données. Au sens du RGPD, il est le responsable du traitement. Il doit impérativement vérifier que son traitement des données est conforme au RGPD.

Les ressources humaines sont doublement concernées par le RGPD. Car les RH s’occupent des données personnelles salarié, et par les données personnelles candidat.

Le service des ressources humaines, en cohérence avec le reste de l’entreprise, doit donc appliquer le RGPD sur l’ensemble des données personnelles qu’il traite.

Qu’est-ce qu’une donnée personnelle RGPD ?

La CNIL a défini une donnée personnelle de la manière suivante :  « toute information se rapportant à une personne physique identifiée ou identifiable ».

On peut identifier une personnes par des informations classiques . Par exemple :  le nom, le prénom, l’adresse postale.

Typiquement les données d’état-civil sont donc directement des données personnelles.

Cette identification peut aussi se faire à partir d’éléments indirects : identifiant, adresse IP, numéro de sécurité sociale, etc.

Par ailleurs, les données personnelles regroupent également les informations qui lorsqu’elles sont associées vont permettre d’identifier la personne. Par exemple, la date et la ville de naissance, le sexe, ou la date d’obtention d’un diplôme… Ces différentes informations, même dans le cas où le nom et le prénom du candidat seront masqués pourront à l’aide d’outils appropriés permettre d’identifier la personnes.

Quelles sont concrètement les obligations des entreprises avec le RGPD ?

L’article 5.1 du RGPD explique comment doivent être traitées les données personnelles  :

• Traitées de manière licite, loyale et transparente ;
• Collectées à des fins déterminée, explicite et légitimes ;
• Adéquates, pertinentes et limitées ;
• Exactes et tenues à jour ;
• Conservées pendant une durée raisonnable ;
• Traitées de façon à garantir leur protection.

Pour rappel, pour respecter ces 6 obligations essentielles pour se mettre en conformité avec le RGPD, la CNIL recommande aux entreprises de mener les 5+1 actions suivantes :

Action  1 : Désigner un pilote, le DPO (ce n’est généralement pas de la responsabilité des RH)

La CNIL recommande à l’ensemble des entreprises de désigner une personne chargée de s’assurer de la mise en conformité avec le RGPD. Cette personne sera en charge de dialoguer avec les autorités de protection des données et ainsi, de réduire les risques de contentieux. Toutefois cela n’est pas obligatoire.

Certaines entreprises qui traitent des données dites «sensibles» ont quant à elles, l’obligation de désigner un délégué à la protection des données.

Cette désignation est également obligatoire pour les organismes publics et les entreprises dont l’activité nécessite un suivi régulier des personnes à grande échelle tels que les opinions politiques, philosophiques ou religieuses d’une personne.

Bine entendu, le DPO n’est pas dédié aux ressources humaines mais est en charge de l’ensemble de la problématique données personnelles de l’entreprise.

Action 2 : Recenser les fichiers de données personnelles (alors là les RH doivent travailler !)

Les entreprises de plus de 250 salariés ont l’obligation de constituer un registre de traitement des données.

Cela consiste à identifier les activités principales de l’entreprise nécessitant la collecte et le traitement de données personnelles.

Pour chaque activité, les entreprises doivent ensuite répertorier le responsable du traitement, l’objectif poursuivi, la catégorie de données utilisées, les personnes y ayant accès et la durée de conservation desdites données.

La CNIL fournit des outils pour cartographier les données personnelles.

Action 3 : Repérer les traitements de données à risque (pour les candidats en tout cas c’est rarement nécessaire)

Les données personnelles à risque sont les informations révélant l’origine prétendument raciale ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses, relatives à l’appartenance syndicale, concernant la santé ou l’orientation sexuelle, génétiques ou biométriques…

Le responsable du traitement a l’obligation d’être en mesure de prouver à tout moment que les traitements qu’il gère sont conformes au RGPD.

Les entreprises doivent donc effectuer un tri dans leurs données afin de vérifier que chacune des sauvegardes est nécessaire et pertinente.

Par ailleurs, si les traitements concernent des données relatives aux personnes vulnérables, à la surveillance systématique des personnes, au croisement d’ensembles de données ou encore au traitement de données dites « sensibles », une analyse d’impact sur la protection des données devra être réalisée.

Dans le domaine des ressources humaines, il faut donc être particulièrement vigilant sur les données enregistrées sur les salariés, et veiller à minimiser les données personnelles collectées sur les candidats.

Action 4 : Respecter le droit des personnes (cela concerne les RH)

Les entreprises ont l’obligation de fournir à leurs salariés les informations relatives à la collecte et au traitement de leurs données. Cela rentre dans le cadre de l’intérêt légitime que les entreprises ont a collecter les données de leurs employés.

Cette information doit être effectuée dès la collecte des données ou au plus tard dans un délai d’un mois suivant cette collecte. Par exemple, si la collecte n’a pas eu lieu en présence de l’intéressé.

Elle peut être réalisée sur le support papier ou électronique permettant la collecte des données.

Elle peut également faire l’objet d’une note de service, d’un affichage ou d’une diffusion sur l’intranet de l’entreprise.

Par ailleurs, les entreprises ont l’obligation de garantir les droits des personnes dont les données sont traitées en permettant la mise en oeuvre effective de ces droits. Il est ainsi recommandé aux entreprises de mettre à la disposition des personnes concernées des moyens matériels, tels qu’un numéro de téléphone, une adresse de messagerie ou un formulaire sous format papier ou électronique.

Action 5 : Sécuriser les données les données personnelles des salariés et des candidats (c’est généralement notre travail !)

Les entreprises ont l’obligation d’assurer la sécurité des données personnelles en minimisant les risques de perte de données ou de piratage.

Pour ce faire, il leur est conseillé de mettre à jour des antivirus et des logiciels ainsi que de procéder au changement régulier des mots de passe et à l’utilisation de mots de passe complexes.

D’une manière générale l’entreprise doit être en place les bonnes pratiques de sécurité physique et logique.

Action 6 : S’assurer en cas de sous-traitance que le prestataire respecte le RGPD (c’est le cas pour Candidatus)

Les sous-traitants sont soumis à des obligations particulières de transparence, d’assistance, d’alerte, de conseil. Ils doivent par ailleurs garantir la sécurité et la protection des données traitées. De surcroît, le contrat de sous-traitance doit prévoir une clause spécifique sur la protection des données personnelles.

En tant que sous-traitant en logiciel de gestion du recrutement, la société Candidatus.com assure sa part dans la conformité RGPD des données personnelles des candidats de ses utilisateurs. Le contrat de sous-traitance contient l’ensemble des clauses RGPD dans les conditions générales de vente, et dans la signature de la politique de confidentialité.

Actions concrètes à mener pour le RGPD dans les RH

Les actions suivantes concernent sur le recrutement et la gestion des candidatures.

Mettre un formulaire RGPD pour le consentement

Si votre entreprise dispose d’un espace recrutement sur votre site, il est plus que probable que les visiteurs peuvent déposer leur candidature.

Une action immédiate, si ce n’est pas déjà fait est d’insérer une clause légale et ajouter une case à cocher sur le formulaire pour le rendre conforme RGPD.

Que mettre dans la clause légale RGPD du formulaire ?

Les informations minimum suivantes devraient se trouver au-dessus du bouton postuler :

• Rappeler que vous êtes le responsable de traitement
• Que le candidat consent au traitement des ses données personnelles
• Que le candidat à lu, compris et  accepté la politique de confidentialité de votre société. Bien évidemment il faudra avoir préalablement rédigé une politique de confidentialité  (voir avec un juriste) accessible par un lien
• Donner la finalité du traitement et la date de conservation maximale. La CNIL recommande pour les candidatures 2 ans.
• Expliquer comment le candidat peut exercer ses droits à la suppression, modification, à l’oubli…

La case à cocher du formulaire RGPD

La case à cocher ne doit pas être précochée 😉 et doit contenir une formulation claire du type au minimum : “Je consens au traitement de mes données personnelles”

Ajouter une clause légale RGPD dans tous le emails aux candidats

Même si les candidats ont consenti au traitement de leurs données personnelles, il peut être sécurisant d’ajouter une clause dans chaque email vers les candidats. Par exemple dans l’accusé de réception, le refus, voire lors des convocations aux entretiens.

Cette clause peut rappeler les droits du candidat sur ses données personnelles. Cette information est communiquée dans un souci de transparence

S’occuper de la suppression des données personnelles des candidats

Pour toutes les candidatures pour lesquelles vous n’avez pas obtenu le consentement, c’est à dire probablement toutes celles avant l’entrée en vigueur du RGPD le  25 mai 2018, vous avez 2 actions possibles :

• L’action la plus raisonnable :

Les supprimer, car vous ne devriez pas les avoir conservées. Si en plus, elles sont sous format papier, il est faut les jeter car il est impossible de permettre à un candidat d’exercer ses droits (Qui saura dans l’entreprise où se trouve les données personnelles du candidat ?)

• L’action la plus coûteuse en temps (et juste légale car vous ne devriez plus disposer de ces candidatures) :

Centraliser les candidatures, et rendre le consentement RGPD obligatoire en permettant aux candidats de supprimer leur dossier en ligne.

Dans tous les cas, sous 30 jours, supprimer les dossiers des candidats qui n’auront pas répondu ou consenti.

S’équiper d’un logiciel de gestion de candidatures RGPD pour sécuriser le process

Un logiciel de recrutement RGPD comme Candidatus s’occupe de centraliser les candidatures en obtenant le consentement des candidats pour le traitement de leurs données personnelles.

Il alerte le recruteur sur une candidature non conforme (qui n’aurait pas donnée son consentement).

Candidatus rend possible une gestion automatique de la conformité RGPD du traitement des candidatures grâce à des automatismes de relance, de mise à disposition d’information, de suppression de données personnelles.

Quels sont les impacts du RGPD dans le recrutement  ?

Nous répondrons à cette questions sous la forme d’une FAQ.

Si mon entreprise / organisation n’a pas besoin du consentement des candidats, ai-je des contraintes ?

Le cas général pour les candidats est le recueil du consentement. Toutefois que le consentement soit requis ou non, l’entreprise est tenue d’informer la personne dont elle traite les données du fondement juridique qu’elle retient (courrier, email…). Ce qui vaut donc lorsque les données sont traitées “aux fins des intérêts légitimes”. Tout non-respect sera sanctionné au format “20 millions / 4% CA“.

Un candidat peut-il donner son consentement par une simple phrase dans un email ?

Oui et Non. Ce type de consentement ne prouve pas que le candidat est informé. Il doit être informé  : de la manière dont ses informations personnelles seront traitées, où ses données seront traitées, qui y aura accès… Il doit donc indiquer qu’il a vu et consenti à la politique de confidentialité, en fournissant un lien ou une copie de la politique à laquelle il a consenti.

Si un candidat envoie sa candidature par email, répond à un email le sollicitant, dépose son CV à l’accueil ou à un salon donne-t-il son consentement ?

Non. Pour pouvoir traiter de manière légitime ses informations, vous devez obtenir son consentement. Il faut donc faire suivre à ce candidat un processus qui permet d’obtenir le consentement de manière prouvée.

Si un candidat postule par un site emploi, donne-t-il son consentement ?

En tant que Responsable de traitement (futur employeur) vous êtes responsable dans le recueil du consentement. Vous devez donc vous rapprocher du jobboard pour vérifier comment ce consentement peut être recueilli en amont. Le cas échéant faire suivre à ce candidat le processus qui permet d’obtenir le consentement de manière prouvée.

Comment sourcer des candidats avec le RGPD ?

Si vous avez un “intérêt légitime” (une opportunité d’emploi) et que la personne a rendu accessible son profil (public ou via une base de données pour laquelle il aura donné son consentement à la consultation par des tierces parties), vous avez la possibilité de le contacter. Toutefois, après ce premier contact vous devez l’informer de la manière dont vous allez traiter ses données personnelles et obtenir son consentement.

Puis-je importer des candidats dans mon logiciel, ma feuille excel ou tout autre système de classement ?

Oui, si vous avez un intérêt légitime pour chaque candidat, c’est à dire une opportunité d’emploi, et ensuite que vous ayez obtenu le consentement documenté de chacun d’entre eux.

Si je n’utilise pas de logiciel spécifique, comment puis-je obtenir le consentement ?

Si votre base légale est le consentement, selon la CNIL, le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides. Sans logiciel spécifique, une déclaration écrite est donc fortement recommandée.

Comment m’assurer que les candidats ont accès à leurs données ?

Soit il est nécessaire de désigner un contact dans l’entreprise qui est chargé de répondre aux requêtes des candidats concernant l’accès, la modification ou l’effacement de leur données. Le délai d’exécution est d’un mois, éventuellement porté à 3 mois selon la difficulté d’exécution.

Soit utiliser un logiciel spécifique qui permet d’automatiser ces actions.

Si un candidat ne souhaite plus que ses données soient stockées, quelles sont les conséquences ?

Vous devez informer toutes les personnes qui disposent des données sur le candidat pour qu’ils les suppriment. Il est souhaitable d’avoir une base de données centralisées, en évitant les copies. Par ailleurs, la politique de confidentialité doit spécifier que les données sont partagées avec les personnes qui participent au processus de recrutement.

Comment candidatus.com peut-il m’aider dans l’application du RGPD ?

Candidatus.com permet de paramétrer le traitement des candidatures enregistrées dans le logiciel. Par exemple, lorsqu’il n’y a pas eu de consentement ou si le consentement n’est pas clair, un automatisme peut être mise en place. Cet automatisme (re)demande le consentement au candidat, voire supprime sa candidature si le consentement n’a pas été obtenu. Dans le logiciel de recrutement une alerte s’affiche aussi pour les candidats n’ayant pas consenti ou reçu une information sur votre information légitime. L’accès au dossier du candidat est automatisé (modification, suppression). Une relance et suppression automatique sur l’ensemble de la base est programmable.