blog-rgpd-et-recrutement

Le RGPD : quel est l’impact sur le recrutement ?

Face à l’accroissement des données collectées sur internet, un besoin pressant de sécurité s’est fait sentir au niveau européen : celui de protéger la vie privée des internautes avec un règlement strict à destination des entreprises. C’est ainsi qu’a été adopté, le 25 mai 2018, le Règlement Général sur la Protection des Données, plus connu sous le nom de “RGPD”. 

Il s’agit d’un nouvel ensemble de règles qui protège davantage et donne plus de contrôle aux individus sur leurs données personnelles. L’objectif de ce texte est de faciliter et de redonner le contrôle aux citoyens sur leur vie privée, en ligne. Mais son appréhension est tout de même plus complexe qu’il n’y paraît pour les entreprises.

Du sourcing à l’embauche, le RGPD intervient à chaque étape du processus de recrutement. Dans cet article de blog, on vous détaille quel peut être l’impact du règlement RGPD sur vos pratiques de recrutement.

Le RGPD, qu’est-ce que ça dit ?

Ce règlement voté par l’Union européenne (UE) s’applique à toutes les entreprises qui traitent des données à caractère personnel de citoyens de l’UE, même si ces dernières ne sont pas situées dans l’UE. En d’autres termes, le RGPD a un impact sur toutes les entreprises exerçant dans l’Union européenne ou traitant des informations personnelles sur les citoyens de l’UE. 

Tout manquement aux exigences demandées peut faire l’objet d’un avertissement de la part de la CNIL (Commission Nationale de l’Informatique et des Libertés) en France. Et si les recommandations ne sont toujours pas suivies, cette dernière peut émettre une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

RGPD, quelles conséquences sur les process internes ?

Beaucoup d’entreprises ont perçu cette nouvelle réglementation comme une contrainte supplémentaire, notamment car elle conduit à une charge de travail plus importante de traitement des informations personnelles. En effet, l’entreprise doit cartographier les données personnelles qu’elle traite au quotidien, mais aussi analyser l’impact et les risques des différents types de données.  

La période Covid-19 a poussé une grande partie des entreprises à assurer la sécurité des données récoltées avec l’émergence du télétravail grâce à l’utilisation d’outil ou plateforme et SaaS dont le traitement et la gestion sont sous-traités. 

Aujourd’hui, ce sont tous les services d’une entreprise (ou presque), qui sont concernés par les contraintes RGPD. Du recrutement, à la gestion du personnel, mais aussi côté clients, prestataires et partenaires… Toutes les données personnelles collectées doivent être sécurisées, sous peine d’être sanctionné. 

Qui se charge de faire respecter le RGPD ? 

Il s’agit du responsable du traitement, c’est-à-dire par une personne morale (entreprise, collectivité, etc.) incarnée par son représentant légal, donc une personne physique (il peut s’agir du maire, du président, etc.). C’est cette personne qui doit accomplir les formalités déclaratives auprès de la CNIL.

Les entreprises doivent nommer en interne un Délégué de la Protection des Données (DPO), pour superviser l’application du RGPD. Ce dernier devient le responsable de plusieurs tâches : 

  • Conseil et formation : en fournissant des conseils sur les obligations légales en matière de protection des données, et en formant le personnel impliqué dans le traitement de celles-ci.
  • Surveillance de la conformité : en veillant au respect des règles et politiques du RGPD dans l’entreprise.
  • Evaluation des risques :  en conduisant des analyses d’impact sur la protection des données (DPIA).
  • Intermédiaire officiel : en servant de point de contact entre les entreprises et les autorités (CNIL, …), mais également en traitant les demandes des citoyens concernant leurs droits en vertu du RGPD (accès, rectification ou suppression de leurs données personnelles). 

Quelles informations personnelles sont collectées dans le cadre du recrutement ?

Tout au long du processus de recrutement, vous êtes amené à collecter des données personnelles auprès des demandeurs d’emploi, qui postulent dans votre entreprise. Une donnée à caractère personnel est définie par la CNIL comme « toute information relative à une personne physique identifiée ou identifiable ». 

Plus précisément, voici quel genre de données vous serez amenés à conserver et à traiter : 

  • Nom
  • Adresse postale et électronique
  • Numéro de téléphone

D’autres informations peuvent inclure :

  • Date de naissance 
  • Dans certains cas, les nationalités sont requises (par exemple, si vous recrutez pour un poste à l’étranger).
  • Curriculum vitae/CV 
  • Profil sur les médias sociaux 
  • L’action sociale prise en charge par l’employeur (par exemple, les informations concernant les ayants droit de l’employé).

Quelles sont les informations à ne pas demander aux candidats ?

 

blog-image-centrale-rgpd-recrutement

Lorsque les candidats postulent à l’une de vos offres d’emploi, ils vous envoient un CV, et la plupart du temps une lettre de motivation. Ces documents sont de véritables mines d’or d’informations personnelles les concernant. Le bon traitement et la protection de ces données sont de la responsabilité du recruteur et de l’entreprise. Ainsi, dans le but de sécuriser la vie privée des candidats et limiter la collecte d’informations personnelles inutiles et discriminantes, il est interdit de demander à un candidat : 

  • Son numéro de sécurité sociale;
  • Ses opinions politiques ou son appartenance syndicale;
  • Son orientation sexuelle;
  • Données concernant la santé;
  • etc.

Ces données dites sensibles ne doivent pas être collectées excepté à certaines conditions :

  • Si la personne concernée a donné son consentement (écrit, clair et explicite);
  • Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé;
  • Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL;
  • Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale).

Pour aller plus loin sur ce qu’il est interdit de faire en recrutement, on vous donne nos conseils pour éviter la discrimination en entretien d’embauche.

RGPD et recrutement : quel impact ?

Dans le domaine du recrutement, le RGPD impose plusieurs contraintes concernant la protection des informations à caractère personnel. 

La législation repose sur quatre principes clés :

  •  Le consentement : la personne doit donner son accord pour que ses données personnelles soient traitées.
  • La transparence : des informations claires doivent être fournies sur la manière dont les données des individus seront utilisées et sur les personnes avec lesquelles elles seront partagées.
  •  La légalité, l’équité et la responsabilité : tout traitement de données doit être légal, équitable et transparent. 
  • La sécurité : les entreprises doivent assurer la sécurité des informations à tout moment, tant sur le plan physique que numérique.

RGPD et recruteur : quelles obligations ? 

Le mot d’ordre pour les recruteurs est : la transparence. 

Chaque information personnelle demandée doit être obtenue de manière justifiée et doit servir au bon déroulement du recrutement. Ainsi, l’objectif derrière chaque donnée personnelle collectée auprès du candidat doit être clair. (Exemple : le numéro de téléphone pour pouvoir recontacter le candidat, l’âge d’un alternant pour en déduire sa rémunération, etc.).

Pour être en conformité avec le RGPD, il est important d’utiliser un outil tiers respectant les exigences du règlement européen. Parmi ces outils, on compte les SIRH, les ATS, logiciel de paie, etc.

Note : Le logiciel ATS proposé par Kelio est 100 % conforme au RGPD et permet de récolter ou gérer les données de vos candidats en toute sécurité.

Une fois que les données sensibles des candidats sont sécurisées, le recruteur se doit d’être en capacité de répondre aux demandes des candidats. Il faut prendre en compte, que les informations personnelles ne doivent pas être conservées plus longtemps que nécessaire (soit deux ans maximum après la collecte des informations).

Attention, les données doivent être supprimées au bout de 2 ans. Avec un logiciel ATS, la gestion des candidatures, jusqu’à leur suppression automatique, est automatisée.  A noter tout de même que chaque candidat peut exercer son droit à l’effacement des données, l’entreprise a l’obligation d’y répondre dans les 30 jours suivants la demande. 

A quelle étape du recrutement intervient le contrôle RGPD ?

Lors du processus de recrutement, le contrôle du RGPD intervient à plusieurs reprises. Ci-dessous, le guide : 

Impact du RDPG dans le processus de recrutement  

Pour être certains d’être en règle tout au long de votre processus de recrutement, veillez à demander explicitement l’acceptation des cookies dès l’arrivée du candidat sur votre site carrière, à inclure une case à cocher qui approuve le consentement du candidat aux conditions générales d’utilisation et au traitement de ses données dans le cadre de la campagne de recrutement à laquelle il s’inscrit. 

Veillez aussi à faire apparaître un rappel RGPD en bas du mail de confirmation de candidature, en y incluant un lien vers vos mentions légales ainsi qu’un rappel sur les conditions de stockage et de traitement des données à caractère personnel. Enfin, veillez à rendre possible la suppression des profils candidats, et donc toutes leurs données personnelles, sur votre site carrière (qui entre dans le cadre du droit à l’oubli du candidat). 

RGPD et candidatures papier 

Vous collectez des CV papier lors de salons, événements RH ou vous imprimez les CV reçus par emails ? Les données à caractère personnel contenues ne sont peut-être pas protégées, ni même effacées au bout de la durée maximale de conservation (2 ans). Alors comment faire ?

Avec le logiciel ATS de Kelio, vous pouvez intégrer les candidatures reçues directement dans la plateforme en scannant le CV collecté, par téléphone et en l’ajoutant à un profil candidat, et le tour est joué ! Veillez toutefois à bien détruire le format papier, et à supprimer le CV scanné sur votre téléphone.

RGPD et expérience candidat 

Le RGPD a pour objectif de protéger la vie privée des internautes, y compris celle des candidats qui peuvent être amenés à renseigner des informations personnelles, potentiellement sensibles. Ainsi, avec le RGPD, le candidat a davantage de visibilité sur la nature des données collectées, de ses conditions de stockage et de leur durée de conservation. De ce fait, l’expérience candidat est rassurante pour ce dernier, ce sentiment ne doit pas être négligé par le recruteur.

Quels sont les principaux droits dont bénéficient les candidats ?

Le droit à l’information

À tout moment, le candidat peut consulter les pratiques de votre entreprise concernant le traitement de ses données personnelles, et les mesures que vous prenez pour vous conformer au RGPD. 

Le droit d’accès et de rectification

Le candidat qui le souhaite peut exiger de l’entreprise d’exporter, sous un format exploitable, toutes les données collectées sur lui. Il peut également solliciter le DPO pour modifier les informations collectées. 

Le droit à l’oubli

Vous avez peut-être décidé d’ajouter certaines candidatures dans votre vivier de talents. Attention, chaque candidat peut vous demander de supprimer les données récoltées. À votre tour, vous êtes ainsi dans l'obligation de les supprimer ou de les archiver. Comme expliqué plus haut, l’entreprise doit répondre à la demande formulée par le candidat sous 30 jours maximum. 

Attention #1 : Si l’entreprise n’honore pas la demande du candidat, ce dernier peut aller déposer un rapport auprès de la CNIL afin de signaler les manquements au règlement. 

Attention #2 : En cas de changement ou de mise à jour concernant les modifications ou les politiques de traitement des données, vous devez tenir informés vos candidats. 

Le RGPD à un impact non négligeable sur le recrutement, (que vous n’aviez peut-être même pas envisagé ?). Il est important de comprendre les exigences réglementaires et les utiliser à votre avantage pour promouvoir une expérience candidat fluide et sécurisée.

Voici toutes les actions que vous aurez besoin de mettre en place pour votre mise en conformité :

  • Cartographier les données personnelles : recensez le traitement des données sensibles.
  • S’assurer que les personnes ayant accès aux données sont soumises à une obligation de confidentialité et assurent la sécurité de ces données;
  • Organiser les processus internes : pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment. En prenant en compte de l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire);
  • S’assurer que les personnes concernées soient informées des destinataires ou des catégories de destinataires des données;
  • Documenter la conformité : pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et les documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. (source : CNIL).

Au-delà de l’obligation légale de conformité, le respect du droit des candidats participe à votre image de marque, ne le négligez pas. Le logiciel ATS proposé par Kelio vous promet une stricte conformité au RGPD, dans chacun des aspects de votre campagne de recrutement. 

Je découvre le logiciel ATS de Kelio !


 

Lire un nouvel article

Articles de blog similaires

comment sourcer meilleurs talents médias sociaux

Comment sourcer les meilleurs talents sur les médias sociaux ?

En partenariat avec : 

comment sourcer meilleurs talents medias sociaux hippolyte

Déjà plébiscité par 70% des recruteurs (Apec 2022), les campagnes de sourcing sur les médias sociaux permettent d’élargir votre vivier de candidats et de toucher des profils correspondant à vos attentes. Mais avant de mettre en place une stratégie sur les médias sociaux il est important de bien définir vos objectifs. Souhaitez-vous réduire vos coûts ? Augmenter votre volume de candidats ? Boostez votre marque employeur ?

Une fois vos objectifs définis, vous pouvez élaborer votre stratégie et déployer les outils pour recruter sur les différentes plateformes. 

Néanmoins, avant de vous lancer, pensez à respecter quelques étapes clés pour garantir le succès de votre campagne de sourcing.
 

 

 

Tout savoir site carrière

Tout ce que vous devez savoir sur le site carrière

Votre site carrière est la porte d’entrée vers votre entreprise pour les candidats. C’est la première chose que les talents vont voir et retenir. La phrase “la première impression est la bonne”, s’applique parfaitement au recrutement. Il est donc très important pour l’entreprise d’optimiser et de perfectionner son site carrière pour en tirer le meilleur parti. Au-delà de l’amélioration de sa marque employeur ou de l’expérience candidat, un bon site carrière établit les bases de votre entreprise.

“Votre site carrière doit refléter l’image de votre entreprise ! Il doit être la continuité de votre site et doit proposer des contenus qui attireront les potentiels candidats. En collaboration avec l’équipe marketing ou encore une agence de marketing RH, vous pouvez mettre en avant vos valeurs et décrire les avantages et opportunités à rejoindre votre entreprise.”  Btissam Mathieu Customer Success Manager

eviter discrimination

Comment éviter la discrimination en entretien d’embauche ?

Dans le cadre d’un processus de recrutement, la conduite d’un entretien d’embauche est une étape cruciale qui nécessite rigueur et professionnalisme. En tant que recruteurs, il est de votre devoir de veiller à ce que chaque question posée soit en conformité avec les principes d’équité et les cadres légaux en vigueur.