Le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD, entrait en application en France et dans tous les autres pays membres de l’Union européenne. Depuis cette date, les entreprises européennes concernées par le traitement de données à caractère personnel sont tenues de se mettre en conformité avec les exigences de ce nouveau règlement telles qu’elles ont été traduites par le droit ou la CNIL locale.
Au-delà des enjeux légaux, le RGPD ne vous empêche aucunement de maintenir un lien avec votre vivier de candidats. La seule condition : en maîtriser les règles. Sujet ô combien important pour les entreprises mul-tisites, le respect des dispositions légales en matière de protection des données personnelles ne peut se limiter à de simples bonnes pratiques tant le recrutement est décentralisé. Aussi, la technologie doit garantir, “by design”, un respect sans contournement possible des obligations lé- gales.
Autant de RGPD que d’États membres
Le RGPD est un thème intéressant pour illustrer la complexité dans le suivi des normes et règlements du marché du travail. En effet, depuis son entrée en vigueur en 2018, les obligations ont étonnamment fluctué au gré de la traduction de ce document par les autorités compétentes de chaque État. En France, c’est par exemple la CNIL qui est compétente et fait autorité dans la traduction des normes du RGPD. En Belgique, l’ADP (l’équivalent de la CNIL) a la même mission, mais pas les mêmes conclusions.
Ebook : Bonnes pratiques pour un recrutement responsable et conforme avec le RGPD
Maîtrisez les contraintes réglementaires liées au recrutement et recrutez en tout sécurité !
Bref, le RGPD n’a pas pour autant standardisé la gestion des données per- sonnelles pour le recrutement au sein de tous les États membres. Pour preuve, ce récapitulatif non exhaustif des obligations des recruteurs en
matière de données personnelles entre la France et la Belgique :
Dans ce contexte, quelle option retenir ? La stratégie la plus commune est d’adapter ses processus de recrutement et les paramètres de son ATS au marché le mieux-disant en matière de protection des données candidat.
Le risque juridique lié au RGPD est extrêmement fort et les entreprises doivent impérativement s’assurer que les datas sont centralisées et maîtrisées.Hervé Solus – co-founder, Cegid Digitalrecruiters
Une organisation multisite doit ainsi absolument se doter d’outils adaptés aux exigences en matière de protection des données personnelles sur tous ses marchés, c’est-à-dire de manière scalable. Plus il y a de personnes qui traitent les données recrutement, plus le risque est accru, si au-delà du nombre de personnes impliquées, l’entreprise ne dispose pas d’outil qui centralise les données, elle est dans l’incapacité absolue de gérer correctement ces données personnelles.
Sans outil de gestion des candidatures conforme au RGPD, l’entreprise ne peut pas supprimer les données personnelles dans la mesure où ces dernières ne sont pas centralisées, ne sont pas organisées et ne sont pas connues. L’organisation peut conserver les CV pendant des années, perdus dans des boîtes e-mails, dossiers, et se trouver en risque.
L’entreprise ne peut pas s’engager à ce qu’aucune donnée personnelle de ses candidats ne subsiste dans ses outils au bout de deux ans, car elle n’est pas dans la capacité opérationnelle de le faire. Elle s’expose donc à une amende pouvant atteindre jusqu’à 4 % du CA consolidé du groupe dont elle fait partie, une somme monumentale. La solution, c’est la centralisation des données en un endroit où l’on est capable de les piloter, et donc en l’espèce au sein de l’ATS. En effet, une entreprise ne peut pas écrire à un candidat “nous nous engageons à supprimer vos datas dans 2 ans” si chaque recruteur dispose de CV sur son ordinateur en local partout en France !
Par ailleurs, la constitution de viviers étant une clé du recrutement dans les organisations multisites, le respect du RGPD en est d’autant plus important. Les entreprises multisites ont ainsi des viviers de candidatures régulière- ment activés et vont par exemple vouloir faire appel plusieurs fois dans l’année aux données d’un même candidat. En dépend directement la réactivité de certaines agences de services à la personne par exemple, ou encore de restaurants qui doivent remplacer au pied levé un membre de l’équipe. Une fois le CV de la personne entrée dans l’outil de gestion, celui-ci doit être consultable et repositionnable dès l’ouverture d’une offre correspondant, et pour ce faire, il faut que le consentement du candidat soit valide. Sans ces différents consentements, les CV ne sont plus exploitables, car les données sont anonymisées, représentant autant de candidatures de perdues pour l’entreprise.
En utilisant des outils qui intègrent complètement les enjeux RGPD dans leur mode d’utilisation, l’entreprise se simplifie la vie et neutralise les risques juridiques. Les ATS récents répondent, par ailleurs, aux enjeux RGPD dans le traitement des candidatures en sécurisant les données candidats générées tout au long du parcours candidat.
Le RGPD : un enjeu de réputation ?
La réglementation RGPD est claire en France : l’entreprise doit obtenir le consentement du candidat si elle souhaite conserver son CV dans un vivier et le repositionner sur d’autres offres d’emploi. De plus, elle doit supprimer ses données personnelles au bout de 2 ans en l’absence de renouvellement de son consentement. Le non-respect de ces dispositions légales expose l’entreprise à une amende infligée par la CNIL. (La CNIL a ainsi prononcé 49 mises en demeure et 14 sanctions en 2020, avec quelque 138,5 millions d’euros d’amendes rien que pour la France !).
Plus dissuasif que les amendes ? Le risque réputationnel auquel s’exposent les entreprises ne respectant pas le RGPD. En effet, la CNIL n’hésite pas à diffuser des communiqués de presse détaillant le niveau des amendes infligées et incriminant directement les entreprises qui contreviennent aux obligations du RGPD en soulignant les irrégularités observées sur des offres d’emploi, des sites carrières ou dans des processus de recrutement. Ce “name and shame” lié au non-respect du RGPD dans le cadre du recrutement et de la gestion des talents impacte négativement la marque employeur de l’entreprise concernée et donc la confiance de ses candidats.
RGPD : Les recommandations pour un recrutement multisite en conformité
- Les entreprises ont l’obligation légale de sécuriser le stockage des données RH et recrutement
Le RGPD impose aux entreprises de stocker les données des utilisateurs sur des serveurs sécurisés, en privilégiant des serveurs basés dans l’Union européenne. Le but est d’apporter la meilleure protection possible aux données personnelles des candidats et de conserver leur confidentialité. Sur cet aspect particulier, l’utilisation d’un logiciel de recrutement apparaît comme indispensable pour sécuriser et sauvegarder les données candidats. Pour renforcer la sécurité du stockage des données, certains serveurs proposent un système sécurisé de cryptage. - Toutes les données personnelles n’ont pas la même durée de stockage
Toutes les données ne sont pas sur le même pied d’égalité concernant la durée de conservation légale prévue. D’après le site officiel de la CNIL (cnil.fr) , il est possible de conserver les images d’un dispositif de vidéosurveillance pendant un mois. Une fiche de paie ou une fiche de contrôle des horaires peut être conservée pendant 5 ans. Un dossier médical est conservé pendant 10 ans à compter de la consolidation du dommage. Concernant le recrutement, un CV est conservé 2 ans après le dernier contact avec le candidat. Il est donc nécessaire de structurer l’ordre de conservation des différentes données, et notamment dans la constitution de viviers de CV : l’entreprise doit demander le renouvellement du consentement des candidats pour avoir l’autorisation de conserver leurs données. Aujourd’hui, les ATS permettent d’automatiser le renouvellement du consentement des candidats : à l’échéance du consentement, une séquence d’e-mails est envoyée automatiquement aux candidats concernés dans le respect de la législation RGPD. - Vis-à-vis du RGPD, il faut savoir se justifier
Avant d’enregistrer une donnée personnelle, l’entreprise doit se poser des questions concernant la pertinence des données qu’elle souhaite conserver. Elle ne peut pas enregistrer tout ce qu’elle souhaite sur ses collaborateurs ou ses candidats. En cas de contrôle RGPD, elle doit justifier de l’objectif derrière chaque donnée conservée et en quoi il est nécessaire pour le fonctionnement des différents services RH de la conserver. Chaque objectif doit bien évidemment remplir un but légal. En utilisant des outils qui intègrent complètement les enjeux RGPD dans leur mode d’utilisation, vous vous simplifiez la vie et sécurisez votre recrutement. Certains ATS récents répondent ainsi aux enjeux RGPD dans le traitement des candidatures parce qu’ils sécurisent les données candidats générées de bout en bout de l’expérience de candidature : anonymisation automatique des fiches candidats, e-mails de rappel automatique pour maximiser la donnée conservée en vivier.
Votre site carrières est-il en conformité avec le RGPD ?
Découvrez le JobSite Grader et faites analyser le niveau de conformité de votre site carrières avec le RGPD en 2 clics.
Crédit photo : burst.shopify.com
