Recrutement : comment être conforme au RGPD ?
[Spécial semaine de l'emploi dans le numérique] Par Jacques Froissant, CEO et fondateur du cabinet Altaïde
Le RGPD, le Règlement général sur la protection des données (en anglais GDPR pour General Data Protection Regulation), entré en vigueur le 24 mai 2016, est effectif depuis le 25 mai 2018. Concernant les pays de l’UE, cette réglementation qui vise à uniformiser le niveau de protection, est plus ou moins adoptée par les entreprises. Or les bases de CV, le process de recrutement, et les données gérées par les Ressources Humaines sont bien sur concernées.
Les entreprises et les RH doivent donc repenser leurs process liés à la protection des données à caractère personnel. Elles doivent désormais répondre à un ensemble de nouvelles règles (consentement pour chaque traitement de données personnelles, droit à l’oubli, champ d’application territorial étendu, etc.) sous peine de s’exposer à de très lourdes sanctions. Or les process RH dans les entreprises de croissance sont souvent négligés. Attention au retour de bâton potentiel !
Les cabinets de recrutement sont eux aussi concernés. En effet, les RH d’entreprises avancées sur le sujet n’hésitent pas à faite valider leur process de gestion des données au DPO interne.
Quels sont donc les défis et pièges redoutés pour cette implémentation? Éléments de réponses et conseils pour réussir au mieux sa mise en conformité.
Une évolution, pas une révolution
Depuis la mise en application, toute entreprise ou organisation touchant de près ou de loin aux données personnelles des résidents de l’Union européenne doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Complexe à première vue, cette réglementation vient pourtant clarifier une situation jusqu’ici insuffisamment claire au niveau européen. Chaque entreprise est ici tenue de mettre en place une politique interne afin de respecter les droits des utilisateurs d’un côté et les impératifs liés à son activité, de l’autre. La réglementation vient ici prolonger le travail amorcé avec la CNIL (1995) et la transformation digitale.
Une différenciation de données et un droit à la portabilité
Quels sont donc ces données tant évoquées? Il en existe principalement deux: structurée/ non-structurée:
- La structurée est contenue dans les applicatifs métiers, les entreprises vont devoir mettre en place des outils et des bonnes pratiques pour identifier la donnée personnelle et garantir, en cas de demande d’un utilisateur, son extraction, son annulation, sa suppression et son anonymisation. Les logiciels de gestion des RH, les ATS, ou Linkedin sont des exemples de données structurées.
- La donnée non-structurée est plus complexe à traiter. Totalement dispersée dans les entreprises, elle est gérée par les métiers (RH, commerciaux, marketing, services généraux, etc.), par les utilisateurs internes et externes et est sur des serveurs de fichiers, dans des Dropbox, sur des disques durs externes, et autres. Il est donc plus complexe de connaître son lieu de stockage et d’identifier les personnes autorisées à la consulter. Les CV contenus dans des emails, stockés dans des dossiers partagés, des Excel recap des candidats vus…sont autant d’exemple de données non structurées et souvent mal maitrisées par les RH.
Un impact sur les RH et leurs fonctionnements
Les nouvelles règles RGPD et la différenciation des données visent à rééquilibrer les relations entre les citoyens européens et les entreprises. Parmi ces nouvelles règles se trouve le droit à la portabilité évoqué ci-dessus. Ce dernier impose aux entreprises de mettre à disposition de leurs utilisateurs leurs données personnelles dans un format exploitable (données nominatives, de consommation, etc.). Chaque individu peut ainsi réutiliser ses propres données comme il le souhaite, dans les services de son choix.
Dans le cas d’un recruteur d’entreprise ou d’un cabinet de recrutement comme Altaïde, l’enrichissement d’un profil candidat à partir d’entretiens, d’une analyse du marché sera protégée et nous aurons la possibilité de transférer ces données d’une plateforme à une autre (Linkedin, Talensoft, et autres offrent cette possibilité). Une fois vos données transférées, attention à garder la possibilité aux personnes de modifier et ou demander la suppression de ses données personnelles.
Pour le recrutement la difficulté va être de bien poser les limites
Exemple: vous chassez sur Linkedin ou autre base de profils ou CV, vous rattachez des notes au profil, vous exportez les données dans votre outil de gestion du recrutement (ATS) ou de gestion des talents. Êtes-vous conforme au RGPD?
=> Non en l’état actuel de l’exemple.
=> Oui si vous validez ces points pour être conforme:
- Le consentement au traitement des données: vous devez demander leur consentement aux candidats que vous souhaitez ajouter à vos viviers.
- Le droit à l’information: les candidats doivent pouvoir consulter les informations stockées les concernant (nom et prénom, email, CV, etc.) via une page web unique, et modifier ou supprimer ces données.
- Le droit à l’oubli: les candidats pourront demander la suppression intégrale de leurs données.
- La fuite de données: en cas de fuite de données, vous devez pouvoir rapidement et facilement en notifier tous les candidats dans le délai de 48H fixé par la loi.
Sécurité, confidentialité et sauvegarde des données: il est recommandé de stocker ses données sur des serveurs dans l’Union Européenne. Une bonne approche donc, pour être tranquille, est d’utiliser un service conforme au RGPD. C’est le cas par exemple de Linkedin qui se met en conformité (choix d’Altaïde qui gère tout le process de ses recrutements dans Recruiter), ou des éditeurs de logiciels recrutement / ATS comme Talensoft.
Les recruteurs ou les cabinets qui continuent à « bricoler » en rapatriant des profils ou des CV de candidats sans leur consentement dans leur base de données (structurée ou non) sont donc hors la loi.
Un rôle important pour les RH
Système clé de cette nouvelle réglementation, les RH voient ainsi leur travail repensé et modifié avec cette mise en conformité. Des démarches clés leurs incombent: désignation d’un DPO, audit de conformité, formaliser un référentiel sécurité, former le personnel, réaliser une étude d’impact, s’assurer que les prestataires comme les chasseurs de têtes sont conformes…
Dès lors, et au vu des éléments évoqués tout au long de l’article, on comprend aisément que la bonne réussite de l’intégration RGPD résidera dans la capacité RH d’une entreprise à prendre la mesure de cette transformation, et la mener à bien, en interne, ou externe pour les plus petites entreprises qui délègueront.
Conclusion
Pour la majorité des experts interrogés, malgré les controverses, le RGPD constitue en tous cas une véritable opportunité pour les entreprises de mieux analyser leur exposition aux risques et faire de la conformité au texte un avantage concurrentiel en augmentant le niveau de confiance de ses salariés, clients et partenaires. Pour les RH et recruteurs, c’est un gros coup d’arrêt aux pratiques artisanales non maitrisées des process de recrutement et de conservation des données.
Et de votre côté, dans vos entreprises, où en êtes-vous de la conformité RGPD?
L’expert :
Jacques Froissant, Fondateur d’Altaïde en 2000, conseil en Recrutement et Gestion des RH qui s’est imposée rapidement comme un acteur majeur de l’accompagnement des sociétés innovantes de l’univers digital / numérique.
Blogueur reconnu sur tous ces sujets RH et sur les usages internet (réseaux sociaux, Linkedin, Facebook, Twitter), il est régulièrement sollicité comme expert (chroniques L’Express, 01Net, BFM, presse, conférences…).
- Ask A VC : comment modéliser un compte de résultat — Partie 6/6 : analyse de sensitivité - 21/05/2024
- Ask A VC : comment modéliser un compte de résultat — Partie 3/6 : les Coûts Fixes - 16/01/2024
- Question à un VC : Pourquoi les marges unitaires sont-elles si importantes pour votre modèle d’affaires? - 13/11/2023