Articles

RGPD et recrutement : les candidats prennent le contrôle

Vous avez aujourd’hui probablement déjà entendu parler des nouvelles lois européennes sur la protection de la vie privée. Peut-être avez-vous même lu des articles concernant leur impact sur comment les entreprises traitent les données des consommateurs. Mais en avez-vous trouvé abordant la façon dont le RGPD est appliqué au recrutement ? Les processus de recrutement impliquent le traitement d’un large volume de données. Ils seront donc également fortement affectés par le RGPD. Dans cet article, nous vous expliquons comment concilier RGPD et recrutement dans vos pratiques.

Le RGPD appliqué au recrutement

La collecte et le traitement des données des candidats, ainsi que la prise de contact à froid par e-mail, sont des composants essentiels du processus de recrutement. En utilisant différents outils, vous pouvez facilement rechercher sur le Web des CV et des adresses e-mail de candidats potentiels. Il existe également de nombreuses plateformes sur lesquelles il est possible d’acheter des bases de données complètes de CV.

Les données des candidats sont devenues le moteur du marché du recrutement. Dans la plupart des cas, ces données sont cependant utilisées sans le consentement des candidats, ou à leur insu.

Pour lutter contre ces pratiques, l’Union européenne (UE) a mis en place le Règlement Général sur la Protection des Données (RGPD). Entré en vigueur en mai 2018, le RGPD affecte toutes les entreprises qui traitent les données des citoyens de l’UE. Et ce même si ces derniers ne résident pas dans l’UE. Le non-respect de ce règlement peut être sanctionné par une amende de 20 millions d’euros, ou plus.

Le RGPD va profondément secouer les entreprises qui s’appuient sur le traitement des données personnelles, comme celles du marché du recrutement. Le règlement s’applique à toutes les données des candidats que vous avez recueillies, avant ou après son entrée en vigueur. Nous souhaitons vous aider à y voir plus clair. Nous abordons donc ici certains des points phares du RGPD, appliqués au recrutement et à l’acquisition de talents.

*Clause de non-responsabilité : les informations suivantes sont présentées à titre informatif uniquement. Elles représentent essentiellement notre point de vue. Il est vivement recommandé de vous faire assister par une équipe juridique informée sur le sujet. Nous n’assumons aucune responsabilité légale quant à l’exactitude de toute information présentée d’une quelconque façon dans cet article.

Définitions à connaître

Commençons par appliquer certaines expressions utilisées dans le RGPD au contexte du recrutement.

  • L’expression « personnes concernées » fait référence à vos candidats. L’expression « donnée personnelle » désigne toute information pouvant être utilisée pour identifier la personne concernée. Il pourrait s’agir, par exemple, d’un nom, d’un e-mail, ou d’un numéro de téléphone.
  • Les « responsables du traitement » sont les entités qui choisissent le type de données personnelles à traiter, et la façon de les traiter.
  • Les « sous-traitants » sont les logiciels de suivi des candidatures ou toute entité légalement reconnue qui traite des données personnelles pour le compte d’un responsable du traitement.
  • Le « traitement » fait référence à toute action affectant les données personnelles, d’une façon ou d’une autre — comme le recueil, l’enregistrement, le tri, le stockage, l’utilisation, et la suppression.

De façon générale, le RGPD vise à transmettre le pouvoir aux personnes concernées — les candidats — en spécifiant des règles strictes pour les « responsables du traitement » et les « sous-traitants ».

Comment le RGPD impacte-t-il les candidats ?

Le RGPD donne plus de contrôle sur leurs données aux candidats, une nouvelle tendance à prendre en compte dans votre stratégie de recrutement. Les données personnelles ne peuvent plus être échangées sans leur consentement ni à leur insu.

Voici les six droits dont dispose chaque personne concernée, énumérés dans l’ordre suivi dans le RGPD :

  1. Droit d’accès de la personne concernée : les candidats peuvent demander à être informés de la façon dont leurs données vont être traitées, ou même demander à voir l’ensemble de leurs données personnelles (que vous avez recueillies).
  2. Droit de rectification : les candidats peuvent vous demander de corriger ou de mettre à jour leurs données dans votre base de données de candidats.
  3. Droit à l’effacement (« Droit à l’oubli ») : les candidats peuvent vous demander de supprimer leurs données de votre base de données de candidats.
  4. Droit à la limitation du traitement : les candidats peuvent vous demander de suspendre le traitement de leurs données dans votre base de données de candidats.
  5. Droit à la portabilité des données : les candidats peuvent vous demander d’exporter toutes leurs données depuis votre base de données de candidats.
  6. Droit d’opposition : les candidats peuvent vous demander de cesser le traitement de leurs données, indéfiniment.

Pour respecter les droits des candidats, il vous faudra, en tant que responsable du traitement, revoir de façon exhaustive votre boite à outils de recrutement, et mettre à jour votre processus dans sa totalité.

Comment le RGPD impacte-t-il les employeurs et les agences de recrutement ?

Le RGPD s’articule essentiellement autour d’un point central : le consentement de la personne concernée. En tant que responsable du traitement, vous allez devoir obtenir l’autorisation des candidats pour :

  • recueillir leurs données,
  • et traiter ces données à des fins de recrutement (autorisation pour les sous-traitants agissant en votre nom).

Les candidats doivent par ailleurs pouvoir retirer leur consentement très facilement. Quand cela se produit, vous devez arrêter de traiter leurs données et supprimer celles-ci à leur demande.

Ce que vous devez garder à l’esprit :

1. Lorsque vous obtenez des données de candidats de façon directe, en tant que responsable du traitement

Quand les candidats postulent à vos offres d’emploi, il faudra leur fournir toutes les informations suivantes :

  • Le nom et les coordonnées de votre entreprise, ou du représentant de votre entreprise.
  • Le but du traitement des données des candidats. Il doit être spécifié clairement que les données ne seront utilisées qu’à des fins de recrutement.
  • Si vous êtes une agence de recrutement, vous devez divulguer aux candidats les parties qui reçoivent leurs données personnelles. Avec quels clients allez-vous partager les données des candidats ?

Lorsque vous recevez des candidatures, vous devez fournir des informations supplémentaires :

  • Pendant combien de temps allez-vous stocker les données des candidats ? S’il n’est pas facile d’estimer cette durée, vous allez devoir fournir des informations générales à ce sujet. Par exemple, « les données des candidats seront stockées aussi longtemps que ces derniers continueront de s’intéresser aux opportunités de carrière dans notre société ».
  • Comment les candidats peuvent-ils demander un accès à leurs données, les corriger, ou les supprimer ?
  • Comment les candidats peuvent-ils retirer leur consentement au traitement de leurs données ?
  • À qui doivent s’adresser les candidats qui souhaitent déposer une plainte concernant le traitement de leurs données ?
  • La nécessité des données fournies par les candidats. Pourquoi nécessitez-vous de telles données de la part des candidats ?
  • Si certaines prises de décisions sont automatisées dans votre processus de recrutement, y compris l’automatisation de l’évaluation de la capacité du candidat à être employé, vous allez devoir présenter aux candidats la raison justifiant une telle automatisation. Les candidats pourraient-ils être disqualifiés en fonction des résultats de ces prises de décisions automatisées ?
  • Si vous comptez utiliser les données des candidats à d’autres fins non liées au recrutement, vous devez les en informer avant de traiter davantage leurs données.

Si vous sourcez des candidats sur le Web, ou que vous obtenez leurs données de façon indirecte, vous devriez fournir toutes les informations présentées ci-dessous (vous remarquerez que la plupart d’entre elles se répètent) :

  • Nom et les coordonnées de votre entreprise ou du représentant de votre entreprise.
  • But du traitement des données des candidats. Il devrait être clairement spécifié que les données ne seront utilisées qu’à des fins de recrutement.
  • Catégories de données de candidats recueillies. S’agit-il du parcours professionnel, des informations de contact, ou d’autre chose ?
  • Période au cours de laquelle vous allez stocker les données des candidats. Par exemple, « les données des candidats seront stockées aussi longtemps que ces derniers continueront de s’intéresser aux opportunités de carrière dans notre société ».
  • Façon dont les candidats peuvent réaliser une demande s’ils souhaitent accéder à leurs données, les corriger, les supprimer, ou restreindre leur traitement.
  • Manière dont les candidats peuvent retirer leur consentement au traitement de leurs données.
  • Qui les candidats peuvent-ils contacter s’ils souhaitent déposer une réclamation concernant le traitement de leurs données ?
  • Source à partir de laquelle vous avez obtenu les données des candidats — et s’il s’agit d’une source accessible au public.
  • Si certaines prises de décisions sont automatisées dans votre processus de recrutement, y compris l’évaluation de la capacité du candidat à être employé, vous allez devoir présenter aux candidats la raison justifiant une telle automatisation, ainsi que ses conséquences. Les candidats pourraient-ils être disqualifiés en fonction des résultats des prises de décisions automatisées ?
  • Dans le cas où vous comptez utiliser les données des candidats à d’autres fins non liées au recrutement, vous devez en informer ces derniers avant de poursuivre le traitement de leurs données.
  • Pour les agences de recrutement, vous devez divulguer aux candidats les parties qui reçoivent leurs données personnelles. Avec quels clients allez-vous partager les données des candidats ?

Si vous ne prévoyez pas de donner suite à certaines candidatures, toutes les informations présentées ci-dessus doivent être communiquées aux candidats en question, dans un délai d’un mois à partir du moment de leur obtention. Les agences de recrutement doivent fournir les informations ci-dessus aux candidats dès qu’elles partagent les données candidats avec leurs clients.

2. Quand le sous-traitant traite les données des candidats en votre nom

Ce n’est qu’après avoir obtenu le consentement des candidats par rapport aux informations ci-dessus, que vous pourrez traiter leurs données. Au cours de ce processus, les candidats peuvent soumettre des demandes en vertu des droits que leur octroie le RGPD, et il vous incombe d’agir en conséquence dans un délai d’un mois.

1. Droit d’accès de la personne concernée

Lorsqu’un candidat demande l’accès à ses données, vous devez lui envoyer une copie de ses données avec toutes les informations présentées antérieurement, liées à son consentement.

2. Droit de rectification

Lorsqu’un candidat vous informe que ses données sont incorrectes ou incomplètes, vous devrez immédiatement procéder à une vérification et mettre à jour les informations dans votre base de données.

3. Droit à l’effacement (« Droit à l’oubli »)

Vous devez supprimer les données du candidat de votre base de données quand l’un des points suivants s’applique :

  • Les données du candidat ne sont plus pertinentes pour votre processus de recrutement. Par exemple, si vous ne cherchez plus à engager pour un certain poste. Vous allez dans ce cas devoir supprimer toutes les données des candidats qui ont postulé à l’offre d’emploi devenue obsolète.
  • Les candidats ont retiré leur consentement au traitement de leurs données.
  • Les candidats s’opposent au traitement de leurs données (plus de détails au point 6, plus bas).
  • Vous avez obtenu les données de façon illégale.

Au cas où vous auriez partagé publiquement les données d’un candidat, et que ce dernier souhaite que vous les effaciez, vous devrez non seulement les supprimer de votre base de données, mais également des bases de données des sous-traitants qui ont obtenu les données par votre intermédiaire.

4. Droits à la limitation du traitement

Vous devez arrêter de traiter les données des candidats lorsque l’un des points ci-dessous s’applique :

  • Les candidats affirment que leurs données ne sont pas exactes. Dans ce cas, vous pouvez reprendre le traitement des données après avoir vérifié leur exactitude.
  • Vous avez obtenu les données des candidats sans leur consentement, mais ces derniers souhaitent simplement que vous ne les traitiez pas, au lieu de complètement les supprimer de votre base de données. Cela revient à ajouter les candidats à votre vivier de talents, et à les contacter ultérieurement si un poste approprié est à pourvoir.

5. Droit à la portabilité des données   

Vous devez exporter les données des candidats lorsque ces derniers vous le demandent. Les fichiers exportés doivent être lisibles pour que les candidats puissent les utiliser pour d’autres offres d’emploi.

6. Droit d’opposition

Lorsque les candidats vous demandent de cesser le traitement de leurs données, vous êtes dans l’obligation de vous conformer à leur demande.

Mis à part les points partagés plus haut, si votre société emploie plus de 250 employés, vous devez conserver un dossier comportant les éléments suivants, mis par écrit :

  • Le nom et les coordonnées de votre entreprise ou du représentant de votre entreprise.
  • Le but du traitement des données des candidats.
  • Une description des catégories de personnes concernées (candidats) et de leurs données personnelles (données des candidats).
  • Les entités et personnes qui ont eu accès aux données des candidats par votre intermédiaire.

Avec tant de points à considérer en ce qui concerne le RGPD, vous avez tout intérêt à éviter les sous-traitants qui ignorent ce règlement, ou qui ne se conforment pas aux normes. Pour protéger votre entreprise, il est vital de collaborer uniquement avec les sous-traitants qui sont à jour en matière de lois de protection des données personnelles en vigueur.

Comment le RGPD impacte-t-il les logiciels de suivi de candidatures et les logiciels de recrutement ?

La plupart des logiciels de recrutement sont classés comme des sous-traitants selon le RGPD. Ils traitent les données des candidats pour le compte des employeurs ou des agences de recrutement. Pour que vos pratiques soient conformes au RGPD, toutes les opérations des logiciels de recrutement doivent être régies par un contrat, en vertu des lois de l’UE. Ce contrat devra exiger du logiciel de recrutement de :

  • Traiter les données des candidats selon les instructions fournies par le(s) responsable(s) du traitement.
  • Mettre en œuvre les mesures nécessaires pour protéger les données des candidats, y compris :
  • Le cryptage des données des candidats, ou leur dissimulation à travers des pseudonymes.
  • Garantir la capacité à maintenir un service et un système de traitement de haute qualité.
  • Assurer la sécurité du traitement à travers divers tests et évaluations périodiques des différentes mesures déployées.
  • Garantir la capacité à restaurer rapidement l’accès des candidats aux données, en cas d’incidents.
  • Supprimer sur demande toutes les données des candidats, ou de les renvoyer au(x) responsable(s) du traitement.
  • Démontrer au(x) responsable(s) du traitement sa conformité aux règles du RGPD.

Si le logiciel de gestion des candidatures s’intègre avec d’autres sous-traitants, ceux-ci devront également se conformer au RGPD.

RGPD : conseils de recrutement

L’initiative la plus importante pour être en conformité avec le RGPD consiste à mettre en place une infrastructure de recrutement capable de gérer correctement les données des candidats. Voici certaines de nos suggestions.

1. Obtenez un deuxième consentement

Généralement, les candidats consentent au traitement ponctuel de leurs données lorsqu’ils postulent à une offre d’emploi. Mais les sociétés, en général, stockent les données des candidats en vue de futurs besoins de recrutement. Pour éviter tout problème, nous vous recommandons fortement de demander une deuxième approbation aux candidats avant de stocker leurs CV dans votre base de données pour une utilisation ultérieure. Par exemple, lorsque vous informez par e-mail un candidat du rejet de sa candidature, demandez-lui son consentement avant de stocker ses données. De cette façon, vous saurez avec certitude si les candidats acceptent d’être ajoutés à votre vivier de talents.

2. Ajustez vos politiques pour mieux informer les candidats

Assurez-vous de mettre à jour votre politique de confidentialité et de définir le processus de traitement des données dans le cadre de votre processus de recrutement. Vous devez être transparent en ce qui concerne le type de données collectées et la raison justifiant leur collecte. Il serait judicieux d’inclure les six droits des candidats dans votre politique de confidentialité. Présentez-les de façon claire, et séparément des autres informations.

3. Établissez un accord de partage de données (conforme au RGPD) avec vos partenaires

Êtes-vous une agence de recrutement qui partage des profils de candidats avec ses clients ? Ou, partagez-vous des profils de candidats entre différentes agences, sous la tutelle d’une société mère ? Vous devriez mettre en place un accord de partage de données pour rester conforme aux lois du RGPD.

4. Collaborez avec des sous-traitants établis dans l’UE

Chaque société qui traite avec l’UE devra se conformer au RGPD — même si elle ne traite qu’avec un seul partenaire établi dans un pays de l’UE. En tant que responsable du traitement, vous ne devez utiliser que les sous-traitants qui déploient suffisamment de mesures pour répondre aux exigences du RGPD.

5. Collaborez avec des sous-traitants qui disposent d’une politique de confidentialité exemplaire

Optez pour un sous-traitant qui crypte toutes les données des candidats. Chez Recruitee, nous prenons toutes les mesures nécessaires pour crypter tous vos messages confidentiels ainsi que vos informations de connexion. Ces mesures garantissent le plus haut niveau de sécurité pour la protection des données que vous nous confiez.

6. Ayez une base de données de candidats constamment à jour

Collectez les données des candidats à des fins de recrutement, uniquement. Votre logiciel de recrutement, à travers différentes fonctionnalités, devrait vous permettre de faire en sorte que seules des données de candidats pertinentes soient recueillies. L’ATS Recruitee dispose par exemple d’une fonctionnalité d’importation et d’analyse des CV.

Si vous considérez que le profil d’un candidat ne répond plus aux exigences d’un poste à pourvoir, vous devriez supprimer les données de votre système. Et si vous disposez encore de données recueillies par le passé sans le consentement des candidats, vous devez leur demander. Qui sait, vous pourriez finir par développer de bonnes relations avec ces talents !

7. Continuez de respecter le RGPD pendant votre sourcing

Le sourcing continuera de jouer un rôle essentiel en recrutement. Vous devez donc simplement vous assurer de suivre toutes les étapes spécifiées dans le RGPD. Partagez toutes les informations requises avec les candidats que vous contactez pour la première fois, ou avant de permettre à vos clients d’accéder aux données (le cas échéant).

Pour plus de détails au sujet du RGPD appliqué au recrutement

Pour plus de détails sur la façon dont les recruteurs verront leurs activités affectées par le RGPD, nous vous invitons à consulter notre manuel du RGPD. Vous vous sentez prêt à franchir vos prochaines étapes ? Mettez-vous dans le bain en consultant les changements que nous avons apportés pour protéger vos données de recrutement.

Peut-être que vous les aimeriez aussi

Expérience candidat

Réussir son onboarding : au-delà du premier jour au bureau

Écrit par Gwladys Galloy

Expérience candidat

Livret d’accueil : l’objet quasi-vintage qui peut sauver un onboarding

Écrit par Anna Bissila

Expérience candidat

La lettre de refus de candidature : le coeur de l’expérience candidat

Écrit par Gwladys Galloy