Le Règlement Général pour la Protection des Données Personnelles (RGPD) a un large domaine d’application. L’un d’entre eux est le domaine du recrutement, manipulant une grande quantité de données personnelles. Les recruteurs sont donc dans la ligne de mire de la CNIL (Commission Nationale de l’Informatique et des Libertés), gardien du RGPD en France. Un manquement coûterait très cher, car il est administrativement sanctionné d’une amende allant de 2 à 4 % du chiffre d’affaires mondial des entreprises en faute (avec un minima de 10 millions d’euros en cas de faute légère et de 20 millions d’euros en cas de faute grave). La CNIL peut, en outre, publier ses informations et toucher ainsi l’image de marque employeur. Plus de 5 ans après l’adoption du RGPD, la question de la mise en conformité de votre recrutement à ce règlement est encore pleinement d’actualité. Voici un guide pratique, résumé en huit étapes.
1. Ne collecter que les données nécessaires
Premièrement, il y a le « principe de finalité ». La collecte des données doit servir un objectif – légitime et légal au sens de la loi. En l’espèce, il s’agit donc de traiter des données dans le but d’évaluer un candidat et sa capacité à occuper un poste qu’une entreprise a ouvert au recrutement. La collecte de données opérée par le département des ressources humaines ne doit donc pas être utilisée par d’autres départements, même au sein de l'entreprise elle-même. Elle ne doit pas servir le marketing ou encore, les recherches et développement. Le principe de finalité implique également l’interdiction de collecter des données qui ne sont pas en rapport direct avec la finalité spécifiée, c’est-à-dire « recruter ». Traiter des données relatives à l’opinion politique de vos candidats ou à son appartenance syndicale n’est ni conforme au droit du travail, ni au RGPD.
En gros, la première étape est de déterminer scrupuleusement les données que vous collecterez lors du prochain recrutement et de justifier leurs utilités dans votre processus de sélection du candidat idéal.
2. Être transparent et informer le candidat
Deuxièmement, le RGPD demande l’application du « principe de transparence ». L’entité qui fait n’importe quel traitement de données personnelles doit être transparente à ce sujet et en informer la personne concernée. Ainsi, le recruteur doit aviser le candidat du traitement qui est fait sur ses données. L’information doit être explicite et compréhensible (il ne doit pas supposer que le candidat sait que ses informations personnelles sont traitées lors d’un recrutement). Elle doit également être préalable à tout traitement, c’est-à-dire que sans un consentement explicite du candidat, aucun traitement ne devra être fait. Les éléments d’information portent donc sur plusieurs points :
- La collecte elle-même
- La finalité de la collecte et le type de traitement que les données vont subir
- La durée de la conservation des fichiers
- Les droits ouverts au candidat par rapport à ses données personnelles et leurs modalités d’exercice (droit d’accès, droit de rectification, droit de demande de suppression, droit d’opposition à la collecte, possibilités de faire des réclamations auprès de la CNIL).
La deuxième étape est donc pratiquement la préparation d’un formulaire d’information à destination du candidat sur la collecte et le traitement de données lors du processus de recrutement. Notez-bien que ceci ne s’applique pas uniquement aux recrutements en ligne, mais à tout type de traitement de données, y compris les recrutements en présentiel ou sur papier.
3) Disposer d’un registre des traitements
Cette troisième étape découle directement de la première et de la seconde. Toute entreprise, quelle que soit sa taille, le type de traitement opéré ou le type de données traitées, doit créer un registre des traitements. Il y a deux types de registres possibles : un registre pour les traitements faits en interne et un autre, pour les traitements externalisés en sous-traitance. Et le domaine du recrutement n’y échappe pas. Le registre recense chacun des traitements faits, avec tous les détails relatifs à ce traitement :
- Qui sont les acteurs et qui y a accès ?
- Quelles catégories de données sont concernées et pourquoi sont-elles traitées ?
- Combien de temps doivent-elles être conservées ?
- Quelles sont les mesures de sécurisation de ces fichiers ?
Vis-à-vis des tiers, y compris la CNIL, ce registre tient lieu de preuve de la conformité au RGPD. Pour le recruteur et l’entreprise elle-même, il tient lieu d’outil de pilotage et d’auto-évaluation.
La troisième étape consiste à créer un registre des activités de traitement relatif au recrutement et à l’organiser de manière à ce qu’il soit facilement consultable.
4) Nommer un DPO (Data Protection Officer)
Cette étape n’est certes pas toujours obligatoire, mais elle reste fortement encouragée. Un DPO est une personne qui sera spécifiquement chargée de la protection des données personnelles au sein de votre entreprise, pour en assurer la bonne gestion et la complaisance avec les règles du RGPD. Elle peut être une personne interne à l’entreprise ou une personne/entreprise externe.
Outre les institutions publiques et les entreprises en charge de données qualifiées de « sensibles » (santé, origine, vie sexuelle, …), la nomination d’un DPO est obligatoire pour toute entreprise appelée à manipuler des données personnelles à grande échelle et de manière régulière. Autrement dit, l’entreprise de recrutement est dans l’obligation d’en avoir un, car son objet est véritablement de traiter des données au quotidien pour recruter pour le compte de ses clients. Au contraire, l’entreprise qui recrute en interne n’y est pas astreinte.
La quatrième étape, facultative, mais recommandée, est de désigner un DPO, responsable de vos traitements et interlocuteur de la CNIL. Il est possible de faire appel à un prestataire externe tel que Dipeeo qui assure pour vous la conformité RGPD.
5) Sécuriser les données
Les informations personnelles sont, depuis plusieurs années, la cible préférée des attaques en tous genres. En 2021, la CNIL fait état d’une hausse de 71 % de la violation des données.
La sécurisation porte tant sur l’accès à ces données que sur le processus de traitement lui-même. L’accès physique ou électronique doit être verrouillé et limité aux seules personnes autorisées à y avoir accès. Dans le domaine du recrutement, il faut que les informations du candidat ne soient accessibles qu’aux personnes intervenant directement dans le processus (recruteur et son équipe), et non pas à toute l’entreprise. Le RAF n’a pas encore besoin d’y avoir accès, s’il n’est pas encore recruté. Une pile de CV sur la table, que toute personne qui passe peut lire, est déjà une infraction au RGPD.
De même, toute opération touchant aux données doit être automatiquement enregistrée, aux fins d’un suivi plus facile en cas de violation.
Pour se conformer au RGPD, l’entreprise qui recrute doit sécuriser l’accès aux données personnelles du recrutement et nommément désigner les personnes qui peuvent y avoir accès.
6) Ne conserver les données du candidat que le temps nécessaire
Les informations personnelles ne peuvent être conservées que le temps de réaliser la finalité déterminée au préalable. Par la suite, elles doivent être détruites, anonymisées ou archivées. Généralement, la base de données de candidats ne peut être conservée au-delà de deux ans, sauf consentement du candidat pour une conservation plus longue. Les personnes recrutées feront, bien évidemment, l’objet d’un traitement plus long, cette fois-ci, par d’autres départements au sein de l’entreprise, notamment la division administrative et financière.
Par conséquent, la sixième étape est de déterminer le temps de conservation des données des candidats, le recueil du consentement de ceux-ci si vous souhaitez avoir un pool de données sur eux au-delà de deux ans et la mise en place d’un système de destruction ou d’archivage des données précédemment collectées.
7) Mettre en place un système de mise en œuvre des droits des candidats
Cette étape pour la mise en conformité au RGPD doit intervenir dès la collecte. L’entreprise doit avoir un système facile et accessible pour permettre à la personne concernée d’exercer ces droits d’accès, de rectification, de suppression ou d’opposition. Généralement, il doit pouvoir être fait en ligne et ne pas requérir un déplacement quelconque. Dans le domaine du recrutement, l’entreprise doit donc permettre aux candidats de rectifier les informations fournies, de limiter le traitement, de demander à ce que le traitement cesse, etc.
En pratique, pour être conforme au RGPD, l’entreprise qui recrute doit avoir un formulaire, un lien ou tout autre système simple d’accès pour l’exercice des droits à distance.
8) Obligation spécifique d’Analyse d’Impact sur la Protection des Données Personnelles (AIPD)
Lorsque le traitement engendre un risque pour la liberté et les droits des personnes, l’AIPD est obligatoire. La notion de « risque » est large. Dans le domaine du recrutement, le risque est surtout lié à l’utilisation de l’intelligence artificielle, des algorithmes en tous genres et des logiciels de traitement automatique des données pour procéder au recrutement. Le risque est de porter atteinte au droit du candidat « de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire » (Article 22 RGPD). Normalement, les traitements automatisés des candidatures ne sont donc pas conformes à la RGPD. Conduire l’AIPD est un moyen de prouver la « présence humaine » tout au long du processus et en son absence, d’insérer des interventions humaines à toutes les étapes pour garantir la non-discrimination dans le recrutement.
Un autre moyen de recruter conformément au RGPD est de confier son recrutement à une entreprise spécialisée, déjà conforme. Hunteed, plateforme de recrutement en ligne, est RGPD-friendly. L’entreprise confierait donc en même temps son recrutement à des experts et à des recruteurs dotés d’un réseau étoffé de prospects potentiels – mais elle se dégagerait aussi d’une charge de travail conséquente pour se conformer au RGPD.