La cooptation est une méthode de recrutement qui consiste à solliciter les salariés d’une entreprise pour recommander des candidats potentiels pour un poste vacant. Bien que cette méthode offre de nombreux avantages, (réduction des coûts de recrutement, obtention de candidats de confiance, intégration plus rapide…), elle soulève également des préoccupations en matière de protection des données personnelles. Comme vous le savez sans doute, notre logiciel de recrutement est construit pour vous aider à être conforme au RGPD. Mais quand vous passez par le bouche à oreille, vous n’allez peut-être être tenté(e) de vous passer de Jobaffinity.
Alors comment allier cooptation avec le Règlement Général sur la Protection des Données (RGPD) ?
Le RGPD : Un bref rappel
Le RGPD est un règlement européen qui vise à renforcer et à unifier la protection des données personnelles des citoyens de l’Union européenne. Il impose des obligations strictes aux entreprises en matière de collecte, de traitement et de stockage des données personnelles. Tout manquement à ces obligations peut entraîner de lourdes sanctions financières.
Origine et objectif du RPGD
Le RGPD a été adopté par le Parlement européen en avril 2016 et est entré en vigueur le 25 mai 2018. Il remplace la directive sur la protection des données de 1995. L’objectif principal du RGPD est de donner aux citoyens de l’Union européenne (UE) plus de contrôle sur leurs données personnelles et de garantir que les entreprises traitent ces données de manière transparente, sécurisée et responsable. Source
Portée du RGPD
Le RGPD s’applique à toutes les entreprises, organismes et associations, qu’il soient basés dans l’UE ou non, dès lors que des données personnelles de résidents de l’UE sont traitées. Cela signifie que même les entreprises basées en dehors de l’UE peuvent être soumises à ce règlement si elles offrent des biens ou des services aux citoyens de l’UE ou surveillent leur comportement.
Obligations des entreprises vis-à-vis du RGPD
Les entreprises sont tenues de respecter plusieurs principes fondamentaux en matière de traitement des données, tels que la conformité à la loi, la transparence, la limitation des finalités, l’exactitude, la limitation de la conservation et la confidentialité. Elles doivent également obtenir un consentement explicite pour la collecte et le traitement des données, informer les individus de leurs droits en matière de protection des données et mettre en place des mesures de sécurité appropriées pour protéger ces données.
Si vous n’êtes pas encore en conformité avec le RGPD ou montez votre nouvelle entreprise, ce guide RGPD pourra vous aider.
La cooptation et la collecte de données
La cooptation, également connue sous le nom de parrainage ou de recommandation, est une méthode de recrutement où les employés actuels recommandent des candidats pour des postes vacants au sein de leur entreprise. Cette cooptation est souvent accompagné de récompenses, comme des bonus monétaires par exemple. Bien que cette méthode soit avantageuse pour les entreprises car elle peut réduire les coûts de recrutement et augmenter la probabilité de trouver un candidat adapté, elle présente des défis particuliers en matière de protection des données de par la manière même dont les informations sont transmises : souvent par un employé qui n’a pas la conformité RGPD en tête.
Nature des données collectées
Lors de la cooptation, les données transmises peuvent varier, allant des coordonnées basiques (nom, numéro de téléphone, adresse e-mail, adress epostale) à des informations plus personnelles comme les compétences, l’expérience professionnelle, les hobbies ou même des appréciations subjectives sur le candidat.
Le défi du consentement
Le RGPD stipule que le consentement doit être « libre, spécifique, éclairé et univoque » pour qu’une donnée personnelle puisse être traitée légalement. Dans le contexte de la cooptation, cela signifie que même si un employé recommande un ami ou un ancien collègue, l’entreprise ne peut pas simplement utiliser ces informations sans avoir préalablement obtenu le consentement explicite du candidat recommandé.
Exemple : Imaginons que Marie, employée chez TechCorp, recommande son ancien collègue Ahmed pour un poste d’ingénieur. Elle fournit son CV et son adresse e-mail à son responsable RH. Avant que le service RH de TechCorp ne contacte Ahmed ou n’utilise ses informations pour évaluer sa candidature, ils doivent s’assurer que Ahmed est informé de cette recommandation et qu’il donne son consentement pour que ses données soient traitées.
Mise en pratique
Pour se conformer au RGPD, les entreprises peuvent mettre en place des procédures spécifiques pour la cooptation. Par exemple, lorsqu’un employé soumet une recommandation, le service RH pourrait envoyer un e-mail au candidat recommandé, l’informant de la recommandation et lui demandant son consentement pour traiter ses données. Ce mail devrait également fournir des informations détaillées sur la manière dont les données seront utilisées, la durée de conservation, et les droits du candidat en matière de protection des données.
Vous disposez de modèles de mails dans notre logiciel de recrutement Jobaffinity, et nous vous conseillons d’entrer le profil des candidats cooptés dans l’outil afin de vous faciliter la vie pour ce qui est de la conformité.
Les droits des candidats cooptés
Le Règlement Général sur la Protection des Données (RGPD) a été conçu pour renforcer les droits des individus en matière de données personnelles. Pour les candidats cooptés, cela signifie qu’ils ont des droits spécifiques concernant les informations que l’entreprise détient à leur sujet. Voici une exploration détaillée de ces droits, accompagnée d’exemples concrets.
Droit d’accès
Ce droit permet à toute personne de savoir si ses données personnelles sont traitées par une entreprise et, si c’est le cas, d’obtenir une copie de ces données ainsi que des informations sur la manière dont elles sont traitées.
Exemple : Jean, un candidat coopté, peut contacter le service RH de l’entreprise et demander un aperçu de toutes les données qu’il détient à son sujet, y compris les notes d’entretien ou les évaluations.
Et oui, attention : les salariés peuvent accéder à l’ensemble des données d’évaluation ou d’entretien si elles font partie de son dossier (voir l’encart de la page 5 de ce guide de la CNIL)
Droit de rectification
Si un individu estime que les données personnelles détenues par une entreprise sont inexactes ou incomplètes, il a le droit de demander leur correction.
Exemple : Si l’entreprise a enregistré le mauvais numéro de téléphone ou une adresse e-mail incorrecte pour Jean, il peut demander que ces informations soient corrigées.
Droit à l’effacement (ou « droit à l’oubli »)
Dans certaines circonstances, un individu peut demander à une entreprise de supprimer ses données personnelles. Cela peut être le cas, par exemple, si les données ne sont plus nécessaires pour l’objectif initial ou si l’individu retire son consentement.
Exemple : Après avoir été refusé pour un poste, Jean peut demander à l’entreprise de supprimer toutes les données qu’elle détient à son sujet, y compris son CV et ses lettres de motivation.
Droit à la portabilité
L’objet ici est de permettre aux individus de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible. Ils peuvent également demander que ces données soient transférées directement à une autre entreprise, si cela est techniquement possible.
Exemple : Jean souhaite postuler à une autre entreprise et souhaite utiliser les mêmes informations qu’il a fournies précédemment, il peut demander à l’entreprise initiale de lui fournir ses données dans un format tel qu’un fichier CSV (excel), qu’il pourra ensuite transmettre à la nouvelle entreprise.
Ces droits offrent aux candidats cooptés un contrôle accru sur leurs données personnelles et garantissent que les entreprises traitent ces données de manière transparente et éthique. La conformité RGPD est trop souvent négligée par les entreprises. Si les cas de contrôles (et de condamnation) sont encore relativement rares, ils existent bel et bien.
Les obligations des entreprises
Les entreprises qui utilisent la cooptation comme méthode de recrutement doivent s’assurer qu’elles respectent les obligations suivantes :
- Informer les candidats : Avant de collecter des données, l’entreprise doit informer les candidats de la manière dont leurs données seront utilisées, de la durée de leur conservation, et de leurs droits en vertu du RGPD.
- Minimiser la collecte de données : Seules les données nécessaires au processus de recrutement doivent être collectées.
- Protéger les données : Les entreprises doivent mettre en place des mesures de sécurité appropriées pour protéger les données contre les accès non autorisés, les pertes ou les fuites.
Ne mettez pas de côté vos obligations RGPD en cas de cooptation
La cooptation est une méthode de recrutement efficace, mais elle doit être mise en œuvre en respectant les principes et les obligations du RGPD. Les entreprises doivent être proactives dans la gestion des données des candidats cooptés et s’assurer qu’elles respectent leurs droits.