RGPD & recrutement : tout savoir sur vos obligations et la conformité (et comment l’automatiser)

illustration RGPD

Sommaire

Le règlement européen sur la protection des données personnelles (RGPD) encadre depuis le 25 mai 2018  la collecte de données. Ainsi, les données demandées aux candidats sur le formulaire de recrutement sont encadrées par ce règlement.

Quel est le principe pour le recrutement ?

Le principe dans le cadre d’un recrutement ou de l’enrichissement de votre cvthèque est de bien informer les candidats. Ainsi, à chaque fois que vous collectez des données personnelles avec votre logiciel de recrutement, les mentions d’information doivent apparaître sur le support utilisé. Donc cela concerne les formulaires, les questionnaires associés, etc.

Quelles sont les mentions obligatoires ?

  • Le nom de la société qui traite les données [Nom, RCS adresse].
  • L’email du contact que l’on peut joindre pour le contrôle des données.
  • Les destinataires et le but de la collecte comme le département RH dans le cadre d’un recrutement.
  • La durée de conservation de ces données après accord.

Qui peut avoir accès aux informations personnelles au sein de l’entreprise ?

Selon la réglementation, seules les personnes impliquées dans le processus de recrutement peuvent consulter les informations personnelles du candidat ( généralement les salariés en charge de la gestion des ressources humaines). Une fois embauché, les services administratifs habituels peuvent également accéder à ces données (retraite, France-Travail, Sécurité sociale…).

Les supérieurs hiérarchiques des salariés peuvent également y avoir accès si nécessaire, mais il faut limiter ces données au maximum tant que le candidat ne fait pas partie de l’entreprise. Dans le cadre d’un entretien, il n’est pas nécessaire de transmettre des données personnelles en dehors du nom, prénom et éventuellement commune où vit le candidat. En dehors de ces cas limités, l’employeur ne peut divulguer les données personnelles des candidats ou des salariés que si la loi ou une décision de justice l’exige.

La responsabilité de l’entreprise est d’assurer la sécurité des informations des candidats et veiller à ce que seules les personnes habilitées y aient accès. Toutes les actions effectuées sur les données des candidats par les personnes habilitées doivent également faire l’objet d’un enregistrement pour respecter les normes du RGPD. C’est tout l’intérêt d’un logiciel de recrutement comme Jobaffinity : seules les personnes qui procèdent au recrutement peuvent avoir accès aux données personnelles du candidat.

Quels sont les droits des candidats sur leurs données personnelles ?

En France, la RGPD accorde aux candidats davantage de contrôle sur leurs données personnelles, ce qui constitue une tendance nouvelle à prendre en compte dans votre stratégie de recrutement. Selon la réglementation, les données personnelles ne peuvent plus être échangées sans le consentement des candidats ou à leur insu.

Le RGPD énumère six droits dont dispose chaque personne concernée, à savoir :

  1. Droit d’accès. Le droit de demander si le ou les  responsables de traitement disposent de données personnelles à son sujet, d’obtenir une copie de ces données et une information sur le traitement effectué (et ses objectifs) et quelles sont les sources des données
  2. Droit de rectification. Le droit de demander la correction ou la mise à jour des données personnelles.
  3. Droit d’opposition. Le droit de s’opposer au traitement des données personnelles indéfiniment
  4. Droit à l’effacement. Le droit de demander la suppression des données personnelles de la base de données
  5. Droit de limitation. C’est un droit complémentaire aux autres (opposition ou rectification), qui interdit l’utilisation des données durant le temps de traitement de l’application des autres droits. 
  6. Droit à la portabilité. Le droit de demander la récupération et/ou le transfert de ses données avec un organisme de son choix.

Vous avez tous les détails dans ce très bon document de la CNIL (fiche n°7), dont voici un extrait de tableau récapitulatif :

Pour respecter les droits des candidats, vous devez, en tant que responsable du traitement, examiner de manière exhaustive votre boîte à outils de recrutement et mettre à jour votre processus de recrutement dans son intégralité. Notre logiciel de recrutement Jobaffinity est prévu pour cela.

Il est de votre responsabilité de vous assurer que les données personnelles des candidats sont traitées de manière transparente et légale, tout en permettant aux candidats d’exercer leurs droits en matière de protection des données personnelles.

Puis-je utiliser les données d’un candidat non retenu pour une nouvelle offre, plus tard ?

Si, et uniquement si, il a donné son consentement lors de votre première interaction.

C’est tout l’intérêt de bien préparer bien en amont ses formulaires d’annonce d’emploi, il faut mentionner que, dans le cadre de sa postulation actuelle, le candidat donne le droit à l’entreprise de le ou la recontacter pour de futures propositions d’embauche le cas échéant.

C’est une mention qui est proposée par défaut dans la création d’annonces d’emploi avec Jobaffinity, vous avez un exemple de texte en ce sens juste en dessous.

Si vous n’avez pas eu ce consentement préalable, vous ne pouvez pas légalement vous servir des données personnelles du ou des candidats dans le futur. Ce serait dommage pour votre CVthèque !

Exemple de texte de consentement candidat pour le RGPD

Pour communiquer un premier niveau d’information, vous pouvez ajouter un lien vers la politique de confidentialité sur votre site internet.

Nous vous proposons un exemple de texte à afficher sur le formulaire de candidature de votre logiciel de recrutement pour respecter le principe d’information du RGPD.

Le texte que nous vous proposons s’adresse aux entreprises dont les données ne « sortent » pas de l’Union européenne. Par exemple, si vous vous servez de notre logiciel de recrutement. Si vos données sont potentiellement stockées hors UE (un Google Drive, un service type OneDrive de Microsoft ou des serveurs d’hébergement tiers), il faut vous renseigner sur l’emplacement des serveurs et de ses redondances ; et éventuellement consulter un spécialiste du droit en la matière. 

Si vos données sont bien conservées en UE, vous pouvez utiliser ce texte en  remplaçant les mentions entre crochets par vos informations :

« Les données que vous venez de communiquer font l’objet d’un traitement automatisé dans le but de traiter et gérer votre candidature. Il est effectué par [Nom de la société, RCS adresse], en sa qualité de responsable de traitement . Ce traitement de données est nécessaire à l’exécution de votre candidature.

La personne chargée de la protection des données peut être contactée à l’adresse email suivante [email].

Les données seront conservées deux ans après le dernier contact avec le candidat. Les données pourront être conservées par l’employeur pendant toute la durée du contrat de travail en cas d’embauche. Le [département RH, département recrutement…] sont les destinataires de ces données. 

Le responsable de traitement s’engage à ne pas transférer vos données personnelles en dehors de l’Union européenne dans le cadre de ses opérations de traitement.

Vous disposez d’un droit d’accès, de rectification. Aussi, en cas de motifs légitimes vous disposez d’un droit de suppression, de limitation et d’opposition au traitement de vos données. Vous bénéficiez également du droit à la portabilité de vos données. Et vous avez la possibilité de donner des directives concernant vos données en cas de décès. Vous un email à l’adresse[email] pour exercer vos droits. Vous avez la possibilité de saisir la CNIL s’il ne vous était pas donné satisfaction. »

Attention, ce texte ne se substitue pas à la consultation d’un conseil juridique, il a un but informatif.

Facilité de gestion du RGPD en recrutement avec Jobaffinity

Notre logiciel permet de se conformer au RGPD et d’informer les candidats à plusieurs niveaux, vous y trouverez des modèles de texte et toutes les informations nécessaires pour gérer correctement votre conformité RGPD. De plus, nos serveurs sécurisés sont situés en France pour éviter toute forme de problématique.

Les petits plus Jobaffinity :

  1. Vous pourrez paramétrer votre délai de conservation des données.
  2. Vous avez aussi la possibilité de paramétrer un email de relance. Cet email permet au candidat de relancer son délai RGPD s’il souhaite rester dans votre base de données.
  3. Vous pouvez paramétrer un délai court pour les candidats approchés via les réseaux sociaux le temps d’obtenir leur accord.

Nous abordons le sujet de la durée de conservation des données en fin d’article.

Conserver les données dans le respect des délais et en fonction de la source

Que dit la CNIL ?

En cas d’issue négative à une candidature, le dossier est conservé par l’entreprise sauf avis contraire du candidat. Les données sont automatiquement détruites à l’issue d’un délai de conservation généralement fixé à deux ans après la dernière interaction avec le candidat. Ce délai peut varier selon les entreprises. Seul l’accord formel du candidat permet une conservation au-delà de ce délai.

Que se passe-t-il concrètement sur le terrain ?

Certaines entreprises choisissent de supprimer ces données au bout d’un an, mais d’autres organisations qui recrutent des profils plus rares demandent des dérogations à la CNIL pour prolonger ce délai de conservation. C’est le cas des métiers pénuriques comme les architectes par exemple.

Des nuances à prendre en compte selon la source de la candidature

Si vous avez récupéré vous-même des candidatures sur LinkedIn par exemple, comme le permet notre logiciel de recrutement, vous disposez de 30 jours de conservation. Si vous souhaitez transmettre les CV à un tiers et/ou conserver les profils au-delà de cette période, vous devez demander l’autorisation aux personnes concernées.

Quel est l’avantage d’un ATS comme Jobaffinity ?

Vous pouvez programmer la suppression des profils dans votre outil ATS. Elle se fera automatiquement au bout de la période choisie. Jobaffinity sait détecter à quelle date a eu lieu votre dernière interaction avec le candidat. Si vous souhaitez conserver cette candidature, vous pouvez demander au candidat son accord pour conserver son profil dans votre CVthèque. C’est une fonction du logiciel.

Jobaffinity sait également distinguer les différentes sources de candidatures. Notre outil détecte les candidatures que vous avez entrées manuellement et qui n’ont donc pas fait l’objet d’un consentement préalable. Notre solution les supprime automatiquement au bout de 30 jours. Si vous souhaitez les conserver, vous pourrez les contacter pour leur demander leur approbation (voire programmer un mail automatique). Vous pouvez filtrer facilement ces profils dans Jobaffinity, les identifier et les contacter !

Bien informer vos candidats sur le traitement de leurs données

Que dit la CNIL ?

Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. La transparence permet aux personnes concernées de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données ; d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits” (source : CNIL)

Que devez-vous faire ?

Vous devez afficher dans vos mentions légales les conditions de conservation et d’utilisation des données. Ce texte doit apparaître également dans le formulaire de candidatures afin que les personnes souhaitant postuler au sein de votre entreprise puissent les accepter en toute connaissance de cause. Lorsque vous récupérez des profils par mail, vous pouvez mettre ce texte légal dans l’accusé de réception des candidatures.

Quel est l’avantage de Jobaffinity ?

Nous vous proposons à titre informatif un exemple de texte à afficher sur le formulaire de candidature de votre logiciel de recrutement pour respecter le principe d’information du RGPD (voir plus haut). Ce texte s’adresse aux entreprises dont les données ne « sortent » pas de l’Union européenne. Notre logiciel permet d’informer les candidats à plusieurs niveaux. Pour les candidatures provenant des réseaux sociaux, vous pouvez les identifier grâce à Jobaffinity et leur faire parvenir votre politique de confidentialité et de traitement des données par mail.

Le délai de conservation des données personnelles en recrutement

Maintenant si vous vous posez la question de la durée de conservation des données. La loi ne donne pas un délai précis. Le RGPD précise que les données à caractère personnel ne peuvent être conservées que « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Plus particulièrement si l’on s’intéresse aux données des candidats à l’embauche. 

La CNIL s’est prononcée sur ce qu’elle entendait par « durée nécessaire ». Ainsi, la CNIL recommande que la durée de conservation des informations (sur support informatique et papier) n’excède pas 2 ans. Attention, ce délai est calculé à partir  du « dernier contact » avec la personne concernée.

Nous vous rappelons que le processus de recrutement est soumis :

N’oublions pas mentionner les recommandations de la Commission informatique et libertés (CNIL) : Cnil, guide pratique pour les employeurs.

Utilisez un ATS pour simplifier la conformité RGPD en recrutement

Vous souhaitez ne plus vous soucier des différentes actions pour votre conformité en RPGD pour les recrutements ? Faites confiance à un logiciel de recrutement (ATS) pensé pour : Jobaffinity, demandez une démo dès aujourd’hui.

Consultez les articles dans la même catégorie