LA RGPD ET LE RECRUTEMENT EN INTÉRIM : DOSSIER
Tout ce que vous devez savoir
Sommaire de la page
Introduction
La RGPD c'est quoi ?
Qui est concerné par la RGPD ?
Ce que change la RGPD pour les agence d'intérim
RGPD : 4 étapes pour mettre votre agence d'intérim aux normes
Informer le candidat et obtenir son consentement
Donner aux candidats un accès à leurs données
Restreindre l'accès aux données des candidats dans l'agence
Les règles de la RGCP dans le processus de recrutement
Les données collectés auprès des candidats
La durée de conservation des données
Apprenez à faire de la RGPD une opportunité
Améliorez votre base de données existante
Renouez des liens grâce à la RGPD
Instaurez un climat de confiance
RGPD : quelques exemples du quotidien
Les risques de non-conformité à la RGPD pour votre agence d'intérim
Partout en Europe, les recruteurs se font des cheveux blancs en pensant au RGPD.
Mais en réalité, voir ce qui se cache derrière ce sigle qui fait peur est une excellente occasion d’optimiser vos processus. Le RGPD va changer la manière dont vous recueillez, stockez et traitez les données relatives à vos candidats. Cela veut dire qu’il y aura du boulot supplémentaire, oui, mais ces changements peuvent aussi avoir des effets très positifs, à savoir :
En bref, le RGPD permettra aux individus de mieux contrôler leurs données personnelles - et ce n’est pas la fin du monde pour votre entreprise, contrairement à ce que vous auriez pu entendre.
Une base de candidats pertinente et à jour.
Une meilleure réputation auprès des candidats et des managers opérationnels
Une plus grande crédibilité, professionnalisme, la certitude d’être conforme à la législation.
LA RGPD c'est quoi ?
Le Règlement Européen sur la Protection des Données (RGPD) est une nouvelle législation de l’Union européenne qui porte sur les données personnelles. Elle entre en application le 25 mai 2018.
On pourrait dire que le RGPD renforce la règlementation existante et entend revoir à la hausse les standards de traitement des données. Désormais, vous devrez obtenir le consentement explicite des individus pour stocker, traiter, utiliser et partager leurs données, ou sinon vous devrez justifier d’un intérêt légitime pour récolter collecter et utiliser ces informations.
Le RGPD uniformisera le traitement des données dans l’ensemble de l’Union européenne, et, chose importante pour nos collègues britanniques, il restera en vigueur après le Brexit.
Qui est concerné par la RGPD ?
Le RGPD concerne toute entreprise (y compris les auto-entrepreneurs) qui traite des données de personnes localisées à l’intérieur de l’UE, indépendamment du lieu où elle est installée. Il touche de près les recruteurs et les sourceurs qui recherchent des candidats dans l’UE.
Ce que change la RGPD pour les agences d'intérim
À partir du 25 mai 2018, vous devrez avoir le consentement explicite de vos candidats si vous voulez recueillir, stocker et utiliser leurs données pour une ou plusieurs finalités déterminées - ou alors, vous devrez être en mesure de justifier de ce qu’on appelle un « intérêt légitime » : c’est-à-dire une base juridique alternative permettant le traitement. Nous parlerons mieux de cette notion plus loin dans notre ebook.
Les candidats devront aussi être informés de l’utilisation de leurs données, avec une explication précise des modalités et finalités des traitements. Ils auront également le droit de s’opposer au traitement de leurs données à des fins de profilage, et de demander, à tout moment, leur suppression.
Vous devrez aussi donner aux candidats la raison du traitement de leurs données personnelles. Votre site web doit l’expliquer clairement, et vous devrez rendre les options de consentement bien distinctes les unes des autres au lieu de tout mettre dans le même tas.
Certains cabinets de recrutement trouvent que la meilleure façon de le faire est de créer un portail en ligne accessible par les candidats. Ces derniers auront le contrôle et la responsabilité de leurs données, et vous vous prendrez moins la tête pour la conformité RGPD.
Solution alternative : conserver les données dans un CRM central plutôt que dans des fichiers Word, Excel, Outlook, etc. Cela laissera une trace documentaire en cas d’éventuel rapport ou d’audit.
Bon à savoir
Les candidats doivent être informés de l’utilisation de leurs données, avec une explication précise des modalités et finalités des traitements
RGPD : 4 ÉTAPES POUR METTRE VOTRE AGENCE D'INTÉRIM AUX NORMES
Informer le candidat et obtenir son consentement
Si les règles du RGPD ne vous obligent pas à renouveler tous les accords existants, ni de les recoucher sur papier, vous devrez penser à obtenir un nouveau consentement compatible RGPD si vous pensez que le consentement courant n’est pas :
- libre
- spécifique
- éclairé
- explicite
- univoque
- facile à retirer
Il est désormais impératif pour utiliser les données d’un candidat d’obtenir son consentement ou a minima de lui donner la possibilité de s’opposer à la détention ou à l’utilisation des données. La RGPD qualifie cette thématique de droit à l’oubli.
Pour justifier l'accord donné par le candidat, votre cabinet d'expertise-comptable aura intérêt à privilégier l'opt-in à l'opt-out. L'opt-in, qui est généralement présenté sous forme d'une case à cocher pour donner son accord, sera à privilégier à l'opt-out, présenté sous forme d'une case à décocher pour manifester son désaccord.
En cas de contrôle de la CNIL ou de litige avec un candidat, il vous faudra être en mesure de prouverque votre cabinet d'expertise-comptable a bien collecté le consentement du candidat. Un point sur le stockage des consentements dans le back office de votre site internet, ou bien dans les notificationsque vous recevez par email lorsque vous recevez une candidature sera peut être nécessaire !
Donner aux candidats un accès à leur données
Les candidats doivent avoir la possibilité de demander l'accès, la modification et la suppression des données les concernant et ce à tout moment.
Le RGPD qui a vocation à redonner aux individus la propriété de leurs données à caractère personnel, prévoit qu'à tout moment, et sans avoir besoin de le justifier, le candidat puisse demander une copie des données stockées par votre cabinet d'expertise-comptable et qui le concernent : test de recrutement, notes d'entretien, test de personnalité...
Cela implique un point important : votre cabinet doit être en mesure de pouvoir produire à tout candidat qui en formule la demande, une copie des données que vous détenez sur lui. Assurez-vous ainsi de ne conserver que des données strictement nécessaires au processus de recrutement !
Vous externalisez le processus de recrutement : le cabinet de recrutement mandaté pour recruter pour votre cabinet d'expertise-comptable doit être à même de fournir ces mêmes éléments dans les délais impartis. Assurez-vous auprès de votre cabinet de recrutement qu'il est organisé pour le faire !
Un article des Echos paru le 13 septembre 2018, « RGPD : les entreprises peinent à respecter les délais », précise que 70% des sociétés ne répondraient pas aux demandes d'accès aux données personnelles dans le délai imparti d'un mois. Et vous, êtes vous organisé dès à présent pour répondre à ce type de demande ?
Restreindre l'accès aux données des candidats dans l'agence
Le RGPD prévoit que l'accès aux données à caractère personnel soit limité aux personnes qui en ont le besoin. Ainsi, au sein de votre cabinet d'expertise-comptable, des dispositifs sont à mettre en place pour que l'accès soit restreint uniquement aux collaborateurs qui en ont besoin : un(e) chargé(e) de recrutement n'aura peut-être pas besoin des mêmes informations qu'un consultant ou un responsable d'agence.
Utiliser une solution logicielle vous permettant de savoir quels sont les collaborateurs qui se connectent à quel(s) fichier(s), quand, et pour quel(s) motif(s), permettrait de vous assurer qu'il n'y a pas de tentative d'accès par des personnes non habilitées.
LES RÊGLES DE LA RGPD DANS LE PROCESSUS DE RECRUTEMENT
Les données collectées sur un candidat ne doivent servir qu'à apprécier son profil par rapport au poste à pourvoir
Dans le cadre d'un processus de recrutement, il est strictement interdit de collecter des données qui n'ont pas de lien avec les compétences du poste à pourvoir. Exemple : des données relatives à la religion, à la santé, à l'opinion politique ... Il est également interdit de demander à un candidat son numéro de sécurité sociale tant qu'il n'est pas retenu pour le poste.
Lorsque le candidat sera embauché, les informations nécessaires à la gestion du personnel, ou à l'organisation du travail pourront être collectées : copie de la carte d'identité, du permis de conduire, copie de la carte vitale, copie de la carte grise du véhicule...
La durée de conservation des données personnelles d'un candidat est limitée
En cas d'issue négative à une candidature, vous devez demander au candidat s'il accepte que vousconserviez sa candidature au sein de votre base de CV. En cas d'accord de sa part, vous pouvez la conserver deux ans maximum après le dernier contact. Au delà, elle devra être détruite.
Cela implique un traitement rigoureux de la base des candidats afin d'éviter tout manquement au respect de la protection des données personnelles. Vous pouvez ainsi prévoir de systématiquement prendre contact avec les candidats en base tous les 2 ans maximum afin de réactualiser leur situation, ou bien de supprimer systématiquement leur candidature une fois que le poste pour lequel ils ont candidaté, mais n'ont pas été retenus, est pourvu.
Si jamais vous externalisez votre processus de recrutement, veillez à ce que votre prestataire respecte ces mêmes conditions en lui demandant de vous fournir ses clauses RGPD !
Retenez donc, si ce n'est pas déjà fait, que dans les actions prioritaires à réaliser pour éviter tout risque réputationnel, financier ou juridique pour non respect des clauses RGPD il est important de :
-
vérifier que vous détaillez bien aux candidats les traitements qui seront réalisés de leurs données à caractère personnel ainsi que les droits dont ils disposent (dénonciation à la CNIL, demande d'accès, de rectification, de suppression) : dans l'idéal, ces informations sont à détailler sur la page permettant au candidat de déposer sa candidature ;
-
vous assurer que vous collectez bien le consentement du candidat pour réaliser les traitements de données à caractère personnel que vous lui avez détaillé ;
-
vous assurer que l'accès aux données des candidats est bien limité et contrôlé ;
-
vous assurer que vous n'avez plus en base de données de candidats avec lesquels vous n'avez pas eu de contact depuis plus de deux ans ;
-
mettre à jour (ou créer si elle n'existe pas encore) la procédure relative à l'archivage et au stockage des candidatures en prévoyant soit une suppression de toutes les candidatures à partir du moment où elles dépassent le délai maximal (et plus tôt si la candidature n'est pas adaptée par exemple), ou bien prévoir une reprise de contact avec le candidat afin de mettre régulièrement sa situation à jour dans vos bases, en lui laissant à chaque fois la possibilité d'accéder, de modifier ou de supprimer les données dont vous disposez sur lui ;
-
vérifier les données qui sont collectées sur les candidats et vous assurer que les procédures prévoientbien qu'aucune donnée sensible n'est collectée : données relatives à la santé, à la religion, à la sexualité, etc. ;
-
nommer un Délégué à la Protection des Données personnelles si jamais des données sensibles étaient stockées dans le cadre du processus de recrutement ;
-
en cas d'externalisation du processus de recrutement, demander à vos prestataires leurs clauses RGPD et vous assurer qu'elles sont claires et licites avant de les accepter ;
-
formaliser dans votre logiciel d'accompagnement à la mise en conformité tous les traitements de données à caractère personnel réalisés dans le cadre des processus RH de votre agence d'intérim.
Au sein de votre cabinet d'expertise-comptable, de nombreuses données à caractère personnel sont manipulées. Elles concernent les candidats, les salariés, les prospects, les clients, les partenaires...
APPRENEZ A FAIRE DE LA RGPD UNE OPPORTUNITÉ
Améliorez votre base de données existante
Les conditions du RGPD ne portent pas uniquement sur les données que
vous recueillerez à l’avenir. Elles demandent aussi une révision des données que vous possédez déjà. Imaginez, par exemple, que vous avez collecté les informations sur un candidat il y a quatre ans et que celui-ci est sur votre mailing list pour les alertes d’emploi et les newsletters. Avec la nouvelle règlementation, vous devrez peut-être vérifier auprès de vos candidats existants s’ils sont toujours d’accord pour que vous déteniez leurs informations et vous en serviez à des buts spécifiques.
Renouez des liens
En contactant vos candidats existants (si vous optez pour le consentement), vous allez pouvoir redonner vie à quelques relations. Les candidats seront surement impressionnés par votre professionnalisme et par le fait que vous vous pliiez aux règles pour respecter leurs données.
Selon la remarque de Kelly Newcomb, responsable marketing chez RedCat Digital (agence spécialisée dans le recrutement pour le secteur du numérique) : « Les candidats, surtout dans le digital, connaîtront le nouveau règlement sur le bout des doigts, donc la conformité s’impose ».
Instaurez un climat de confiance
Vous devrez informer vos candidats qu’ils ont le droit de demander la suppression de leurs données (appelé « le droit à l’oubli » dans le RGPD). Vous devrez aussi leur signaler, qu’en cas de désaccord sur l’utilisation ou le traitement de leurs données, ils ont le droit de faire appel à la Commission Nationale de l’Informatique et des Libertés (CNIL).
Avec ces deux éléments, vous rassurerez vos candidats et leurs faites savoir qu’ils peuvent vous faire confiance en ce qui concerne leurs données.
RGPD : quelques exemples du quotidien
Le site internet d'une agence d'intérim de médias sociaux demande aux utilisateurs leurs données personnelles pour pouvoir les utiliser. Sa rubrique « Politique de confidentialité » prévient qu’en utilisant ce site, les utilisateurs acceptent que leurs données soient traitées par des tiers dans le but de proposer des contenus publicitaires. conforme ou pas ?
Non. L’inactivité (c’est-à-dire l’utilisation du site
sans la possibilité d’exprimer l’accord) ne vaut pas consentement. Si la personne continue d’utiliser le site, cela ne veut pas dire forcément qu’elle accepte le traitement de ses données. Il est possible qu’elle n’ait pas lu la notice. Par conséquent, cette pratique n’est pas conforme au RGPD.
Un cabinet de recrutement permet aux candidats qui remplissent leur profil de refuser certains types de traitement de données en décochant une case précochée. Conforme ou pas ?
Non. Ce comportement n’est pas conforme RGPD car l’accord ne peut être obtenu via des cases précochées. Préférez les cases vides.
Ca m'a l'air d'un gros changement
Eh bien oui, c’en est un ! On ne va pas prétendre que se conformer au RGPD est de tout repos. Vous devrez vous familiariser avec l’idée de clairement montrer vos intentions et d’assumer la responsabilité des données avec lesquelles vous travaillez.
Ce n’est pas juste une affaire de législation. Il s’agit d’un changement de paradigme et d’une évolution du principe de responsabilité qui va bien au-delà d’un simple exercice de protection des données.
Si je ne m'y plie pas, je risque quoi ?
En cas de non-conformité avec le RGPD, vous risquez une amende allant jusqu’à 4 % de votre chiffre d’affaires annuel (chiffre d'affaire mondial si votre réseau s'étend à l'étranger). Toutes les sanctions sont détaillés dans cet article.
Mais il ne s’agit pas que d’argent. Votre réputation encourt aussi des risques : les candidats, les clients, et même les médias pourraient avoir l’impression que votre entreprise ne protège pas suffisamment ses données.