En tant que recruteur, le RGPD vous donne peut-être des sueurs froides. Et pour cause : en plus des difficultés inhérentes à votre métier, vous devez désormais naviguer avec précaution dans les eaux parfois tumultueuses de la protection des informations personnelles.
Pour assurer la conformité de vos activités, il y a une démarche qui est tout simplement devenue essentielle en recrutement : c’est la fameuse analyse d’impact.
En quoi consiste-t-elle exactement ? Pourquoi est-elle si importante ? Et surtout, comment s’y prendre pour réaliser une bonne analyse d’impact ? Si vous n’avez pas la réponse à ces questions, pas de panique, on vous explique tout dans cet article.
RGPD et recrutement : ce qu’il faut savoir
Comprendre les bases du RGPD
A ce stade, vous avez forcément entendu parler du RGPD ou GDPR en anglais (sinon, il est temps de vous inquiéter !). Pour vous la faire courte, il s’agit du Règlement Général sur la Protection des Données, une réglementation adoptée par l’Union européenne en 2016 et entrée en vigueur en 2018.
Son objectif : renforcer la protection des données personnelles des individus au sein de l’Union européenne. Pour cela, le RGPD établit un ensemble de règles et de principes clés comme le droit d’accès, de rectification, d’effacement et de portabilité des données. Et il impose des obligations aux organisations qui collectent, traitent et stockent des données personnelles.
Qu’est-ce qu’on entend par “données personnelles” ? Il s’agit de toutes les informations se rapportant à une personne physique identifiée ou identifiable. Autrement dit, toutes les données qui peuvent permettre d’identifier directement ou indirectement une personne.
RGPD et recrutement : ce qu’il faut savoir
En tant que recruteur, vous manipulez quotidiennement un grand volume de données personnelles : nom, adresse, numéro de téléphone, adresse e-mail, nationalité… Et bien sûr, CV, lettre de motivation, expériences professionnelles, formations et diplômes, références…
Vous êtes donc responsable de la protection de ces données et devez mettre en place des processus conformes au RGPD.
Par exemple, lorsqu’un candidat postule sur votre site carrière, vous devez :
- Recueillir son accord explicite (opt-in) pour le traitement de ses données personnelles
- Lui donner accès aux conditions générales d’utilisation (CGU) pour l’informer de la finalité de la collecte et du traitement de ses données
- Lui permettre de consulter, télécharger, modifier ou supprimer ses données personnelles à tout moment
- Définir une durée de période de conservation de ses données, au-delà de laquelle vous devrez les supprimer (en général, cette durée est fixée à 2 ans)
D’autres règles s’imposent dans le cas d’une candidature via un job board, ou dans le cas du sourcing de candidats, mais on ne rentrera pas dans les détails de tout ça ici, sinon cet article se transformerait en l’équivalent d’une saga en 3 tomes.
Pour aller plus loin, vous pouvez néanmoins :
- Lire le Guide Recrutement de la Cnil, qui couvre tous les fondamentaux.
- Retrouvez le replay de notre webinar dédié, organisé avec un expert du sujet : “RGPD & Recrutement, enfin tout savoir !”.
Analyse d’impact : une démarche devenue essentielle en recrutement
Qu’est-ce qu’une analyse d’impact ?
Une analyse d’impact relative à la protection des données (AIPD), ou Data Protection Impact Assessment (DPIA) en anglais, est un processus prévu par le RGPD, qui vise à évaluer les risques et les impacts potentiels qu’un traitement de données personnelles peut avoir sur les droits et les libertés des personnes concernées.
Concrètement ? C’est un audit, une évaluation globale des risques liés au traitement des données personnelles. L’objectif est simple : passer au crible tous vos processus et identifier les éventuelles vulnérabilités, afin d’implémenter les mesures de sécurité nécessaires pour garantir votre conformité au RGPD.
Pourquoi mener une analyse d’impact en recrutement ?
L’analyse d’impact permet avant tout d’être conforme au RGPD, et d’éviter ainsi les sanctions. Car elle s’inscrit dans ce qu’on appelle le principe de responsabilité du RGPD. Selon ce principe, les organisations doivent être en mesure de démontrer leur conformité avec la réglementation.
En bref, vous devez adopter une approche proactive et mettre en place des mesures appropriées pour garantir la protection des données personnelles de vos candidats.
Mais l’analyse d’impact a aussi d’autres bénéfices, plus globaux : elle renforce votre transparence, votre réputation de recruteur et la confiance de vos candidats.
Essayez-nous gratuitement
Les 3 étapes à suivre pour une analyse d'impact réussie en recrutement
Chez Tool4staffing, nous avons conçu un modèle d’analyse d’impact que nous mettons à disposition de nos clients pour leur faciliter la vie. Si vous n’avez pas de modèle sous la main, voici les grandes étapes à suivre :
Étape 1 : mettre à plat vos processus et identifier toutes les données personnelles que vous collectez, traitez et conservez
La première étape de votre AIPD consiste à examiner minutieusement chaque étape de votre processus de recrutement, depuis la réception des candidatures jusqu’à la suppression de vos données candidat.
Vous devez identifier tous les points de collecte de données (formulaires de candidature en ligne, CV-thèques, chasse sur LinkedIn…) et évaluer les types de données collectées (informations d’identification, expériences professionnelles, compétences, références…)
Étape 2 : évaluer les vulnérabilités et les risques potentiels
En ayant passé ainsi en revue tous vos processus, vous devriez avoir une vision claire de l’ensemble du cycle de traitement des données de vos candidats. Vous devez alors identifier les éventuelles failles de sécurité ou les pratiques qui pourraient compromettre la confidentialité ou l’intégrité des données de vos candidats.
Comment vous y prendre concrètement ? Commencez par examiner attentivement toutes les mesures de sécurité qui sont déjà en place dans votre entreprise pour protéger les données personnelles des candidats. Par exemple :
- La gestion des accès et des autorisations
- La sécurisation des serveurs ou des bases de données
- Le cryptage des données sensibles
- La mise à jour régulière des logiciels et des systèmes
- La sensibilisation des employés à la sécurité des données
- Etc
Puis identifiez tous les risques auxquels vous pourriez être confronté. Cela peut inclure la possibilité de fuites de données, de piratages informatiques, d’accès non autorisés, ou encore de pertes ou de destruction accidentelle des données.
Étape 3 : prendre des mesures préventives et garantir la conformité
Dernière étape : mettre en place des politiques, des procédures et des mesures de sécurité appropriées pour réduire les vulnérabilités identifiées et protéger les données personnelles de vos candidats.
Gardez en tête que la clé est souvent de choisir des partenaires et des outils adaptés. Chez Tool4staffing, par exemple, nous sommes très engagés depuis nos débuts en matière de protection des données personnelles. Nous assurons donc à nos clients une totale conformité avec la RGPD lorsqu’ils utilisent notre Talent Prospecting Software.
Quelques mesures clés :
- Nos serveurs (et donc toutes les données des candidats de nos clients) sont hébergés en France.
- Nous offrons aux talents l’accès à un portail candidat qui leur permet de consulter toutes leurs données personnelles. De quoi améliorer la transparence et faciliter l’exercice de leur droit de modification ou de suppression s’ils le désirent.
- Nous avons mis en place, avec certains de nos clients, des campagnes automatiques pour proposer aux candidats de mettre à jour leurs données, afin d’en prolonger la période de conservation en toute conformité.
Pour conclure, en suivant ces 3 étapes clés, et en vous entourant de partenaires consciencieux, vous obtiendrez une analyse d’impact fiable et rigoureuse ! Dernier conseil : n’oubliez pas de documenter toutes les mesures prises dans le cadre de votre AIPD. Cette documentation sera précieuse en cas de contrôle des autorités de protection des données.
– Rédigé par Ingrid de Chevigny
