Le RGPD a un impact considérable sur le processus de recrutement. Une réalité qui n’est toutefois pas encore intégrée au sein de nombreuses oganisations. Pourtant, ce règlement implique quelques ajustements dans sa gestion des ressources humaines.
Lorsqu’une société recrute et sélectionne ses candidats, elle récolte et traite les informations personnelles afin de déterminer s’ils sont compétents ou non. Le cas échéant, la candidature refusée peut être conservée, le but étant de constituer une réserve de recrutement. Des réflexes, des habitudes RH qui, avec la révision du Règlement pour la protection des données (RGPD) en octobre dernier, sont chamboulés voire restreints.
En effet, les obligations imposées par le RGPD sont désormais beaucoup plus lourdes notamment en termes d’élargissement des droits du propriétaire de données (consentement, droit à la portabilité des données, droit au retrait du consentement, entre autres) et de diverses obligations. Parmi celles-ci figurent entre autres : conserver les données à jour, tenir compte de la vie privée dès l’origine, etc.
Concrètement cela veut dire quoi ? En tant que recruteur vous n’êtes plus en droit de conserver les données personnelles des candidats (CV, note, mail, etc.) sur le long terme et à plusieurs endroits (papier, clé USB, smartphone, disque dur des ordinateurs de la secrétaire, du DRH, des managers, etc.). Ce temps est révolu. Vous voilà amené à respecter scrupuleusement la vie privée de vos candidats sous peine de subir les sanctions renforcées du RGPD.
Voici donc quelques bons réflexes à adopter pour éviter toute pénalisation :
- Analyser les besoins des candidats, les flux de données et le nombre de personnes impliquées dans le processus de recrutement et de sélection en interne et en externe.
- Informer les candidats de leurs droits étendus et leur fournir les informations relatives au traitement de leurs données personnelles.
- Informer les personnes des aspects juridiques et du type de données/de questions qu’elles peuvent demander/poser.
- Centraliser (si possible) le traitement des données et éviter que les données personnelles d’un candidat soient éparpillées à plusieurs endroits/chez plusieurs personnes. Les conserver dans une base de données séparée.
- Maintenir les données à jour et les effacer entre 12 et 24 mois après la collecte sauf si elles sont utilisées pour constituer une base de recrutement, avec l’accord du candidat.
- Mettre en œuvre les procédures requises pour répondre à une demande d’accès ou de portabilité et d’effacement automatique au-delà d’un certain délai.
- Impliquer le département informatique.
- Discuter avec les différents acteurs et partenaires et s’accorder sur une approche coordonnée et concertée du traitement.
- Documenter les décisions concernant le traitement des données et l’organisation du processus pour démontrer que dès l’origine le respect de la vie privée a été pris en compte.
Toutes ces nouvelles démarches ne doivent pas occulter les anciennes, celles-ci doivent encore être respectées. Le droit à la confidentialité est toujours d’application ainsi que le droit à être informe de la nature et des détails du job, le droit à un traitement rapide de la candidature, le droit à être informé des raisons justifiant le rejet de candidature, etc. Le candidat possède une série de droits que le recruteur ne peut réfuter.
