- Le blog et les actualités de Witik
- RGPD : 5 bonnes pratiques quand on recrute
RGPD : 5 bonnes pratiques quand on recrute
Droit à l’oubli, à la rectification, portabilité… Depuis l’entrée en vigueur du règlement européen, les candidats reprennent la main sur leurs données.
Désormais, les recruteurs ont l’obligation de les informer de ce qu’ils font avec leurs informations personnelles. Un casse-tête pour les entreprises qui ont pris la mauvaise habitude d’utiliser les données des candidats à leur insu.
Toutefois, il est possible d’ajuster sa politique de recrutement en mettant en place quelques bonnes pratiques.
Vérifier ses relations contractuelles avec ses prestataires
De nombreuses sociétés font appels à des prestataires spécialisés pour leur process de recrutement tels que les cabinets de chasse ou des sociétés réalisant des tests techniques ou de personnalité.
Il est important de mettre à jour ses relations contractuelles avec ses prestataires afin de déterminer les responsabilités de chacun vis-à-vis des traitements de données personnelles réalisés.
La société se doit notamment de s’assurer que le cabinet de recrutement recueille les données de manière licite et que les personnes concernées sont bien informées.
Lorsqu’une société fait appel à un prestataire pour réaliser des tests auprès de ses candidats, elle doit préciser au sein du contrat quel sera le sort des résultats (interdiction de conservation pour le prestataire, autorisation sous une durée limitée…).
Informer correctement ses candidats
L’article 13 du RGPD impose d’informer les personnes concernées par le traitement de données personnelles.
Ainsi, il est recommandé de délivrer en deux exemplaires une fiche récapitulative contenant l’ensemble des informations obligatoires telles que notamment l’identité du responsable de traitement, les coordonnées du DPO, les destinataires potentiels, les finalités poursuivies et les droits des personnes ainsi que leurs modalités d’exercice.
N’hésitez pas à fournir la lettre en deux exemplaires à faire signer afin de conserver une preuve de la fourniture des informations.
Pendant l’entretien, attention aux données sensibles
Si lors de la signature du contrat de travail, des données sensibles sont automatiquement collectées (numéro de sécurité sociale) au moment de l’entretien, leur collecte est prohibée. Aussi, on évite les questions portant sur l’appartenance syndicale ou la santé.
Pour les postes ouverts aux travailleurs en situation de handicap, le recruteur privilégiera les questions sur les besoins spécifiques d’aménagements du poste plutôt que des questions sur la nature du handicap bien évidemment défendues à ce stade.
Le recruteur doit toujours garder à l’esprit que le candidat peut exercer son droit d’accès et donc aura la possibilité de lire le compte-rendu de l’entretien. Attention à toujours être mesur é et factuel afin de ne noter que des éléments pertinents, adéquats et non excessifs.
De manière générale et afin de minimiser les données, le recruteur se contentera d’informations déclaratives (diplômes, certifications…) et demandera les preuves papiers au moment de la signature du contrat.
Limiter la durée de conservation
Avoir une CV thèque conforme au RGPD ne signifie pas de devoir supprimer l’ensemble de sa base de données. Par défaut, la CNIL indique que la conservation du dossier du candidat non retenu est de deux ans notamment pour permettre de recontacter le candidat en cas de futur poste à pourvoir correspondant à son profil.
En revanche, cette information doit impérativement être communiquée au candidat (via la fiche d’information par exemple) afin que celui-ci ait la possibilité de s’y opposer. En cas de refus de conservation, le recruteur doit supprimer toutes les données qu’il détient sur la personne.
Ainsi, si vous utilisez un outil, attention à bien intégrer par défaut des règles de suppression des données au bout de deux ans ainsi qu’à prévoir la possibilité de détruire les données à tout moment si nécessaire.
Déterminer les destinataires des données et sécuriser l’accès aux données
Peu importe la taille de la société, les données personnelles collectées dans le cadre du processus de recrutement ne doivent être à disposition que des personnes légitimes. Ainsi, s’il est compréhensible que l’ensemble de l’équipe recrutement ait accès à la base de données, cela se justifie bien moins pour l’équipe commerciale.
Une gestion des habilitations strictes doit être mise en place pour les outils utilisés avec des niveaux d’accès selon le poste du membre de l’équipe recrutement (stagiaire, responsable du service…). Les managers métiers intervenant dans le processus pour les entretiens techniques auront bien sûr besoin de consulter le CV et le compte-rendu du premier entretien.
Il est alors conseillé de leur mettre à disposition pour une durée limitée les documents nécessaires afin de ne pas multiplier les lieux de stockage du document dans l’idée de respecter les durées de conservation prédéfinies.