Recrutement et RGPD : les grands principes de conformité
Les Ressources Humaines sont sans doute l'un des domaines de l'entreprise les plus impactés par l'application du RGPD. Comment assurer la conformité des traitements de gestion "classique" des RH au regard de la protection des données comme la phase de recrutement par exemple ?
Voici les principales obligations à respecter en matière de recrutement dans le cadre du RGPD :
La minimisation de la collecte des données
Attention à la collecte excessive de documents ! Qui dit phase de recrutement dit candidat et pas encore collaborateur salarié ; Il convient donc d'être extrêmement attentif à n'exiger que les documents qui permettront d'évaluer les compétences et l'expérience professionnelle du candidat au moment de l'entretien.
En synthèse, pour un recrutement classique en entreprise, on aura :
- le Curriculum Vitae,
- la lettre de motivation,
- le(s) diplôme(s)
- d'éventuelles recommandations professionnelles
Les autres documents, comme par exemple la copie de la pièce d'identité, du permis de conduire, le numéro de sécurité sociale (qui rappelons-le, est une donnée sensible), ou le RIB sont excessifs à cette étape du processus.
La base légale
Chaque objectif du traitement (ici le recrutement) doit reposer sur l’une des 6 bases légales définies par la réglementation. Le service RH doit communiquer au candidat, la base légale choisie car elle permettra par exemple de déterminer les droits qu’il peut exercer.
En matière de gestion du recrutement, on peut retenir 2 bases légales possibles :
- l'intérêt légitime du responsable de traitement, sous réserve de ne pas porter atteinte aux droits et libertés fondamentaux de la personne concernée
- l'exécution d'un contrat ou de mesures pré-contractuelles
La base légale du consentement est à utiliser avec parcimonie dans le cadre des RH. En effet, le consentement du salarié peut être considéré comme non libre du fait du lien de subordination existant entre le salarié et l'employeur. Le collaborateur est considéré comme une personne "vulnérable". Vous pouvez utiliser cette base légale par exemple si vous vous constituez une "cvthèque" .
La durée de conservation
Les recruteurs ne doivent pas conserver indéfiniment les données des candidats ; le "au cas ou" n'est pas admis ! La CNIL recommande une durée de conservation des données nécessaires au recrutement de deux ans à compter du dernier contact avec le candidat non retenu.
Le régulateur travaillerait sur une norme relative aux durées de conservation qui devrait être publiée fin 2019 ou début 2020.
L'information des candidats
Les RH ont l'obligation d'informer les candidats dés la collecte de leurs données personnelles afin de respecter les principes de transparence, de loyauté. Les candidats doivent donc être informés des modalités de traitement de leurs données, mais pas seulement.
Ils doivent également être informés sur la manière d’exercer leurs droits (articles 12, 13 et 14 du RGPD).
La sécurisation des données
A l'instar de toutes les données personnelles dont est dépositaire l'organisme, les dossiers des candidats doivent aussi être sécurisés (voir les mesures générales de sécurité préconisées parla CNIL). Par exemple, il convient d’en limiter l’accès aux tiers non autorisés : pas de CV laissé sur un bureau qui serait accessible à tous les collaborateurs de l'entreprise !
La réalisation d'une analyse d'impact relative à la protection des données personnelles
Dans le cadre du recrutement, elle est obligatoire si l'organisme utilise un traitement pour faciliter le recrutement de candidats, notamment via un algorithme de sélection puisqu'il s'agit d'un dispositif de notation ou d'évaluation de personnes dites "vulnérables".