Vos campagnes de recrutement sont-elles conformes au RGPD ? Les raisons d’accélérer sur le sujet ne manquent pas : vigilance renforcée des candidats, digitalisation de vos process, incertitudes juridiques sur les transferts de données hors Union Européenne, exposition vis-à-vis de la CNIL… On vous dit tout. C’est notre product news du jour.
Les candidats au recrutement ont des droits RGPD sur leurs données personnelles
Quand vous opérez une campagne de recrutement, vous traitez les données des divers candidats. Et un a des droits à ce sujet. Il peut par exemple souhaiter :
- vous demander de lui communiquer toutes les données que vous détenez sur lui (droit d’accès). Quelle bonne manière pour découvrir qu’il a fait l’objet de commentaires misogynes, déplacés ou racistes ! Voire qu’il a été victime d’une discrimination.
- vous demander l’effacement de sa candidature (droit à l’effacement).
Il est donc de toute la chaîne du traitement des données. Vous devrez être en mesure de répondre à ce type de requête dans un délai d’un mois maximum.
Le recrutement, SaaS se passe bien avec beaucoup de digital
Comme partout ailleurs, la opère sa transition vers le digital.
C’est une bonne chose aussi pour votre conformité RGPD. Des outils centralisés vont en effet remplacer les fichiers excel qui se multiplient un peu partout sur les postes de travail de vos collaborateurs.
- Pour gagner en flexibilité, la DRH a de plus en plus qui facilitent la prise en charge de pans entiers de leurs activités : SIRH, gestion de la cvthèque…
- La tendance est au anywhere, anytime ! On bascule les outils sur le cloud computing. On veut optimiser les coûts d’hébergement et de maintenance et favoriser un travail collaboratif en temps réel.
Cela veut aussi dire que le parc de fournisseurs s’étoffe. Vous êtes le client et par conséquent… c’est vous qui assumez ! Vous êtes comptable des manquements à la réglementation de vos sous-traitants, y compris en cas de fuite de données.
Une bonne gestion de votre parc de fournisseurs est donc indispensable pour maîtriser le risque.
N’oubliez pas également de gérer correctement vos bases et maîtriser vos durées de conservation.Vous effacerez les candidatures retenues passées un délai de 2 ans maximum.
Conformité RGPD – Haro sur les transfert de données hors Union Européenne
Si vous utilisez des solutions en SaaS, sans doute cela entraîne-t-il le transfert de données hors Union Européenne :
- parce que vos données sont stockées sur le cloud auprès d’un fournisseur américain ;
- parce que le fournisseur de la solution est établi hors Union Européenne ;
- parce qu’il donne un accès aux données à sa maison-mère.
Le transfert n’est pas illégal en soi entre l’invalidation du Privacy Shield et le Brexit, ce sujet est en ce moment beaucoup plus sensible. Il nécessite donc une attention particulière.
Les données non structurées aussi sont soumises au RGPD
Finie l’approche verticale, les employeurs d’aujourd’hui doivent se battre pour recruter, être dans la séduction.
Pour cela, il faut utiliser les canaux de communication les plus adéquats mais aussi mieux comprendre les candidats.
Voilà pourquoi votre Direction veut devenir data-driven. C’est-à-dire profiter de tous vos gisements de données, y compris les données non structurées : curriculum vitae, lettres de motivations, échanges par e-mails, champs libres…
Or pour ces données, comme pour le profil du candidat, vous devrez respecter les obligations légales associées au RGPD.
Zones de commentaires libres, ces champs qui mettent en danger votre conformité RGPD
Les champs libres, c’est une façon simple de renseigner des données que l’on estime pertinentes. Par exemple pour le suivi administratif d’une candidature.
En pratique, elles peuvent aussi servir à en inscrivant des renseignements qui le concernent directement.
C’est pour cela que les SIRH ou les logiciels de cvthèque en sont dotés. Sans compter bien sûr les innombrables fichiers excel qu’un collaborateur peut créer pour gérer une campagne ponctuelle. Ces fichiers comportent souvent des champs libres où tout un chacun peut potentiellement se lâcher à l’insu des collègues.
Et là, ça se gâte ! Car c’est la porte ouverte aux commentaires problématiques :
- ceux comportant des données sensibles, sur la santé, les convictions religieuses, l’appartenance politique ou syndicale… des données que vous n’avez le droit de collecter que si le candidat y consent.
- Ceux comportant des appréciations subjectives sur les candidats, sans rapport avec la candidature au recrutement… voire des commentaires racistes, sexistes ou injurieux...
Les bases de commentaires clients ou de collaborateurs comportant des commentaires problématiques sont une porte ouverte à une sanction par la CNIL et aux scandales médiatiques.
Il est donc plus que temps de cadrer le recours à ces champs libres. Heureusement, vous pourrez compter sur votre Data protection Officer (DPO) pour cette tâche.
Recrutement prédictif, quand les algorithmes doivent respecter le RGPD
Si vous recevez des centaines, des milliers ou des millions de candidature, vous vous sentez peut-être dépassé par le nombre ?
La tentation est donc forte de capable d’automatiser le traitement des candidatures. En pratique, le RGPD vous interdira pourtant d’automatiser complètement la décision de rejeter une candidature.
Pourquoi ? Parce qu’une embauche et un refus d’embauche ont un impact juridique significatif pour les candidats. Sans compter les biais et risques de discrimination par les algorithmes dont le laboratoire Linc (de la CNIL) a eu l’occasion de s’inquiéter.
Est-ce à dire que l’IA violerait le RGPD ? Que nenni. Le recours à des algorithmes de pré-sélection des profils pertinents pour gérer la masse des candidatures. Du reste, il ne faut pas confondre les algorithmes auto-apprenants avec des outils basiques de tri de CV. Les enjeux en termes de protection de la vie privée ne sont pas de même importance.
Les algorithmes auto-apprenants, le machine learning, sera utile quant à lui en tant que support d’aide à la décision. Si vous y avez recours, il vous faudra néanmoins être méticuleux dans le cadrage de la solution :
- cela suppose de vous informer sur le mode de fonctionnement des algorithmes et de vous assurer qu’un humain reste toujours aux commandes pour décider d’accepter ou rejeter une candidature. Un sujet pas si simple. C’est pourquoi la CNIL britannique, l’ICO, a émis des recommandations en décembre pour accompagner les entreprises dans leurs choix.
- La CNIL garde un œil attentif sur ces questions. En 2018, le recrutement prédictif a d’ailleurs fait partie des thématiques prioritaires de contrôle.
Conclusion : rendez vos process de recrutement RGPD-friendly
Si vous ne l’avez pas déjà fait, il est plus que temps de passer vos à la moulinette du RGPD :
- vos activités se digitalisent et vous conduisent à collecter plus de données et recourir à un plus grand nombre de fournisseurs. Passer en revue vos traitements, c’est vous assurer d’exploiter vos gisements de données en toute sécurité.
- L’automatisation des campagnes de recrutement inquiète particulièrement les régulateurs. A vous de tirer bénéfice de l’IA sans pour autant vous mettre en risque.
Heureusement, vous pourrez vous simplifier la tâche grâce au plug and play. Le module d’Axeptio vous permettra par exemple de prendre en charge facilement la question du dépôt de cookies via votre espace de recrutement en ligne.
Ne partez pas si vite
Data Protection Officer – Comment choisir son DPO et bien le positionner ?
Maxime JAILLETLe Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.
Quelle UX design pour votre bandeau cookies ?
Maxime JAILLETAdoptez une UX design claire et transparente pour votre bandeau cookies ! La réglementation pousse à recueillir un consentement actif et spécifique. Emplacement, contenu, ergonomie… Proposez une expérience utilisateur fluide permettant d’être informé et d’exprimer ses préférences. Devenez ainsi un acteur du marketing choisi.
Comment gérer la conformité RGPD de votre site Wordpress ?
Maxime JAILLETVotre site web Wordpress respecte-t-il les standards du RGPD ? Une démarche active sera nécessaire de votre part pour réaliser cette mise en conformité. Gestion des cookies, transparence, sécurité, consentement… les mesures à appliquer sont multiples. Heureusement, vous pouvez vous appuyer sur des outils dédiés… à condition de bien les choisir.