Back to Blog

6 raisons de rendre vos recrutements RGPD-compatibles

Maxime JAILLET

Vos campagnes de recrutement sont-elles conformes au RGPD ? Les raisons d’accélérer sur le sujet ne manquent pas : vigilance renforcée des candidats, digitalisation de vos process, incertitudes juridiques sur les transferts de données hors Union Européenne, exposition vis-à-vis de la CNIL… On vous dit tout. C’est notre product news du jour.

Les candidats au recrutement ont des droits RGPD sur leurs données personnelles

Quand vous opérez une campagne de recrutement, vous traitez les données des divers candidats. Et un candidat non retenu a des droits à ce sujet. Il peut par exemple souhaiter :

  • vous demander de lui communiquer toutes les données que vous détenez sur lui (droit d’accès). Quelle bonne manière pour découvrir qu’il a fait l’objet de commentaires misogynes, déplacés ou racistes ! Voire qu’il a été victime d’une discrimination.
  • vous demander l’effacement de sa candidature (droit à l’effacement).

Il est donc important de maîtriser vos processus et vérifier le niveau de conformité RGPD de toute la chaîne du traitement des données. Vous devrez être en mesure de répondre à ce type de requête dans un délai d’un mois maximum.

Le recrutement, SaaS se passe bien avec beaucoup de digital

Comme partout ailleurs, la Direction des Ressources Humaines opère sa transition vers le digital.

C’est une bonne chose aussi pour votre conformité RGPD. Des outils centralisés vont en effet remplacer les fichiers excel qui se multiplient un peu partout sur les postes de travail de vos collaborateurs.

  • Pour gagner en flexibilité, la DRH a de plus en plus recours à des solutions SaaS qui facilitent la prise en charge de pans entiers de leurs activités : SIRH, gestion de la cvthèque…
  • La tendance est au anywhere, anytime ! On bascule les outils sur le cloud computing. On veut optimiser les coûts d’hébergement et de maintenance et favoriser un travail collaboratif en temps réel.

Cela veut aussi dire que le parc de fournisseurs s’étoffe. Vous êtes le client et par conséquent… c’est vous qui assumez ! Vous êtes comptable des manquements à la réglementation de vos sous-traitants, y compris en cas de fuite de données.

Une bonne gestion de votre parc de fournisseurs est donc indispensable pour maîtriser le risque.

N’oubliez pas également de gérer correctement vos bases et maîtriser vos durées de conservation.Vous effacerez les candidatures retenues passées un délai de 2 ans maximum.

Conformité RGPD – Haro sur les transfert de données hors Union Européenne

Si vous utilisez des solutions en SaaS, sans doute cela entraîne-t-il le transfert de données hors Union Européenne :

  • parce que vos données sont stockées sur le cloud auprès d’un fournisseur américain ;
  • parce que le fournisseur de la solution est établi hors Union Européenne ;
  • parce qu’il donne un accès aux données à sa maison-mère.

Le transfert n’est pas illégal en soi entre l’invalidation du Privacy Shield et le Brexit, ce sujet est en ce moment beaucoup plus sensible. Il nécessite donc une attention particulière.

Les données non structurées aussi sont soumises au RGPD

Finie l’approche verticale, les employeurs d’aujourd’hui doivent se battre pour recruter, être dans la séduction.

Pour cela, il faut utiliser les canaux de communication les plus adéquats mais aussi mieux comprendre les candidats.

Voilà pourquoi votre Direction veut devenir data-driven. C’est-à-dire profiter de tous vos gisements de données, y compris les données non structurées : curriculum vitae, lettres de motivations, échanges par e-mails, champs libres…

Or pour ces données, comme pour le profil du candidat, vous devrez respecter les obligations légales associées au RGPD.

Zones de commentaires libres, ces champs qui mettent en danger votre conformité RGPD

Les champs libres, c’est une façon simple de renseigner des données que l’on estime pertinentes. Par exemple pour le suivi administratif d’une candidature.

En pratique, elles peuvent aussi servir à annoter le profil du candidat en inscrivant des renseignements qui le concernent directement.

C’est pour cela que les SIRH ou les logiciels de cvthèque en sont dotés. Sans compter bien sûr les innombrables fichiers excel qu’un collaborateur peut créer pour gérer une campagne ponctuelle. Ces fichiers comportent souvent des champs libres où tout un chacun peut potentiellement se lâcher à l’insu des collègues.

Et là, ça se gâte ! Car c’est la porte ouverte aux commentaires problématiques :

  • ceux comportant des données sensibles, sur la santé, les convictions religieuses, l’appartenance politique ou syndicale… des données que vous n’avez le droit de collecter que si le candidat y consent.
  • Ceux comportant des appréciations subjectives sur les candidats, sans rapport avec la candidature au recrutement… voire des commentaires racistes, sexistes ou injurieux...

Les bases de commentaires clients ou de collaborateurs comportant des commentaires problématiques sont une porte ouverte à une sanction par la CNIL et aux scandales médiatiques.

Il est donc plus que temps de cadrer le recours à ces champs libres. Heureusement, vous pourrez compter sur votre Data protection Officer (DPO) pour cette tâche.

Recrutement prédictif, quand les algorithmes doivent respecter le RGPD

Si vous recevez des centaines, des milliers ou des millions de candidature, vous vous sentez peut-être dépassé par le nombre ?

La tentation est donc forte de recourir à des algorithmes et une intelligence artificielle capable d’automatiser le traitement des candidatures. En pratique, le RGPD vous interdira pourtant d’automatiser complètement la décision de rejeter une candidature.

Pourquoi ? Parce qu’une embauche et un refus d’embauche ont un impact juridique significatif pour les candidats. Sans compter les biais et risques de discrimination par les algorithmes dont le laboratoire Linc (de la CNIL) a eu l’occasion de s’inquiéter.

Est-ce à dire que l’IA violerait le RGPD ? Que nenni. Le recours à des algorithmes de pré-sélection des profils pertinents pour gérer la masse des candidatures. Du reste, il ne faut pas confondre les algorithmes auto-apprenants avec des outils basiques de tri de CV. Les enjeux en termes de protection de la vie privée ne sont pas de même importance.

Les algorithmes auto-apprenants, le machine learning, sera utile quant à lui en tant que support d’aide à la décision. Si vous y avez recours, il vous faudra néanmoins être méticuleux dans le cadrage de la solution :

  • cela suppose de vous informer sur le mode de fonctionnement des algorithmes et de vous assurer qu’un humain reste toujours aux commandes pour décider d’accepter ou rejeter une candidature. Un sujet pas si simple. C’est pourquoi la CNIL britannique, l’ICO, a émis des recommandations en décembre pour accompagner les entreprises dans leurs choix.
  • La CNIL garde un œil attentif sur ces questions. En 2018, le recrutement prédictif a d’ailleurs fait partie des thématiques prioritaires de contrôle.

Conclusion : rendez vos process de recrutement RGPD-friendly

Si vous ne l’avez pas déjà fait, il est plus que temps de passer vos recrutements à la moulinette du RGPD :

  • vos activités se digitalisent et vous conduisent à collecter plus de données et recourir à un plus grand nombre de fournisseurs. Passer en revue vos traitements, c’est vous assurer d’exploiter vos gisements de données en toute sécurité.
  • L’automatisation des campagnes de recrutement inquiète particulièrement les régulateurs. A vous de tirer bénéfice de l’IA sans pour autant vous mettre en risque.

Heureusement, vous pourrez vous simplifier la tâche grâce au plug and play. Le module d’Axeptio vous permettra par exemple de prendre en charge facilement la question du dépôt de cookies via votre espace de recrutement en ligne.

Share on social media: 

Ne partez pas si vite ... 

Webinar Spécial "cookies"

Webinar Spécial "cookies" le Mardi 2 mars 2021 - 11h00 Tous les éditeurs cherchent aujourd'hui à mettre en conformité leur site internet avec les nouvelles lois sur les données personnelles. À commencer avec les cookies ...

Lire la suite

Qu’est-ce que la publicité comportementale ?

La publicité comportementale vous amène à collecter et exploiter des données personnelles. Ceci pour identifier les centres d‘intérêts de vos utilisateurs et d’afficher des publicités qui leur correspondent. Vous l’utilisez donc pour améliorer la pertinence de votre ciblage. Elle connaît pourtant une forte effervescence car elle repose sur la technologie des cookies, aujourd’hui remise en cause.

Lire la suite

En 2020, la palme d’or des amendes au RGPD revient à… l’Italie

En 2020, l’Italie est le pays européen qui a prononcé le plus important montant d’amendes liées au RGPD. Un palmarès qui doit beaucoup à une activité intense de l’autorité de protection des données italiennes, le Garante. Le régulateur lutte notamment contre le télémarketing sauvage.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.