Toutes les entreprises utilisant de la data utilisateur sont concernées. Les entreprises effectuant une démarche RH n’échappent pas à la règle. Au contraire. Assemblant et travaillant de la data volumineuse et sensible, elles doivent faire figure d’élèves modèles. Règles fondamentales, objectifs, spécificités et sanctions : décryptage du RGPD appliqué au recrutement en ligne.
Le contexte : 25 Mai 2018 : le RGPD (Règlement Général sur la Protection des Données) fait son apparition dans le monde du digital. Objectif : encadrer le traitement des données personnelles au sein de l’Union Européenne.
1. Légitimité, loyauté et transparence : grands principes du RGPD
"Licite, loyal et transparent » : telles sont les trois obligations auxquelles le traitement de la donnée doit répondre, selon le RGPD."
Avant d’extraire et d’exploiter de la data, une entreprise RH doit donc se poser trois questions :
- Pourquoi ai-je besoin de ces données dans le cadre de ma démarche de recrutement ?
- Quelles sont les données réellement nécessaires ?
- Ai-je le consentement de l’utilisateur pour collecter et exploiter ces données ?
Outre ces éléments, toute entreprise souhaitant exploiter de la data utilisateur doit également :
- Prévoir une durée de conservation limitée de ces informations.
Lorsqu’il s’agit de données RH, cette durée est naturellement courte : l’expérience, les compétences ou les diplômes d’un candidat sont amenés à évoluer régulièrement.
- Assurer la sécurité des datas recueillies.
- Etre en mesure de prouver, au jour le jour, la conformité des démarches effectuées pour collecter et exploiter des données personnelles.
2. Conséquence pour les entreprises en cas de non-respect des obligations
Une amende équivalente à 2 ou 4% de leur chiffre d’affaires mondial, (selon les violations du RGPD, et avec des seuils à 10 ou 20 millions d’euros), peut leur être appliquée.
En pratique : si les 2% du chiffre d’affaires de la société incriminée sont inférieurs à 10 millions d’euros, la CNIL choisira le montant le plus élevé, soit 10 millions d’euros d’amende.
Notons que ces grands principes n’ont rien d’inédit. Ils figuraient déjà dans la Loi Informatique et Libertés de 1978. Le règlement européen prévoit simplement des sanctions plus sévères et une adaptation aux outils digitaux actuels.
3. Permettre à l'utilisateur de rester maître de ses données grâce au RGPD
L’intérêt du règlement européen, pour l’utilisateur, est double :
- Comprendre ce qui va être fait de ses données.
Lors d’un process de recrutement digital, le candidat a l’assurance que ses datas seront utilisées uniquement dans ce cadre. Il a, également, la garantie qu’elles ne seront pas transmises à d’autres sociétés.
- Pouvoir jouir d’un droit d’accès, mais aussi de suppression, de modification et de portabilité de ses données. L’utilisateur peut également décider de retirer son consentement ou de s’opposer au traitement de ses datas.
Quelle que soit sa demande, l’entreprise dispose d’un délai d’un mois pour y répondre. Dans le cas contraire, l’utilisateur peut porter plainte auprès de la CNIL, exposer la société à un contrôle puis à d’éventuelles sanctions.
À voir aussi : Episode 3 de la HR Family sur le RGPD
4. Redoubler de vigilance lors d'une démarche RH
La collecte de données personnelles étant le nerf de la guerre de tout processus RH, il est fondamental pour l’entreprise récoltante d’être en conformité avec les obligations dictées par le RGPD.
Une attention d’autant plus importante que la collecte de ce type de datas peut conduire une société à manipuler de la donnée candidat particulièrement sensible (situation de handicap, casier judiciaire, statut de syndiqué…). Dans ce cas, l‘entreprise est dans l’obligation de les sécuriser et de vérifier que le recueil de ces informations lui est nécessaire dans le cadre d’un recrutement.
Autre raison de faire preuve d’une attention sans faille : en cas d’infraction, la CNIL peut rendre publique la sanction ou la mise en demeure de l’entreprise fautive. Un préjudice majeur pour la société qui, en phase de recrutement, cherche à valoriser sa marque employeur afin d’encourager les candidatures et de créer un climat de confiance avec ses futurs salariés.
5. S'assurer de la légalité des données RH collectées
Dans le cadre d’une campagne de collecte de données RH réalisée par une entreprise elle-même, ou via des sites tiers, plusieurs mesures sont recommandées afin de s’assurer de la légalité des actions menées.
- Réaliser un audit, par l’intermédiaire d’un juriste.
Objectif : vérifier la conformité des traitements mis en place avec les grands principes du RGPD (durée de conservation raisonnables, mise en place des documents d’informations de recueil du consentement, réalisation de contrats avec chaque prestataire tiers…).
- S’assurer que les données collectées en interne sont sécurisées et que les droits d’accès des salariés à ces datas sont limités.
- Mettre en place des procédures incitant chaque salarié à respecter les process prévus dans le traitement des datas afin d’empêcher la fuite de données.
- Sensibiliser les salariés à l’importance de la sécurisation des données et au respect des procédures prévues à cet effet.
- Désigner un DPO (Data Protection Officer ou Délégué à la Protection des Données) en charge du contrôle des traitements et du respect des procédures de sécurisation au sein de l’entreprise.
6. Le registre de traitement : obligatoire et préventif
La tenue d’un registre de traitement imposée par le RGPD constitue également un moyen efficace de s’assurer de la légalité des actions menées.
Cette simple fiche permet d’avoir une cartographie documentée et datée des traitements de données effectués, des personnes concernées, des mesures de sécurité mises en place, du transfert éventuel des datas opéré dans des pays tiers…
D’autres registres peuvent être crées (sans obligation du RGPD, cette fois).
Parmi eux un registre de violation de données. En cas de piratage, il permet de dater l’incident ainsi que les procédures mises en place pour y mettre un terme.
Un registre listant les demandes de droit peut, également, dater et lister les requêtes des utilisateurs. De quoi répondre avec précision à leurs plaintes éventuelles et justifier chacune des actions menées par l’entreprise auprès de la CNIL, si besoin.
7. Des précisions propres au secteur RH
Les grands principes du RGPD sont les mêmes pour toutes les entreprises qu’elles officient dans les RH, ou non.
Il existe, toutefois, des textes plus précis, appelés « référentiels », propres au secteur RH.
Objectif : approfondir certaines directives telles que la durée de conservation, le type de données « collectables » auprès des candidats...
La norme simplifiée 46, publiée par la CNIL en est un. Elle constitue, encore aujourd’hui, une base solide pour que le traitement des données personnelles RH soit considéré comme licite.
8. Une législation en cours d'évolution
Deux évolutions majeures sont attendues dans les mois à venir :
La première : l’entrée en vigueur prochaine du règlement e-privacy, en cours d’adoption, dont l’objectif est de réglementer précisément l’utilisation des cookies et traceurs au niveau européen.
Sur le même sujet, la CNIL avance de son côté. Un projet de recommandation sur la collecte du consentement pour les dépôts de cookies et le traitement de données personnelles à partir de traceurs a été présenté début 2020.
Des dispositions très attendues, qui ne seront pas sans conséquence sur l’économie de la (big) data. Le marché saura s’y adapter. Cela ne fait aucun doute.
Sur le même sujet :