GDPR/RGPD – Quelles implications pour les recruteurs ?

Au cours des derniers mois, vous avez probablement entendu parler du nouveau règlement général sur la protection des données (RGPD). Dans cet article, nous vous proposons un aperçu des objectifs visés par le RGPD et de ses implications pour le domaine du recrutement. Approuvé et publié depuis 2016 déjà, le règlement devra être appliqué dès le 25 mai 2018 et la plupart des entreprises n’ont commencé à s’y préparer que récemment. Avant de commencer, il est intéressant de souligner que le recrutement est l’un des rares secteurs expressément mentionnés dans ce règlement, outre le secteur de la santé, ce qui souligne la dimension sensible des données à caractère personnel ainsi que l’importance de la protection des données dans le domaine du recrutement.

De quoi s’agit-il ?

Le RGPD (Règlement Général sur la Protection des Données) est un règlement du Parlement européen relatif à la protection des données des personnes physiques. Il vise à harmoniser les lois relatives à la protection des données dans l’ensemble des Etats membres de l’Union européenne et à renforcer la protection des utilisateurs au sein de l’Union européenne.

Afin d’en faciliter la compréhension, nous vous proposons un aperçu des principaux éléments de ce règlement. Celui-ci ne concerne pas uniquement les entreprises établies dans l’UE ; les entreprises suisses y sont également soumises si elles proposent des biens ou des services à des personnes physiques résidant dans l’UE (y compris des offres d’emploi) ou si elles observent le comportement de personnes au sein de l’UE (via le web tracking, par exemple). En Suisse, une révision de la loi sur la protection des données est également à l’ordre du jour. Les règles les plus strictes du RGPD seront certainement reprises dans la législation suisse. Toutefois, la révision de la loi sur la protection des données n’entrera probablement pas en vigueur avant 2019 en Suisse. C’est pourquoi, dès le 25 mai 2018, seules les entreprises suisses entrant dans le champ d’application du RGPD ne seront concernées par le resserrement de la législation relative à ce domaine.

Avant de se lancer dans le vif du sujet, un petit rappel sur ce que signifie le terme « données à caractère personnel » dans ce contexte précis. Les données sont dites à caractère personnel lorsqu’elles permettent d’identifier directement ou indirectement un individu. Les données généralement considérées comme personnelles sont :

  • le nom
  • les numéros de téléphone
  • l’adresse
  • les différents numéros d’immatriculation (sécurité sociale, plaque d’immatriculation, etc.)
  • l’adresse email

Première difficulté: la définition des données à caractère personnel n’est pas la même pour toutes les entreprises. En effet, selon les circonstances techniques, certaines entreprises peuvent déjà identifier clairement un individu au moyen d’informations telles que ses identifiants web (p. ex. adresses IP). Par conséquent, il est important de se placer du point de vue de l’entreprise. En règle générale, sont considérées comme des données à caractère personnel tout ce qui permet aux entreprises collectant ces données d’identifier un individu.

Le RGPD, c’est avant tout la fin du « qui ne dit mot consent »

Avec le RGPD, le principe est simple : c’est la transparence et la finalité qui prévalent. « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence). »

Selon le règlement, les utilisateurs ont le droit de savoir pourquoi et comment leurs données sont traitées. Ils doivent pouvoir évaluer et décider s’ils sont d’accord avec ces raisons ou s’ils veulent s’opposer à l’utilisation de leurs données personnelles. Les entreprises peuvent donc se demander si elles ont encore le droit de collecter des données sans en demander explicitement l’accord des personnes concernées.

Parmi les 99 articles de ce règlement, il y a 7 points élémentaires sur lesquels nous souhaitons particulièrement attirer votre attention.

1. Consentement et intérêt légitime

Commençons par la bonne nouvelle: les entreprises qui collectaient des données à caractère personnel de façon responsable par le passé n’ont pas de grands changements à prévoir. D’après le règlement, lorsque la mise en œuvre d’un contrat nécessite la collecte de données à caractère personnel ou qu’une entreprise a un intérêt légitime à collecter des données, il reste possible de le faire.

Lorsque nous avons commencé à appliquer le nouveau règlement chez JobCloud, nous avons été rassurés de constater que nous ne collections des données à caractère personnel qu’en lien direct avec la recherche d’emploi ou de candidats. Dans la plupart des cas, nous pouvons donc nous référer à un contrat avec le candidat ou l’employeur/le recruteur. Le fait que JobCloud ne diffuse de publicités de tiers sur aucune de ses plateformes et ne transmet pas de données personnelles à des tiers si cela ne sert pas expressément la recherche d’emploi ou de candidats a constitué un avantage supplémentaire.

ULRIC RUDMALM, CHARGÉ DE LA PROTECTION DES DONNÉES CHEZ JOBCLOUD

De plus, une entreprise a la possibilité de se référer à un « intérêt légitime ». Pour cela, une relation déterminée et appropriée doit exister entre l’entreprise et la personne dont les données sont collectées. Toutefois, si la collecte de données à caractère personnel intervient dans le cadre d’un contrat existant, pour la prévention de la fraude ou le marketing direct de l’entreprise, par exemple, elle est permise.

Si une entreprise ne peut pas s’appuyer sur un contrat ou un intérêt légitime, le consentement de la personne concernée est nécessaire pour la collecte de ses données : « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. »

Par conséquent, les entreprises doivent pouvoir prouver que les données à caractère personnel collectées dans le cadre du recrutement et souvent stockées sur des plateformes digitales ATS (application tracking system) ont été récoltées pour l’une des justifications susmentionnées. Si ce n’est pas le cas, les entreprises ne sont pas forcées de supprimer immédiatement ces données. Elles peuvent se contenter de les anonymiser, c’est-à-dire de supprimer la possibilité d’identification univoque d’une personne physique, afin de les utiliser pour des statistiques internes, l’apprentissage automatique, etc.

Finalement, le RGPD ne s’arrête pas au recrutement mais s’étend également au cycle de vie du salarié dans une entreprise. Les entreprises auront l’obligation de lister l’ensemble des données personnelles collectées sur le salarié ainsi que leur traitement et leurs transferts, afin d’en informer les collaborateurs.

2. Le droit à la rectification, à la limitation et à la suppression

Le règlement confère de nombreux droits aux personnes concernées. Ainsi, un utilisateur a le droit de demander à ce qu’on modifie ou supprime ses données (le « droit à l’oubli »). Par ailleurs, le traitement des données peut être contesté ou limité s’il n’existe aucune preuve sur la légitimité de la collecte.

3. Le droit à la portabilité des données personnelles

Les utilisateurs ont le droit de recevoir les données à caractère personnel collectées les concernant dans un format structuré, couramment utilisé et lisible par un ordinateur. Pour le moment, la loi ne spécifie rien en particulier, mais une norme standard sera probablement introduite sur le marché. Pour l’instant, il semble opportun de chercher le dialogue direct et de trouver une solution convenant aux deux parties, lorsqu’une personne concernée le demande.

4. Profilage

Le matching de candidats et de profils de postes constitue un autre aspect majeur du recrutement. Il s’agit d’un procédé de sélection automatique au cours duquel un algorithme (pré)sélectionne des candidats qualifiés pour un poste. Dans le cadre de la protection des données, un tel procédé est défini comme du « profilage » et les personnes concernées ont des droits spécifiques. Concrètement, ce procédé doit être clairement expliqué aux personnes concernées dans la politique de confidentialité et les sujets ont le droit de stipuler qu’ils ne souhaitent pas y participer.

5. Privacy-by-design ou principe de « protection des données dès la conception »

En plus d’avoir un système d’information sécurisé, les entreprises et les organisations doivent prendre en compte les exigences relatives à la protection des données dès la conception de produits, services et systèmes exploitant des données personnelles.

6. 72 heures pour notifier une fuite de données

A partir du 25 mai 2018, toute fuite de données à caractère personnel devra être signalée dans les 72 heures aux utilisateurs concernés ainsi qu’à l’autorité compétente. Le défi consiste à définir et à tester à l’avance des procédures d’escalade et les moyens techniques nécessaires (logiciels de détection d’intrusions). Outre les pertes financières engendrées par une fuite de données, qui peuvent être couvertes par une assurance cybersécurité appropriée, il s’agit d’éviter à tout prix qu’un tel évènement ne nuise à la réputation de l’entreprise, en tant qu’employeur/recruteur fiable.

7. Sanctions en cas de non-respect

Le non-respect du RGPD peut mener à de lourdes sanctions. En cas de manquement grave, une amende de 20 millions d’euros ou, pour les entreprises, jusqu’à 4% du chiffre d’affaires annuel mondial peut être infligée. Dans chacun des cas, le montant le plus élevé est celui pris en compte.

Voici comment procéder

Au vu de la grande quantité de règles à respecter, il s’agit surtout d’être méthodique et de procéder étape par étape:

  1. Assurez une gestion de l’attention appropriée (« la protection des données est l’affaire du management »)
  2. Faites un état des lieux
  3. Cherchez le dialogue au sein de l’entreprise et avec les prestataires traitant les données ainsi qu’avec les clients
  4. Si nécessaire, désignez un responsable chargé de la protection des données
  5. Actualisez vos conditions générales et votre politique de confidentialité pour plus de transparence
  6. Définissez un plan d’action avec des priorités et des responsabilités claires

Que fait JobCloud en vue de cette réglementation ?

Portrait Ulric RudmalmChez JobCloud, afin d’être prêts pour ce nouveau défi, nous avons engagé un project manager qui s’occupe exclusivement de la mise en application du RGPD. Ulric Rudmalm a monté une équipe de projet, constituée d’un steering committee (la direction au complet), d’un comité légal externe et de personnes de référence (des « ambassadeurs »), représentant chaque département de l’entreprise, qui sont responsables de transmettre les informations à leurs collègues. La définition d’un plan d’action a permis la gestion des priorités absolues et le renforcement de la collaboration au sein du comité d’organisation. En effet, la protection des données personnelles n’est pas un projet temporaire, mais un processus continu.

Et vous ? Etes-vous prêt pour cette révolution ? Si vous souhaitez continuer à creuser le sujet, voici quelques articles qui pourraient vous intéresser :

https://www.toopixel.swiss/blog/gpdr-loi-protection-donnees/

https://www.letemps.ch/economie/directive-protection-donnees-sera-cauchemar-2018

https://www.journaldunet.com/solutions/expert/67806/gdpr–l-impact-de-la-nouvelle-reglementation-europeenne-de-protection-des-donnees-sur-le-crm.shtml

https://smetille.ch/2017/12/14/la-suisse-et-le-rgpd/

http://www.ictjournal.ch/articles/2017-06-02/protection-des-donnees-les-choses-serieuses-commencent

https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es

https://www.linkedin.com/pulse/gdpr-ami-recruteur-6-trucs-et-100-jours-pour-te-la-vie-muhlematter/

Conseils RH & Checklistes
Toutes les ressources
Toutes les ressources

Téléchargez des études et livres blancs pertinents pour le recrutement.

Découvrir maintenant
Guide de recrutement
Guide de recrutement

Notre Guide de recrutement vous propose un aperçu des 3 phases principales du recrutement.

Découvrir maintenant
Modèles d’offres d’emploi
Modèles d’offres d’emploi

Gagnez du temps dans la rédaction de vos offres d’emploi en utilisant nos modèles.

Découvrir maintenant

Recevez les dernières actualités RH: marché du travail en Suisse, conseils, check-lists, études, enjeux et événements RH.

S'INSCRIRE
xInscription à la newsletter

Rejoignez notre communauté ! Plus de 20’000 entreprises reçoivent régulièrement nos conseils RH pour leurs recrutements.

S'abonner à la newsletter