Le RGPD c’est quoi ?
Le RGPD, ou règlement général sur la protection des données, est une réglementation de l'Union européenne entrée en vigueur le 25 mai 2018. Ce règlement a été créé dans le but de renforcer la protection des données personnelles des individus. Le RGPD remplace la directive européenne sur la protection des données de 1995 et vise à harmoniser les lois sur la protection des données au sein de l'Union Européenne. Il établit un cadre juridique strict pour la collecte, le traitement et la conservation des données personnelles par les organisations. Le RGPD s’applique à toutes les entreprises, organismes publics et associations qui traitent des données personnelles de résidents de l'UE. Son objectif principal est de garantir le respect des droits et des libertés des personnes concernées par le traitement de leurs données personnelles.
Dans le domaine du recrutement, la protection de ces données personnelles revêt une importance cruciale. Les entreprises collectent et traitent de nombreuses informations sensibles lors des processus de recrutement, telles que les CV, les références, les informations sur l'expérience professionnelle, les compétences des candidats..etc. Le respect du RGPD dans le cadre du recrutement permet de préserver la confidentialité, l'intégrité et la sécurité de cette data. Cela contribue à établir une relation de confiance avec les candidats, à respecter leurs droits fondamentaux en matière de protection des données et à éviter les risques de violations de la vie privée. En se conformant aux exigences du RGPD, les employeurs et les recruteurs démontrent leur engagement envers la protection des données et leur souci du respect de la vie privée des individus.
Le RGPD : Fondements et principes
Pour comprendre le RGPD, il est important de connaître certains termes clés. Les données personnelles désignent toutes les informations qui permettent d'identifier directement ou indirectement une personne. Cela peut inclure des noms, des adresses, des numéros de téléphone, des adresses IP, etc.
Le responsable du traitement est l'entité qui décide des finalités et des moyens du traitement des données.
Les sous-traitants sont les entités qui traitent les données pour le compte du responsable du traitement.
Les personnes concernées sont les individus à qui appartiennent les données personnelles.
Les principes de licéité (la licéité est la base légale d'un traitement et est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.), de loyauté et de transparence exigent que le traitement des données soit conforme, équitable et transparent envers les personnes concernées.
Le principe de limitation de la finalité signifie que les données personnelles ne doivent être collectées que pour des actions spécifiques et légitimes.
Le principe de minimisation des données, lui, stipule que seules les données nécessaires doivent être collectées et conservées.
Le principe d'exactitude demande que les données personnelles soient exactes et régulièrement mises à jour . Enfin, le principe d'intégrité et de confidentialité requiert la mise en place de mesures de sécurité appropriées pour protéger les données contre les accès non autorisés, la perte ou la destruction.
La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle française chargée de veiller à la protection des données personnelles et de faire respecter le RGPD sur le territoire français. La CNIL joue un rôle crucial dans l'application du RGPD en supervisant les activités de traitement des données et en garantissant le respect des droits des individus. Elle assure également des missions de conseil, d'information et de sensibilisation afin d'aider les organisations à se conformer au RGPD. En cas de non-respect des dispositions du RGPD, la CNIL peut engager des procédures d'enquête et imposer des sanctions financières.
L’article 28, les sanctions et les conséquences du non-respect du RGPD
L'article 28 du RGPD concerne les sous-traitants et établit les obligations spécifiques qui doivent être respectées lorsqu'une organisation fait appel à un prestataire externe (un cabinet de recrutement, ou un.e chargé.e de recrutement indépendant.e par exemple) pour traiter des données personnelles dans le cadre du recrutement. Il est essentiel pour les employeurs et les recruteurs de s'assurer que les sous-traitants respectent les exigences du RGPD en matière de protection des données, il faudra également s’en assurer au moment du choix du futur ATS de l’entreprise. La conclusion de contrats conformes à l'article 28 du RGPD est une mesure importante pour garantir la sécurité et la confidentialité des données personnelles des candidats tout au long du processus de recrutement.
Le RGPD prévoit des sanctions sévères en cas de non-respect de ses règles. Les autorités de contrôle, telles que la CNIL, sont responsables de l'application du RGPD et peuvent imposer des sanctions administratives aux organisations qui ne respectent pas les obligations de protection des données. Ces sanctions peuvent inclure des avertissements, des amendes financières, des limitations d'activités, voire des interdictions de traitement des données. Les amendes peuvent atteindre jusqu'à un pourcentage élevé du chiffre d'affaires annuel (mondial) de l'entreprise contrevenante.
Le non-respect du RGPD dans le contexte du recrutement peut avoir des conséquences juridiques et financières significatives. Les entreprises qui ne respectent pas les règles du RGPD s'exposent à des litiges judiciaires, des réclamations de dommages et intérêts de la part des personnes concernées et des poursuites en justice. Les atteintes à la protection des données peuvent nuire à la réputation, à la marque employeur et à la confiance des candidats et des clients, ce qui peut avoir un impact négatif sur les activités et les résultats financiers de l'entreprise. Il est donc obligatoire pour les employeurs et les recruteurs de respecter la conformité RGPD afin d'éviter des conséquences pouvant se révéler désastreuses pour l’entreprise.
Responsabilités des acteurs du recrutement selon le RGPD
Dans le contexte du recrutement, la formation des acteurs impliqués dans le processus est d’une importance capitale pour garantir le respect du RGPD. Les professionnels du recrutement doivent être sensibilisés aux principes et aux exigences du RGPD afin d'adopter les bonnes pratiques et de prévenir les risques liés au traitement des données personnelles des candidats. Une formation adéquate leur permet de mieux comprendre les obligations légales et les responsabilités associées à la collecte, au traitement et à la conservation des données personnelles. Les MOOC (Massive Open Online Courses) sur le RGPD sont des ressources précieuses pour la formation et la sensibilisation au RGPD dans le domaine du recrutement. Ces cours en ligne accessibles à tous offrent la possibilité d'approfondir ses connaissances sur les principes et les règles du RGPD, ainsi que sur les meilleures pratiques en matière de protection des données personnelles. Les MOOC sur le RGPD proposent généralement des contenus pédagogiques interactifs, des études de cas et des évaluations pour renforcer l'apprentissage. Ils permettent aux professionnels du recrutement de se former à leur propre rythme et de développer les compétences nécessaires pour assurer la conformité au RGPD dans leurs activités de recrutement. La CNIL dispense elle-même un MOOC de formation gratuit pour se former au règlement général sur la protection des données.
Dans le cadre du RGPD, les employeurs, les recruteurs et les candidats ont des obligations et des rôles spécifiques à jouer. Les employeurs doivent s'assurer de respecter les principes de protection des données tout au long du processus de recrutement, en veillant à ce que les données personnelles des candidats soient traitées de manière légale, transparente et sécurisée. Les recruteurs, eux, sont responsables de la collecte et du traitement des données personnelles des candidats, et doivent garantir la confidentialité et la sécurité de ces données. Les candidats ont le droit d'être informés sur l'utilisation de leurs données, de donner leur consentement éclairé et de demander l'accès, la rectification ou la suppression de leurs données personnelles.
Protection des données sensibles dans le cadre du recrutement
Selon le RGPD, les données sensibles sont des informations personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques dans le but d'identifier une personne de manière unique, les données concernant la santé ou la vie sexuelle. Ces données sont considérées comme particulièrement sensibles et nécessitent une protection renforcée en raison du risque accru d'atteinte à la vie privée et à la dignité des individus dans un monde en perpétuelle mouvance et dans lequel la cybersécurité est un enjeu mondial..
Dans le processus de recrutement, des mesures spécifiques doivent être prises pour protéger les données sensibles conformément au RGPD. Les employeurs et les recruteurs doivent limiter la collecte de ces données uniquement à ce qui est strictement nécessaire pour évaluer les compétences et aptitudes des candidats. Ils doivent obtenir le consentement explicite et informé des candidats avant de collecter ces données et veiller à leur sécurité et leur confidentialité. De plus, ces données sensibles doivent être traitées avec la plus grande prudence et ne doivent pas être utilisées de manière discriminatoire ou pour prendre des décisions emplies de biais cognitifs inconscients qui pourraient avoir des conséquences préjudiciables pour l’égalité des chances entre les candidats.
Suppression des données personnelles après le processus de recrutement
Après le processus de recrutement, il est essentiel de respecter les obligations et les bonnes pratiques pour la suppression des données personnelles des candidats conformément au Règlement Général sur la Protection des Données. Les employeurs et les recruteurs doivent mettre en place des mesures appropriées pour supprimer de façon sécurisée les données personnelles des candidats qui ne sont plus nécessaires ou pertinentes pour le recrutement. Cela peut inclure la mise en place de procédures internes pour identifier et supprimer les données personnelles stockées dans les bases de données, les dossiers papier ou les fichiers électroniques. Les données doivent être effacées de manière définitive, empêchant toute récupération ultérieure.
La durée de conservation des données personnelles dans le contexte du recrutement doit être déterminée en fonction des finalités du traitement des données et des obligations légales. Il est recommandé de définir une politique de conservation des données claire et de respecter les délais légaux spécifiques liés au secteur d'activité et aux lois nationales applicables. Toutefois, il est important de noter que conserver un "vivier de candidats" après le processus de recrutement est tout à fait possible, et même vivement conseillé, il nécessite une base légale appropriée, une justification valable et une mise à jour régulière, conformément aux obligations du RGPD. Les candidats doivent être informés de la durée de conservation de leurs données personnelles et de leurs droits en matière de suppression ou de modification de ces données.