RGPD quels impacts sur le processus de recrutement ?
Nom, mail, adresse, âge, téléphone, expériences professionnelles, font partie des nombreuses données à caractère personnel collectées quotidiennement par les recruteurs, les cabinets de recrutement ou les services RH.
Le Règlement Général sur la Protection des données en application depuis le 25 mai 2021, est venu réguler l’usage fait des données pour tout organisme traitant les données de citoyens Européen; que ces données concernent celles des candidats, de vos prestataires, de vos partenaires commerciaux, des employeurs avec qui vous êtes en relation, ou de vos salariés.
1- A l’étape du sourcing
Les méthodes de recrutement évoluent et se digitalisent l’arrivée de l’intelligence artificielle, du machine learning, deep learning, big data, blockChain sont à l’origine de profondes évolutions dans le métier de recruteur. Les nouveaux processus d’automatisation du recrutement permettent désormais la sélection des candidatures est confié tout ou en partie à une intelligence artificielle.
Cependant, déléguer cette tâche à une IA dépendante d’un algorithme n’est pas sans conséquence. Amazon s’était aperçu en 2018 que son IA responsable de la sélection des candidatures pour des métiers dit « techniques » tels que développeur, faisait preuve de discrimination envers les femmes, la féminisation étant encore très lente sur ce type d’emploi.
L’IA avait donc assimilée ce paramètre influençant par conséquent sa sélection de CV en choisissant des candidats essentiellement masculins sur ce type de poste.
Mais quel lien avec le RGPD ? Réponse, son article 22, dont l’objectif est de donner la possibilité à une personne faisant l’objet d’un processus automatisé produisant un effet juridique (dans le cas d’Amazon un recrutement), de s’opposer à l’usage d’un processus automatisé ou de réclamer une intervention humaine, si le résultat ne lui convient pas. En effet, recours à l’usage d’une IA ne laisse que très peu de transparence sur les modalités de sélection de candidature, ce qui peut entraîner des risques de discrimination à l’embauche et d’atteinte aux libertés individuelles.
Informer et obtenir le consentement.
Le consentement de la personne est toujours à utiliser avec prudence, dans le cadre d’un traitement de données en RH. La réglementation impose un consentement libre, ce qui implique une absence de conséquence en cas de refus pour la personne concernée.
Dans le cas des Ressources Humaines, la relation hiérarchique salarié/employeur remet en cause ce principe de liberté, car le salarié est considéré comme une personne vulnérable en raison de sa situation. En cas de constitution d’une CVthèque cette relation hiérarchique n’est pas présente, le consentement de la personne peut donc être utilisé comme fondement légal valable. Ainsi, le consentement sera valable selon que votre collecte de données soit destinée à la constitution de votre CVthèque ou bien si celle-ci intervient dans le cadre d’une mission donnée par une entreprise à la recherche du candidat approprié.
2- Lors du processus de sélection et de transmission des informations aux recruteurs décisionnaires
3- Conserver les CV
Vos candidats ont des droits sur leurs données, même après la clôture du recrutement.
Avec l’arrivée du RGPD vous n’avez pas uniquement des responsabilités devant la loi, mais également devant vos candidats et toute autre personne dont vous serez amené à traiter les données.
Le droit d’accès et de portabilité donne la possibilité aux personnes concernées de vous interroger sur les données que vous traitez sur leur compte, à qui vous les adressez et même de les leur communiquer dans un format structuré, permettant leur réutilisation.
Le droit à l’oubli ou d’effacement, permet pour un candidat de demander sous conditions la suppression des données le concernant.
Le droit d’opposition, donne la possibilité de refuser que les données soient traitées pour un objectif donné.
Le droit de limitation peut être invoqué par exemple si le candidat a besoin des données (par exemple pour une action en justice) au-delà de la durée de conservation légale. Les données seront dites « gelées », elles devront uniquement être conservées, sans autre usage ultérieur.
Le retrait du consentement est applicable si vous avez demandé l’accord du candidat pour traiter ses données pour une finalité définie, le candidat devra disposer de la faculté de pouvoir revenir sur sa décision à tout moment.
Attention, une absence de réponse à un droit ou la non-conformité de cette dernière, peut-être un motif de réclamation à la CNIL. Prévoyez toujours des modalités de réponse à ces droits.
4- Sécurisez les données et pensez à notifier !
L’année 2020/2021 a été pour tous une année atypique sous le signe du télétravail. Qui dit télétravail, dit une sécurité informatique parfois limitée. Cette nouvelle méthode de travail est à l’origine de très nombreuses attaques informatiques à l’encontre d’entreprises, hôpitaux, collectivités. Pouvant entraîner la perte des données sur le système informatique, compromettre leur intégrité ou leur confidentialité.
En tant que recruteurs, vous n’êtes bien entendu pas à l’abri de ce type d’évènements qui vous impacteront bien sûr, mais également vos candidats, vos partenaires et autres interlocuteurs avec qui vous traitez ou dont vous traitez les données. Le RGPD impose aux organismes de mettre en œuvre des mesures de sécurité à la fois techniques et opérationnelles. Si vous êtes victime d’une violation de données, vous devrez le notifier à la CNIL dans un délai de 72 heures. Cette obligation de notification pourra s’étendre aux personnes dont les données ont été compromises si vous constatez un impact réel sur ces dernières.
Des sanctions à la clé
Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Par ailleurs, la CNIL peut prononcer des sanctions publiques, attention donc aux impacts sur l’image de votre activité auprès de vos interlocuteurs.
Pour conclure
L’application du RGPD n’est donc pas une révolution dans votre métier, il implique une évolution de vos pratiques, en introduisant plus de transparence et plus de sécurité dans vos usages afin de respecter ces dispositions.
Le RPGD doit être perçu comme une opportunité permettant d’optimiser vos process, en améliorant la sécurité de vos données et ainsi, une meilleure maîtrise des risques de piratages, mais également, un gage de confiance auprès de vos interlocuteurs plus disposés de ce fait, à vouloir travailler avec vous.
Découvrir la formation RGPD ICI.