Le nouveau règlement général sur la protection des données (RGPD) de l’UE, qui entrera en vigueur le 25emai 2018 – a des implications considérables pour de nombreuses entreprises. L’accent mis sur la protection des données personnelles (qu’il s’agisse de nos clients, de nos employés ou de toute autre personne résidant dans l’UE) a un impact sur tout, du marketing et des ventes aux ressources humaines et au recrutement.
Pour les équipes de recrutement internes et celles qui travaillent avec des cabinets de recrutement, les données fournies par les candidats relèvent du RGPD. Nous devons donc tous comprendre nos responsabilités et savoir comment gérer et traiter les données de manière conforme.
Bien sûr, en tant qu’agence de recrutement spécialisée, nous traitons quotidiennement les données personnelles de nos candidats et nous avons donc investi beaucoup de temps et de ressources pour nous mettre en conformité avec le RGPD. Un aspect clé de cela est de s’assurer que notre équipe, les recruteurs qui utilisent ces données lorsqu’ils travaillent avec des candidats et des clients, savent à quels processus ils doivent adhérer.
À cette fin, nous avons pensé qu’il serait utile de partager ce que nous avons appris afin que vous puissiez appliquer ces connaissances à vos processus de recrutement.
Les droits de vos candidats
Avec le RGPD, les candidats ont plus de droits que ceux précédemment couverts par la loi sur la protection des données. Cependant, si votre entreprise a aligné vos processus et systèmes sur la loi sur la protection des données, vous êtes déjà bien placé pour vous conformer au RGPD. Essentiellement, tout revient à savoir exactement quelles données personnelles vous traitez, où elles se trouvent et pourquoi vous en avez besoin. Les candidats disposent des principaux droits suivants :
Le droit à l’information : Selon le GDPR, il est nécessaire de « fournir des informations correctes sur le traitement ». Informez les candidats que vous traitez leurs données et comment vous le faites. La plupart des entreprises auront déjà une politique de confidentialité qui l’indique, fournir aux candidats un lien vers celui-ci à partir d’un formulaire de candidature en ligne est le meilleur moyen de s’assurer qu’ils sont informés. Bien sûr, vous avez peut-être trouvé un candidat d’une manière différente ; peut-être lors d’un événement de réseautage, sur LinkedIn ou par l’intermédiaire d’une agence de recrutement. Dans ce cas, vous devez fournir les informations de traitement correctes dans un délai d’un mois, par exemple en lui envoyant un e-mail et en fournissant un lien vers la politique de confidentialité de votre entreprise. Vérifiez que votre politique de confidentialité contient toutes les informations requises par le RGPD. Vous trouverez plus d’informations sur le RGPD et les avis de confidentialité sur le site Web de l’ICO ici.
Le droit d’accès : Le droit d’accéder à leurs données personnelles ; avoir la confirmation que votre entreprise le traite ; ainsi que l’accès à toutes les autres données les concernant, est déjà prévu par la loi sur la protection des données. Cependant, il existe quelques différences avec le RGPD. La première est que vous ne pouvez pas facturer ces informations, auparavant les candidats pouvaient payer des frais d’accès de 10 £. La seconde est que vous devez répondre à leur demande beaucoup plus rapidement qu’auparavant, dans un délai d’un mois. Cela souligne l’importance d’avoir une image claire de l’emplacement de stockage de toutes les données traitées par votre entreprise, afin que vous puissiez y accéder rapidement.
Le droit de rectification : Après avoir demandé des informations si un candidat détecte une erreur, il a le droit de faire rectifier cette erreur dans un délai d’un mois. Par exemple, si vos données contiennent un intitulé de poste, un salaire actuel ou des coordonnées incorrects, vous devrez les modifier rapidement. Les entreprises qui ont d’importants volumes de recrutement peuvent trouver plus facile de permettre aux candidats d’accéder à leurs données et de les rectifier. Donner aux candidats accès à leur profil personnel (un portail candidat) est un bon moyen de le gérer et ils peuvent également mettre à jour les CV et autres informations à leur guise.
Le droit à l’oubli (ou à l’effacement) : La base de données des candidats est une ressource importante, mais une exigence clé du RGPD est que les candidats peuvent supprimer leurs données personnelles s’ils le souhaitent. Encore une fois, le délai pour cela est d’un mois, bien qu’il y ait quelques raisons pour lesquelles vous pouvez refuser. Par exemple, il peut être nécessaire de conserver des données personnelles pour se conformer à une obligation légale, ou si vous traitez leurs données « pour l’exécution d’une mission effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique ». S’il est fort probable que les données des candidats ne soient pas exemptées d’une demande de désinscription, vous pouvez en savoir plus ici.
RGPD et consentement
Un aspect clé du GDPR que vous avez probablement rencontré est le « consentement ». Vous avez peut-être interprété cela comme si les candidats devaient vous donner leur consentement pour traiter leurs données. Cela est vrai pour certains types d’entreprises. Par exemple, si vous avez prévu d’ajouter un candidat à votre liste marketing dans l’espoir qu’il pourra acheter vos produits ou services, ainsi que postuler à un emploi !
Cependant, en matière de recrutement, le consentement au traitement de vos données est implicitement donné lorsque vous postulez à un poste ou téléchargez vos données sur le portail candidat. Bien entendu, vous ne devez traiter ces données qu’à cette fin. Dans le GDPR, cela revient à être « capable de démontrer un intérêt légitime », ce qui signifie que vous devez traiter leurs données pour les sélectionner pour un entretien ou identifier la bonne opportunité pour eux.
La bonne pratique pour les agences d’emploi est d’obtenir le consentement des candidats pour traiter leurs données et, notamment, de les transmettre à des tiers, c’est-à-dire nos clients / employeurs potentiels. Il vaut la peine de vérifier auprès de toutes les agences de recrutement avec lesquelles vous travaillez qu’elles ont obtenu le consentement du candidat avant de traiter ces données. Cela fournira à votre entreprise une protection supplémentaire contre la non-conformité.
Bien sûr, un autre aspect très important du GDPR est que vous disposez des bons systèmes et processus pour protéger les données personnelles de vos candidats. Souvent, ces données contiennent des informations plutôt sensibles qui pourraient être utilisées pour identifier un vol ou à des fins malveillantes. Un candidat de haut niveau dont la recherche d’emploi est privée ne voudra pas que ces informations soient rendues publiques. Votre entreprise, en plus de risquer d’éventuelles sanctions pour non-conformité en cas de violation, peut également subir des dommages considérables à sa réputation ; ainsi que les dommages que cela pourrait causer aux relations avec les candidats et les employés. Assurez-vous que vos données sont en sécurité.
Par Greg Thorpe, PDG de Howett Thorpe