Lorsque le règlement général sur la protection des données (RGPD) est entré en vigueur, un murmure s’est élevé dans les rangs des services RH. En effet, dans cet ensemble de paragraphes, le législateur impose des obligations à tous les services de l’entreprise qui travaillent avec des données personnelles confidentielles.
Les recruteurs doivent particulièrement faire attention – ils travaillent avec des données dont la demi-vie est courte. Dans cet article, vous découvrirez ce qu’il faut faire pour recruter dans le respect de la protection des données.
Contenu
Protection des données dans la gestion des candidatures
Le règlement général sur la protection des données (RGPD) s’applique en principe à tous les processus par lesquels les entreprises traitent les données d’une personne. Ceux qui gèrent des informations sur les candidats au sein du département RH doivent être particulièrement vigilants. En effet, les données des candidats ne sont pertinentes que pendant la durée du processus de recrutement. Ensuite, la loi prévoit que « l’intérêt légitime » à leur traitement et à leur conservation s’éteint.
Conséquence : elles doivent être supprimées une fois la décision prise pour ou contre un candidat. Et ce, immédiatement.
Le RGPD contient de nombreuses autres exigences qui doivent être appliquées dans la gestion des candidatures. Mais la suppression immédiate des données des candidats peut déjà représenter un défi pour de nombreuses entreprises. Par exemple, parce que les responsables RH envoient volontiers les dossiers de candidature par e-mail pour échanger avec le service spécialisé.
Une fois la procédure terminée, les documents se trouvent souvent encore pendant des années dans les boîtes mail des collègues. Il s’agit là d’une violation manifeste du RGPD, qui peut avoir de lourdes conséquences : Les entreprises à fort chiffre d’affaires peuvent, dans des cas extrêmes, être sanctionnées par exemple jusqu’à quatre pour cent de leur chiffre d’affaires mondial ou jusqu’à 20 millions d’euros.
Le RGPD en bref
Dans la gestion des candidatures, il faut en outre tenir compte de ces aspects du RGPD :
Demandez une démonstration et faites de votre recrutement un succès
- 14 jours d’essai gratuit
- Sans engagement et sans frais cachés
- Assistance clientèle gratuite
- Les données à caractère personnel transmises par voie électronique doivent être cryptées afin d’éviter qu’elles ne soient espionnées par des tiers non autorisés.
- En vertu de l’article 13 du RGPD, les entreprises doivent informer le propriétaire des données, en l’occurrence le candidat, dès réception de ses données, de la manière dont elles les conservent, du lieu où elles sont conservées et de la durée de conservation.
- Un droit d’accès strict est également en vigueur : les propriétaires de données peuvent à tout moment demander à une entreprise de leur fournir des informations sur leur propre personne. L’accès doit être immédiat et complet.
- La sécurité de sa propre infrastructure informatique doit être régulièrement contrôlée.
Recrutement conforme à la protection des données : l’employeur a l’obligation de fournir des preuves
Les entreprises doivent vérifier avec précision si leurs processus de recrutement sont conformes à la protection des données. Si ce n’est pas le cas, l’implémentation d’un logiciel de recrutement bien choisi peut aider à rendre la gestion des candidats conforme au RGPD. Le juriste Nils Lippert, conseiller en protection des données et en sécurité de l’information chez procado Consulting, IT- & Medienservice GmbH à Berlin, s’exprime à ce sujet comme suit dans une interview avec softgarden : « Si le logiciel est conçu selon les dispositions du RGPD et est conforme aux règles, les dispositions du RGPD dans le cadre du recrutement peuvent en grande partie être respectées par la simple utilisation de ce logiciel. Les clients peuvent le vérifier en posant des questions à ce sujet aux fournisseurs ».
La présence sur le web devrait également donner une première indication sur la manière dont un fournisseur de solutions se comporte en matière de protection des données. Les fournisseurs sérieux indiquent déjà sur leur site web si leur solution est conforme au RGPD. Qu’est-ce qui est important ? Un aperçu :
- Fonctions conformes à la protection des données
Un logiciel de gestion des candidatures doit garantir aux utilisateurs la possibilité de travailler en conformité avec le RGPD. Pour ce faire, le logiciel est doté de paramètres par défaut qui, par exemple, effacent automatiquement les données critiques à l’issue d’un délai défini ou informent automatiquement les candidats de la conservation des données, de leur archivage et de leur durée de conservation après réception de leur dossier de candidature. Ces fonctions et toutes les autres devraient être confirmées par une expertise externe de la protection des données réalisée par un prestataire de services indépendant. - Hébergement UE
L’ensemble de l’hébergement du fournisseur de solutions devrait être dans l’UE, ils sont automatiquement soumis aux exigences de la protection des données en vigueur dans le pays. Si les données sont stockées sur des serveurs en dehors de l’UE, il s’agit déjà d’une violation de la protection des données, car les informations peuvent être plus facilement lues et transmises légalement en raison de la situation juridique différente sur le lieu du serveur. - Déclaration de protection des données
La protection et la confidentialité des données doivent revêtir une importance particulière pour les fournisseurs de systèmes de gestion des candidatures en nuage. Après tout, elles sont stockées au sein de son centre de données, d’où elles sont récupérées par l’entreprise utilisatrice via une connexion sécurisée. Une déclaration de confidentialité devrait permettre aux utilisateurs de savoir dans quelle mesure la sécurité de leurs données est garantie. - Processus sécurisés et certifiés
Le logiciel doit être certifié ISO 27001 et donc répondre aux exigences de l’Office fédéral de la sécurité des technologies de l’information en matière de sécurité informatique. La norme ISO 27001 est l’attestation d’un traitement responsable et sûr des informations sensibles chez un fournisseur de logiciels RH. « La norme ISO 27001 est la principale norme internationale pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle fournit aux organisations de tous types et de toutes tailles des lignes directrices claires pour la planification, la mise en œuvre, la surveillance et l’amélioration de leur sécurité de l’information. Les exigences sont applicables de manière générale, par exemple, elles s’appliquent aux entreprises privées ou publiques et aux institutions à but non lucratif ». (Source : https://www.iso.org/fr/standard/27001) - Tests de sécurité
En outre, des tests de sécurité doivent être effectués régulièrement sous forme de tests d’intrusion. Lors d’un test d’intrusion, les systèmes informatiques ou les réseaux sont soumis à un examen complet visant à déterminer leur sensibilité aux attaques. Un pentest fait appel à des méthodes et techniques utilisées par de véritables attaquants ou pirates. Les fournisseurs en apportent la preuve avec un certificat de test d’intrusion actuel.
Si ces conditions sont remplies, les utilisateurs potentiels sont du bon côté. Rien ne s’oppose désormais à ce qu’ils décrochent leur téléphone et s’entretiennent directement avec l’éditeur de logiciels RH au sujet de sa solution…
Vous souhaitez savoir si votre recrutement est conforme à la protection des données ? Alors téléchargez dès maintenant notre checklist et cochez-la point par point.