Quelles sont les 7 des erreurs RH sur le RGPD ?

1. Collecter trop d'informations
2. Ne pas faire de tri entre les candidatures retenues et non retenues
3. Ne pas fournir d'informations obligatoires au moment de la candidature
4. Recherche d'informations complémentaires
5. Conservation des CV de plus de 2 ans
6. Dupliquer inutilement les informations sur les candidats devenus collaborateurs
7. Ne pas disposer de bonnes mesures de sécurité techniques, organisationnelles et juridiques

RGPD et Ressources Humaines : contexte

Le RGPD a un impact sur de nombreux domaines : suivi des usagers, sous-traitants, salariés, recrutement. De plus, la CNIL, l'autorité de contrôle du domaine, jusqu'alors très tolérante, a changé son discours en intensifiant sa mission d'inspection à partir de 2020.

Vous devez savoir que dans toute stratégie de gestion de la protection des données, les employés constituent une proportion importante des personnes concernées dans une organisation donnée :

1. soit en raison du nombre d'employés
2. soit en raison de la quantité exponentielle d'informations collectées dans le cadre de l'emploi

Mais on oublie souvent que tout organisme commence à traiter des données personnelles d'un employé bien avant sa prise de fonction. Dans la phase de recrutement, l'organisation collecte des données personnelles avec la réception de CV. Sur ce sujet, nous vous conseillons un autre article sur les bonnes pratiques RGPD en matière de recrutement. Il est important de savoir que les données fournies par tout candidat sont naturellement soumises au Règlement Général sur la Protection des Données. Aussi bien les équipes de recrutement internes que celles qui travaillent avec les agences de recrutement devront donc revoir leurs pratiques en 2020. 

Nous voulons vous aider à comprendre vos responsabilités et vous montrer comment manipuler et traiter ces données avec une mise en conformité RGPD efficace. Voici les 7 GRANDES erreurs commises par les RH à éviter pour protéger son organisation.

Collecter trop d'informations (première erreur)

Il est absolument nécessaire de s’empêcher de recueillir plus de données personnelles que nécessaire. En d'autres termes, ne demandez que les informations relatives aux critères de sélection lorsque vous préparez à remplir le formulaire de candidature. Si une personne peut présenter une candidature spontanée, limitez-vous à demander le nom, les coordonnées et les informations qui peuvent correspondre au profil de votre entreprise.

Ne pas faire de tri entre les candidatures retenues et non retenues

Les règles de la protection des données nous obligent à définir clairement les informations utilisées à des fins explicites. Par conséquent, si vous disposez d'une base de données de CV et si vous avez sélectionné vos candidats parmi les candidatures reçues, informez toujours ceux qui ne sont pas retenus de votre souhait de conserver leur CV pour un éventuel recrutement et assurez-vous que leurs informations sont sauvegardées séparément.

Ne pas fournir d'informations obligatoires au moment de la candidature

Le recrutement est une phase de développement de la confiance entre l'employeur et le futur employé. Nous vous conseillons d'étendre cette philosophie à la protection des données personnelles des candidats.

Pour établir cette confiance, adoptez une approche de transparence en leur fournissant toutes les informations concernant les modalités de traitement (sauf si la loi vous interdit d'en parler), le lieu et la durée de conservation des informations, les professionnels qui y auront accès, ainsi que les droits et les outils dont ils disposent pour exercer ces droits.

Recherche d'informations complémentaires

Il est tout à fait normal de vouloir mieux connaître son futur collaborateur. Le RGPD ne l'interdit pas. Mais assurez-vous qu'il appartient aux candidats retenus, de leur propre gré et dans leur intérêt de pouvoir établir une meilleure confiance, de fournir des informations complémentaires. Par exemple, les référents.

Mais ne demandez jamais d'informations révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques dans le but d'identifier de manière unique une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'un candidat retenu. 

Conservation des casiers judiciaires

Pour certains emplois "sensibles" pour lesquels vous souhaitez recruter, il peut être nécessaire de vérifier le casier judiciaire du candidat. Dans ce cas, vous pouvez demander au candidat de fournir le formulaire de casier judiciaire B2 ou B3 selon le poste. Mais en aucun cas, le recruteur n'a le droit d'en conserver un exemplaire. Il suffit d'avoir une mention "OUI/NON" concernant cette obligation de vérification.

Conservation des CV de plus de 2 ans

Avez-vous les CV/candidatures que vous avez enregistrés il y a plus de 2 ans ? En 2020, vous devrez supprimer les candidatures que vous avez reçues avant 2018. Si vous utilisez un outil d’e-candidature, vous pouvez mettre en place une fonctionnalité de suppression automatique.

Dupliquer inutilement les informations sur les candidats devenus collaborateurs

Lorsque vous avez terminé le processus de recrutement, le dossier de candidature des nouveaux recrutés doit être transféré dans un "dossier collaborateur" dans une base de données séparée, sans laisser aucune de ces informations dans la CVthèque.

En outre, avant de migrer les informations que vous avez recueillies lors du recrutement, il vous est conseillé de filtrer les informations nécessaires à la conclusion du contrat et de supprimer toute information supplémentaire.  Cela vous permettra de ne pas répéter l'erreur n° 1.

Ne pas disposer de bonnes mesures de sécurité techniques, organisationnelles et juridiques

L'ensemble des processus, depuis la réception des CV et des lettres de motivation jusqu'à la migration des informations vers le dossier "collaborateur", doit être sécurisé.

Cette sécurisation doit intervenir sur 3 dimensions, à savoir :

1. Technique
2. Organisationnelle
3. Juridique

Technique :

Est-ce que vous scannez les CV/candidatures qui vous sont envoyés ? Communiquez-vous avec les candidats via des outils informatiques ? Disposez-vous d'un outil de candidature électronique fourni par un prestataire de services ? Si la réponse est "oui" à au moins une de ces questions, assurez-vous que ces documents numériques, les connexions informatiques et le stockage dans des serveurs locaux ou en nuage doivent être sécurisés par des techniques telles que login/mot de passe, protocole HTTPS, chiffrement.

Organisationnelle :

Ne prévoir des habilitations d'accès aux candidatures qu'en cas de besoin et établir des règles internes pour la protection des données personnelles.

Juridique :

Incluez des clauses contractuelles et des attestations, soit en modifiant les contrats existants, soit en actualisant les contrats à conclure avec les prestataires de services informatiques que vous employez dans le cadre du processus de recrutement.

Ces articles pourraient vous intéresser :

- Recrutement : les bonnes pratiques RGPD

- Un salarié demande ses fiches de paie 5 ans après son départ, que dois-je faire ?