Quand une société recrute et sélectionne des candidats et des employés, elle obtient, collecte et traite leurs informations personnelles aux fins de déterminer la qualité de leur candidature pour le job ou la fonction proposée et/ou de constituer une réserve de recrutement.

Comme vous le savez, Le RGPD impose maintenant des obligations beaucoup plus lourdes au traitement de données personnelles. Notamment les droits étendus du propriétaire de données (exigences renforcées pour le consentement, droit à la portabilité des données, droit au retrait du consentement, etc) mais aussi les obligations de conserver des données à jour, de tenir compte de la vie privée dès l’origine (privacy by design), les études d’impact, etc.

Sans aucun doute, le RGPD et la loi du 30 juillet 2018 ont un impact non négligeable sur le processus de sélection et de recrutement qui encore aujourd’hui n’est pas encore bien mesuré par nombre d’entreprises.
Il était de pratique courante de conserver des dizaines de CV, de notes ou de mails contenant des données personnelles des candidats à divers endroits (disques durs des ordinateurs des managers, du DRH de la secrétaire, réseau informatique, mails, smartphones, etc) parfois pour de longues périodes et sans trop s’en soucier.

Ces pratiques sont révolues. Et à moins de vouloir subir les sanctions imposées par le RGDP, les employeurs de tous bords doivent respecter la vie privée des candidats et, pour ce faire, de prendre des actions comme:

  1. Analyser leurs besoins, les flux de données et le nombre de personnes impliquées dans le processus de recrutement et de sélection tant en interne qu’en externe (les chasseurs de tête par exemple).
  2. Informer les candidats de leurs droits étendus et leur fournir les informations concernant le traitement de leurs données personnelles.
  3. Informer les personnes impliquées des aspects juridiques et en particulier du type de données/de questions qu’ils peuvent demander/poser.
  4. Si possible centraliser le traitement des données et d’éviter que les données personnelles d’un candidat ne soient éparpillées à plusieurs endroits/chez plusieurs personnes et de les conserver dans une base de donnée séparée.
  5. Les maintenir à jour et les effacer entre 12 et 24 mois après la collecte sauf si elles sont utilisées pour constituer une base de recrutement future et le candidat est d’accord.
  6. Mettre en œuvre les procédures requises pour répondre à une demande d’accès ou de portabilité, et l’effacement automatique au-delà d’un certain délai.
  7. Impliquer le département informatique dans ce processus pour appliquer le principe de « privacy by design ».
  8. Discuter avec les différents acteurs et partenaires et s’accorder sur une approche coordonnée et concertée du traitement.
  9. Documenter les décisions concernant le traitement des données et l’organisation du processus pour démontrer que dès l’origine le respect de la vie privée a été pris en compte.

Tout ceci en assurant en même temps le respect d’autres dispositions plus anciennes comme la convention collective de travail n°38 qui détermine les droits et les obligations dans le processus de recrutement et de sélection. Notamment, le droit à la confidentialité, à être informé de la nature et des détails du job/de la fonction, à un traitement rapide de la candidature, à être informé des raisons justifiant la décision de rejeter la candidature, etc.

Enfin, le candidat non retenu pourra demander une explication des raisons justifiant cette décision ainsi que de demander l’effacement de ses données.

 

Source : L’Echo

    X
    Bienvenue au Chat de Nath
    Une question ? La réponse ici !
    wpChatIcon