Quels seront les impacts des nouvelles normes RGPD sur les processus de recrutement et les services RH?

Expliqué simplement, le RGPD c’est quoi?

RGPD est l’acronyme de “Règlement Général sur la Protection des Données”, plus connu sous le nom anglais GDPR, “General Data Protection Regulation”. Il s’agit d’une nouvelle loi européenne visant à unifier et renforcer la protection des données pour tous les individus.

Cette nouvelle loi a été établie par la Commission Européenne afin de réviser l’actuelle Loi de 1998 sur la Protection des Données (Data Protection Act 1998). Pour faire simple, le but de ce changement est d’accroître la transparence des entreprises grâce à des critères plus strictes sur l’utilisation des données privées.

Cette réglementation aura sans aucun doute de fortes implications pour les entreprises qui devront se préparer à son entrée en vigueur le 25 mai 2018. Il est donc grand temps pour votre entreprise de faire le nécessaire à son implémentation si vous voulez éviter une amende pouvant s’élever jusqu’à 20 millions d’euros ou à 4% de votre chiffre d’affaires.

Qu’est ce que ça change pour mon entreprise ? Points essentiels

D’après le free guide de la Commissioner’s Office (ICO), voici 9 points essentiels auxquels vous devrez prêter attention (Liste non exhaustive):

  1. Vous devrez informer les décideurs et les employés du changement de loi et de l’entrée en vigueur du RGDP. Cela implique que vous devrez également les mettre au courant des impacts de cette nouvelle régulation.
  2. Vous devrez identifier la manière dont vous collectez, conservez et utilisez les données de candidats ainsi que les personnes avec qui vous partagez ces données au cours du processus de recrutement.
    Par exemple, lorsque vous demandez à un candidat d’envoyer son CV, vous collectez des informations personnelles à son sujet. Dans cette situation, le candidat doit être contacté par le recruteur pour lui fournir les détails relatifs au poste vacant avant l’envoi du CV. Les informations suivantes doivent être communiquées au candidat :

    1. combien de temps les données seront conservées
    2. comment elles seront utilisées et traitées
    3. si les données seront partagées ou transférées et pour quelles raisons
    4. la manière dont le candidat peut déterminer si vous détenez des données le concernant
    5. comment il peut modifier les données s’il y a une erreur ou un changement
    6. la manière dont il peut prétendre au droit « d’être oublié » et de faire prévaloir son droit à l’oubli.Le RGPD exige de la part des entreprises d’être capables de montrer qu’elles sont conformes à ces principes de protection des données, il est donc nécessaire que vous ayez les documents attestant de ces différents points.
  3. Vous devrez mettre à jour vos procédures et planifier la manière dont vous allez traiter les demandes. Le nouveau délai est un mois au lieu de 40 jours.
  4. Vous devrez identifier la base légale de votre activité de traitement des données personnelles dans le cadre RGDP, mettre à jour votre déclaration de confidentialité et la documenter. La raison est que les droits de certains individus seront modifiés en fonction de la base légale de traitement de données personnelles.
  5. Vous devrez revoir la manière dont vous assurez, enregistrez et gérez le consentement des individus et savoir s’il y a des changements à effectuer. Le consentement doit être donné librement, spécifiquement, de manière informée et non ambiguë. Cela peut impacter les processus de recrutement car le consentement implicite n’est plus du tout permis, et pour devenir conforme au GDPR, vous devrez toujours attendre la permission ou l’acceptation explicite du candidat.
  6. Vous devez être sûr d’avoir la bonne procédure pour détecter, identifier et analyser les violations de données à caractère personnel.  Votre entreprise sera directement responsable et l’incident devra être notifié dans les 72 heures en suivant une procédure de notification préalablement définie et documentée.
    D’autre part, votre processus de sécurité doit assurer une couverture du stockage des documents électroniques et des accès aux données. Les CV ou documents légaux devront, par exemple, être conservés dans un lieu sécurisé ou dans une base de données sécurisée pour une durée limitée.
  7. La « Protection de la vie privée dès la conception » devient une condition légale, sous l’intitulé “Protection de la vie privée dès la conception et par défaut”. Dans certaines circonstances, il vous faudra même effectuer une “Analyse d’Impact relative à la Protection des Données” (ou DPIA pour Data Protection Impact Assessment) si l’utilisation des données est susceptible d’aboutir à un haut risque pour les individus.
    La protection des données “dès la conception” encourage les entreprises à sécuriser les données dès le début du traitement et à implémenter des mesures techniques et organisationnelles pour les sécuriser. Par exemple, il est recommandé d’utiliser la pseudonymisation et le cryptage lors du stockage de données.
    « Par défaut » signifie que les entreprises doivent s’assurer que les données personnelles sont collectées et traitées avec une protection maximale de la vie privée tout au long du processus.
  8. Vous devrez désigner un responsable de la protection des données qui prendra la responsabilité du respect de la protection des données.
  9. Si votre organisation opère dans plus qu’un pays membre de l’Union Européenne, vous devrez déterminer votre principale autorité de supervision de la protection des données et la documenter.

Astuces  

  • Il existe plusieurs boîtes à outils qui peuvent vous aider à devenir conforme au RGPD. De nombreuses entreprises proposent des modèles et templates de documents RGPD qui sont très complets mais coûtent assez cher.
  • Vous pouvez aussi engager un consultant interne ou externe ou chercher des conseils professionnels.
  • Vous pouvez vous renseigner sur la « Pseudonymisation » et réduire ainsi le risque lié au traitement des données.
  • Vous pouvez faire l’usage de services externes « Plug&Play » qui sont déjà conformes au RGPD pour vos tâches quotidiennes liées à la privatisation des données de vos employés.
  • L’automatisation du processus de recrutement et du stockage de documents légaux est une technologie en plein essor, elle apporte un grand gain de temps aux recruteurs et les entreprises qui fournissent ces services sont généralement déjà conformes au GDPR. Plus d’informations à ce sujet dans l’article «Automatisation des processus RH ».

 

Plus d’infos sur GDPR et son impact sur le processus de recrutement ?

https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

http://www.boweneldridge.co.uk/the-impact-of-gdpr-on-hr-recruitment/

https://www.recruitment-software.co.uk/gdpr-compliance-toolkit-recruitment-agencies/

https://www.recruitment-software.co.uk/how-will-gdpr-impact-recruitment-agencies/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s