RGPD et logiciel de recrutement : les obligations de votre outil RH
Mise en ligne le vendredi 18, décembre 2020
Mise à jour le mercredi 15 janvier 2025
Comment s’assurer que votre logiciel de recrutement est conforme au RGPD ?
RGPD et logiciel de recrutement… Comment s’assurer de la conformité de votre outil de recrutement avec le règlement européen sur la protection des données ? C’est une question que se posent moults recruteurs et recruteuses depuis 2018 ! Pour vous permettre d’y voir plus clair, Beetween résume les rôles et obligations de toutes les parties prenantes d’un recrutement selon la CNIL.Découvrez comment vous assurer que votre logiciel de recrutement est bien conforme au RGPD !
Le RGPD résumé en 6 points essentiels
Depuis le 25 mai 2018, toutes les entreprises employant ou recrutant du personnel au sein de l’Union Européenne doivent se conformer aux exigences du RGPD, soit le Règlement pour la Protection des Données Personnelles. Avant d’aborder le RGPD et le recrutement de manière précise, résumons rapidement les principes fondamentaux du règlement européen. Les entreprises doivent répondre aux exigences suivantes :
- L’obtention du consentementLa collecte, le stockage, l’utilisation et toute autre forme de traitement des données personnelles doit être consentie de manière claire et explicite par les individus. Cet accord doit être accordé pour une durée précise et dans un but clair.
- La protection des données personnellesLesdonnées à caractère personnel récoltées doivent faire l’objet de processus techniques permettant de les protéger au cours de leur collecte, de leur hébergement et de leur transmission.
- Le contrôle des accès aux donnéesL’accès aux données personnelles doit être strictement encadré entre l’organisme collecteur de ces informations, les personnes en charge de leur traitement et l’individu concerné.
- Le droit à l’oubliLes données récoltées sur un individu doivent être facilement consultables par ce dernier et lui permettre, s’il émet le souhait, de les modifier ou de les supprimer. La suppression doit être aussi simple et rapide que la demande de consentement.
- La portabilité des donnéesC’est l’un des enjeux majeurs du RGPD. Les données personnelles récoltées par un service en ligne doivent être facilement téléchargeables dans leur intégralité par tout individu qui en fait la demande afin de les transférer chez un autre prestataire.
- L’obligation d’information en cas de violation des donnéesEn cas de défaillance de la sécurité des données personnelles, le Délégué à la Protection des Données (DPO) doit en informer la CNIL sous 72h, sous peine de sanction RGPD.
Le principe du RGPD en recrutement
Lors d’un recrutement, ou dans le cadre de vos actions de sourcing de CV, vous êtes amené à récolter des données à caractère personnel sur les profils repérés ou sur les candidats qui postulent. Vous avez alors l’obligation de bien informer les candidats de la collecte et du traitement de leurs données personnelles de recrutement. Si vous utilisez un ATS, selon le RGPD votre logiciel de recrutement doit faire apparaître certaines mentions légales en fonction du support utilisé pour la collecte des données (formulaire de contact, questionnaire candidat, etc) :
- Les informations permettant d’identifier la société traitant les données : Nom, adresse, numéro RCS.
- Une adresse e-mail de contact, permettant aux individus de joindre la société pour toute demande en lien avec le traitement des données personnelles.
- Un énoncé clair expliquant le but de la collecte ainsi que l’entité ou les personnes destinataires de ces données.
- La durée de conservation des données suite à accord, comme par exemple la durée de conservation des candidatures. En l’occurrence, selon la CNIL, la durée de conservation des données rh est de 2 ans après le dernier contact avec un candidat.
Découvrez comment Beetween sécurise vos données !
Les rôles et obligations d’un ATS conforme au RGPD
Avant toute chose, penchons-nous sur la recommandation de la CNIL en recrutement. Cette dernière considère en effet les logiciels de recrutement comme des sous-traitants de données. Cela signifie pour vous qu’ils ne collectent pas de données pour leur propre compte, et donc qu’ils ne peuvent être tenus pour responsables du traitement des données personnelles collectées pour un organisme tiers. C’est aux entreprises qui recrutent, et qui utilisent un logiciel ATS, de déclarer à la CNIL leurs différentes bases de données RH, comme une CVthèque ou n’importe quel autre fichier rassemblant des éléments de candidatures.Venons-en à présent aux obligations RGPD d’un logiciel de recrutement. Pour être conforme aux exigences du règlement européen, un logiciel ATS doit apporter les preuves suivantes.
Obligation de transparence et de traçabilité
En résumé, votre prestataire doit s’engager à vous fournir un outil de recrutement qui permet à votre entreprise de vous conformer aux exigences du RGPD en recrutement. Pour ce faire, cela implique plusieurs actions de votre côté :
- Dans le contrat de prestation, définissez avec précision les rôles et obligations de chaque partie prenante.
- Les missions de l’éditeur du logiciel de recrutement et vos instructions s’y rapportant doivent être notifiées par écrit dans le contrat. Ceci vous permettra de prouver que ce sous-traitant de données agit pour le compte de votre société.
- Si l’éditeur de logiciel de recrutement fait lui-même appel à un autre sous-traitant (par exemple, si un logiciel de recrutement intègre les fonctionnalités d’un logiciel de visioconférence payant), veillez à bien notifier votre accord par écrit.
- Assurez-vous que votre l’éditeur de votre logiciel ATS tient à jour une cartographie complète des données collectées, ainsi qu’un registre recensant les modalités ainsi que tout l’historique du traitement de données effectué pour votre compte.
Prise en compte des principes de protection
Un éditeur de logiciel de gestion de recrutement doit être en mesure de vous garantir que son logiciel RH respecte la réglementation édictée par le RGPD et la CNIL en recrutement, et ce dès sa conception. Il doit aussi garantir que, par défaut, seules les données nécessaires à la finalité du traitement seront collectées. Ainsi, les données collectées dans le cadre d’un recrutement ne doivent être exploitées à la seule fin d’évaluer la capacité du candidat à occuper le poste proposé. Vous pouvez donc collecter les données en lien avec les qualifications, les compétences, l’expérience… Il est en revanche interdit de demander le numéro de sécurité sociale, ou des informations en lien avec sa famille, ses croyances religieuses, ses opinions politiques ou encore son appartenance syndicale.
Obligation de garantir la sécurité des données collectées
Évidemment, un logiciel ATS a pour obligation de sécuriser le stockage et l’accès aux données personnelles collectées. Au-delà de restreindre l’accès à ces informations aux seules personnes habilitées à les traiter, votre sous-traitant doit aussi s’assurer que ses employés sont soumis à une obligation de confidentialité. Selon la CNIL, « […]seules les personnes intervenant dans le processus de recrutement peuvent accéder aux informations d’un candidat.«
Obligation d’assistance, d’alerte et de conseil
Comme évoqué précédemment dans cet article, votre logiciel de recrutement doit vous avertir rapidement en cas de violation des données personnelles. Mais au-delà d’une intervention externe, il a aussi pour obligation de vous informer si l’une de vos instructions relatives au traitement des données personnelles constitue une entorse aux exigences du RGPD. Plus encore, il doit obligatoirement vous avertir si un(e) individu(e) souhaite exercer son droit d’accès, de modification ou de suppression de données.
Les avantages d’un logiciel de recrutement en matière de protection des données
Maintenant que nous avons fait le point sur les aspects légaux du traitement de données personnelles avec un logiciel de recrutement, quel intérêt avez-vous à faire appel à ce type d’outil ?
Des outils conçus pour être conformes au RGPD
Chez Beetween, nous savons que le RGPD est une source d’inquiétudes au sein de nombreuses entreprises depuis 2018. Si les bases légales englobent d’une manière très générale les différentes typologies de traitement des données personnelles, il peut être difficile d’y voir clair sur les spécificités de chaque secteur d’activité. Ainsi, nous n’avons pas attendu la mise en application du RGPD pour nous plier aux recommandations de la CNIL en France en matière de traitement des données personnelles. En optant pour un logiciel de recrutement comme Beetween, vous avez donc l’assurance de vous conformer aux exigences du RGPD.
Centralisation des données pour une utilisation plus efficace
Vous utilisez une adresse e-mail pour communiquer avec les candidats, un tableur Excel pour recenser les profils pertinents et un classeur pour compiler les CV ? Au fur et à mesure des campagnes de recrutement, vous accumulez ainsi des données : des CV, des e-mails, des SMS, des fiches candidat… Mais nous avons pu voir que la CNIL demande à ce que toutes les données soient supprimées 2 ans maximum après le dernier contact avec un candidat. Alors comment mettre à jour toutes ces données collectées ? Comment regrouper toutes les informations concernant un candidat ?Avec un logiciel ATS comme Beetween, toutes ces données sont centralisées dans l’outil. Vous pouvez donc les consulter, les modifier ou les supprimer directement depuis l’interface Beetween. Un gain de temps considérable !
Transparence auprès des candidats
Savez-vous que certains logiciels ATS comme Beetween permettent d’envoyer des campagnes d’e-mails ou de SMS à une sélection de candidats ? Nous offrons aussi la possibilité de pré-enregistrer des modèles d’e-mails ou de SMS qui soient conformes aux directives du RGPD ou de la CNIL. Grâce à ces modèles d’e-mails de confirmation de candidature, les candidats ont accès aux coordonnées à contacter pour faire valoir leurs droits de modification et de suppression de leurs données. Cette transparence avec les candidats peut être particulièrement bénéfique pour votre marque employeur, permettant de véhiculer une image positive de votre entreprise.
Beetween vous permet également de paramétrer la durée de conservation des données candidats suite au dernier contact avec ces derniers. Ainsi, les candidatures seront supprimées automatiquement en fonction de leur date d’expiration : vous pourrez également les alerter quelques jours / semaines avant suppression pour leur permettre de prolonger la conservation de leurs données candidat, si intérêt.