RGPD & recrutement : Comment Beetween sécurise vos données ?
Mise en ligne le lundi 22, juin 2020
Mise à jour le mercredi 14 août 2024
L’impact du RGPD sur le recrutement et la sécurisation opérée par Beetween
Le Règlement Européen pour la Protection des Données personnelles (RGPD) oblige toutes les entreprises à prendre des mesures concernant la conservation des données : une étape importante dans le recrutement. Qu’est-ce que le RGPD et quel est son impact réel sur votre processus de recrutement ? Comment votre logiciel de recrutement Beetween protège les données récoltées ?
Le RGPD en quelques points
Qu’est-ce que le RGPD ?
Le RGPD, ou GDPR en anglais (General Data Privacy Regulation) est une réglementation européenne entrée en vigueur le 25 mai 2018. Il s’agit du référentiel sur la protection des données personnelles applicable au niveau de l’Union Européenne. Il vient renforcer l’ancienne loi française nᵒ 78-17 du 6 janvier 1978, appelée “Loi Informatique et Libertés ».
Cette réglementation vise à assurer la libre circulation des données dans l’Union Européenne tout en assurant leur sécurité, ainsi que l’accord préalable de leurs propriétaires. Comparativement à la loi Informatique et Libertés, le RGPD vient renforcer la notion d’accord préalable éclairé, ainsi que les sanctions applicables en cas de manquement des entreprises.
En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est en charge de faire respecter ce règlement. Elle a d’ailleurs mis à disposition des PME un guide d’accompagnement, rédigé en collaboration avec la BPI (Banque Publique d’Investissement).
Les grands principes du RGPD
Selon la CNIL, est considérée comme donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable »
. Les coordonnées d’entreprise n’entrent pas dans ce périmètre.
5 grands principes de droits sont appliqués à la protection des données :
- Le principe de finalité : les données récoltées ne peuvent servir à d’autres finalités que celles énoncées préalablement au propriétaire des données ; ce dernier doit obligatoirement donner un accord éclairé (il doit être prévenu de la raison pour laquelle la récolte de ces données est nécessaire) préalable à la collecte
- Le principe de proportionnalité et de pertinence : les données récoltées doivent être pertinentes et strictement nécessaires
- Le principe d’une durée de conservation limitée : les données récoltées ne peuvent être conservées de manière indéfinie
- Le principe de sécurité et de confidentialité : les données récoltées doivent être conservées de manière sécurisée et leur accès doit être limité ; cette notion est d’autant plus stricte sur les données personnelles dites sensibles, telles que les données médicales, les opinions politiques…
- Les droits des personnes : les données récoltées doivent être consultables, modifiables et/ou supprimables sur simple demande du propriétaire des données
RGPD en recrutement : frein ou levier pour mon entreprise ?
Le Règlement Européen pour la Protection des Données personnelles n’a pas été instauré pour imposer un règlement contraignant aux entreprises, bien au contraire. A l’heure où les citoyens du monde entier sont de plus en plus réservés sur le partage de leurs données personnelles avec les entreprises, être conforme au RGPD ne peut être qu’un atout.
En effet, le respect de la réglementation implique une organisation et une optimisation des processus de traitement des données agissant comme une réassurance auprès des consommateurs.
Le RGPD doit être considéré comme une réelle opportunité de mettre en valeur votre entreprise comme une société s’inscrivant dans un cercle vertueux, favorisant ainsi votre marque employeur.
Il est donc particulièrement important de le prendre en compte dans la gestion de vos recrutements.
RGPD et recrutement : les étapes à respecter pour être conforme
1. Nommez votre DPO
Le DPO (Data Protection Officer ou délégué à la protection des données personnelles) est la personne en charge de la construction et du suivi de votre projet de mise en conformité au RGPD. Il est le chef d’orchestre chargé de conseiller et d’informer le responsable des traitements des données afin d’assurer le respect du RGPD.
2. Construisez votre registre des données
Cette étape est certainement la plus importante : elle consiste à lister tous les traitements de données à caractère personnel de l’entreprise afin d’avoir une vue globale de vos traitements :
- Finalité
- Type de donnée
- Sécurité et droit d’accès à la donnée
- Durée de conservation
3. Faites le tri
Faites le tri des données personnelles que vous conservez et éliminez les données qui n’ont pas d’intérêt réel pour votre activité.
4. Informez vos utilisateurs et consommateurs
Le RGPD implique le respect du droit des personnes. De ce fait, vous devrez informer les personnes sur le traitement de toutes les données personnelles que vous récoltez (candidats, clients, salariés, …) :
- La finalité de conservation des données
- La durée de conservation
- Le droit d’accès, modification et suppression
- La sécurité de stockage et partage de ces données
5. Sécurisez vos données
Les données que vous stockez doivent être protégées et cryptées en fonction du niveau de risque associé en cas de violation. Mettez en oeuvre tous les processus pour sécuriser le stockage, les droit d’accès et le partage des données.
Le RGPD dans le cadre de mes recrutements
La récolte des données personnelles dans le cadre d’un recrutement
Bien qu’il soit évident que le candidat doit fournir ses données personnelles de contact lorsqu’il postule à une offre, vous devez tout de même lui donner des informations sur la manière dont vous allez traiter, conserver… ces données.
Si le candidat postule à une annonce que vous avez diffusée sur un jobboard, ce dernier va lui-même se charger de communiquer les informations principales. Toutefois, si le candidat est passé par votre site carrière (ou la page carrière de votre site vitrine), vous êtes seul responsable des informations communiquées. Il est alors capital de rédiger une page de Politique de traitement des données personnelles.
Tous les sites carrières développés par Beetween vous proposent une page de Politique de traitement des données personnelles par défaut. Cette page peut être personnalisée à volonté, dans le respect de la réglementation. De la même manière, un candidat ne peut valider son formulaire de candidature sans avoir, au préalable, confirmer son accord avec cette même politique de traitement des données personnelles.
Découvrez les sites carrières Beetween
Les informations récoltées devant être strictement nécessaires, nous vous conseillons vivement d’utiliser la fonctionnalité “Questionnaires » de Beetween afin de récolter plus de données sur le candidat tout en respectant le RGPD. Le questionnaire est construit sur mesure et peut-être envoyé automatiquement suite à une candidature.
En savoir plus sur les questionnaires
RGPD et recrutement : la gestion de CVthèque
La réglementation oblige la mise en place d’un processus de suppression des données personnelles des candidats dans un “délai raisonnable » après le dernier contact avec ce dernier. Ce processus de suppression doit être référencé dans le registre des traitements des données, qu’il soit automatisé, ou non. Si vous souhaitez conserver les données plus longtemps, il vous faudra entrer en contact avec le candidat afin qu’il vous donne son accord explicite.
La loi n’est pas plus précise sur le délai en question. Votre logiciel ATS Beetween est paramétré par défaut sur une suppression automatique après 24 mois. Vous pouvez toutefois modifier ce délai dans vos paramètres.
Quelques jours avant la suppression automatisée des candidatures arrivant à expiration, Beetween peut vous permettre d’envoyer un e-mail prévenant le candidat que toutes ses données vont être supprimées. Ainsi, si le candidat souhaite que vous conserviez ses données pour de futures opportunités de recrutement, un bouton d’action lui permettra de prolonger lui-même la durée de conservation de ses données.
En complément de la suppression automatique, vous gardez bien évidemment la main pour supprimer manuellement une fiche candidat. Cette suppression est définitive et englobe la totalité des données conservées sur le candidat.
Un des principes importants du RPGD est la possibilité d’accéder, de modifier et de supprimer les données pour le candidat. A chaque candidature, le logiciel de recrutement Beetween génère automatiquement un email d’accusé de réception de candidature contenant un lien lui permettant d’exercer ses droits.
Beetween, logiciel ATS conforme au RGPD en recrutement
Beetween s’inscrit depuis sa création dans une démarche de respect des normes réglementaires sur les données personnelles, exprimées dans la loi Informatique et Libertés de 1978, puis du RGPD.
En complément, Beetween procède de manière récurrente à des audits de sécurité.
Un audit de sécurité informatique est une procédure qui consiste à examiner et à évaluer tous les moyens mis en oeuvre pour assurer la sécurité informatique dans une organisation, afin de déterminer l’efficacité du système d’information en ce qui a trait à la garantie de l’intégrité et de la sécurité des données (définition de l’Office de la langue française).
Contrairement à la vérification informatique, un audit est l’ensemble des événements informatiques qui fait l’objet d’un examen critique poussé. L’audit est réalisé par un organisme externe et son objectif est de faire une analyse de l’efficacité de tous les contrôles et de la qualité de la sécurité informatique du logiciel.
Le référentiel d’audit informatique est basé sur :
- la politique de sécurité du système d’information (PSSI)
- la base documentaire du SI (système d’information)
- les réglementations propre à l’entreprise
- le respect des textes de loi
- les documents faisant référence dans le domaine de la sécurité informatique
De nombreux tests de sécurité sont donc réalisés lors des audits Beetween tels que des tests d’intrusion et vulnérabilités (tests d’injection SQL, par exemple).