Recrutement : les bonnes pratiques RGPD
Applicable depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) concerne tous les organismes au sein de l'Union Européenne et notamment les services RH dans la gestion du recrutement et, de manière générale, du personnel. La mise en conformité au RGPD est souvent associée aux données des clients et fournisseurs mais très peu aux salariés - bien que l'employeur soit le premier à traiter des données personnelles de salariés.
RGPD et RH : pourquoi sécuriser les données des employés ?
Les RH jouent un rôle très important dans la mise en place de la conformité au RGPD dans l'organisme puisqu'ils traitent des données personnelles des employés qui doivent être protégés. Ces données, qui peuvent être hautement personnelles voire sensibles, sont partagées au sein des différents services de l'entreprise (marketing, finance, vente...).
Il est primordial de protéger les données personnelles de nos collaborateurs dès la phase de recrutement afin de garantir un bon équilibre dans l'entreprise.
Voici les bonnes pratiques à adopter lors de la collecte de données personnelles dans la phase de recrutement :
- phase 1 : la collecte de données personnelles
- phase 2 : les informations complémentaires
- phase 3 : l'intégration du nouveau salarié
La collecte de données personnelles
Limitez la collecte de données personnelles : nom, prénom, adresse mail, numéro de téléphone, informations sur leur formation et expérience professionnelle.
Évitez de laisser les champs libres de textes ou bloc notes à travers lesquels les candidats peuvent vous fournir n’importe quelle information.
Rassurez les candidats sur le fait que vous ne traiterez pas d’informations à d’autres fins que de pour le recrutement.
Par ailleurs, vous pouvez demander de mentionner si la personne se trouve dans une situation de handicap, tout en justifiant votre obligation légale et politique de recrutement.
Pensez à regrouper les candidatures à un seul endroit (ex: une base de donnée, un dossier sur votre réseau interne, un classeur auprès de personnel responsable de recrutement). Ensuite, mettez en place une procédure effective de suppression, notamment de doublons et aussi les informations collectées après un délai identifié.
Exemples :
- supprimer les mails
- détruisez des CV papiers après scan
- paramétrer la suppression automatique après une durée de 2 ans (voire après 6 mois parce qu’en réalité les CV évoluent, en moyenne, tous les 6 mois)
Adoptez les mesures de sécurité pour protéger cette base de données à tout moment.
De plus, informez les candidats sur le sauvegarde de leurs informations pour la durée que vous choisissez.
Les informations complémentaires
Si vous demandez des informations complémentaires (exemples : les coordonnées de référents, les copies de certificats de diplômes, ou les casiers judiciaires aux candidats retenus), n’oubliez pas de les détruire ou restituer aux candidats.
Vous n’avez pas besoin de garder une copie de ces informations, une fois que vous avez vérifié ces informations.
Mentionnez dans le dossier candidats, uniquement que ces informations ont bien été vérifiées. Cette simple mention vous suffira pour le recrutement. Ne gardez surtout pas les casiers judiciaires.
L'intégration du nouveau salarié
Lors d’intégration du nouveau recruté, faites un tri d’informations que vous allez garder et basculez vers votre base “Collaborateurs”. Séparez cette base “Collaborateurs” de la base des candidats.
Veuillez bien informer les autres candidats si vous avez décidé de conserver leurs candidatures encore pendant un temps bien défini, en vue d’un éventuel poste.
Supprimez des informations dès lors qu’elles ne servent plus à atteindre l’objectif pour lequel celle-ci a été recueillie.
En bref, les actions sont simples :
- Limiter
- Informer
- Sécuriser
- Supprimer