RGPD : quelles conséquences pour les professionnels du recrutement ?
Depuis le 25 mai dernier, le Règlement Général de la Protection des Données ou RGPD est entré en application en France et dans toute l’Europe. Et même s’il faut bien avouer que nos messageries ont plutôt mal vécu ce flot de mails (et nous aussi !), cette loi est une vraie avancée en termes de protection des consommateurs.
Derrière l’objectif de renforcer le droit pour le partage et la sécurisation des données personnelles des citoyens européens, se cache un vrai casse-tête pour les entreprises qui traitent des données personnelles, comme les cabinets de recrutement. Avec de nouvelles obligations sur la transparence, le contrôle, la sécurisation et le risque de lourdes sanctions en cas de manquement, les PME, TPE et startups n’ont pas forcément les moyens de s’armer de conseillers experts en la matière. Mélanie Renel, notre DPO (Data Protection Officer) et bien renseignée sur le RGPD nous répond.
Quelles démarches ont été mises en place par votre cabinet de recrutement dans le cadre du RGPD ?
La première étape a été d’établir un plan d’action et nommer un référent dans l’entreprise. J’ai été désignée DPO chez Happy to meet you mais je travaille avec le soutien de l’équipe Marketing et de la Direction. Les informations sur le RGPD me sont transmises mais ce sont les webmarketeurs et les recruteurs qui réalisent les actions. C’est un avantage de travailler en cohésion avec l’ensemble de l’équipe sur ce nouveau règlement au sein de l’entreprise. En tant que cabinet de recrutement, nous collectons de nombreuses données personnelles sur nos candidats, ce qui est le cas de tous les services RH. Les premières actions que nous allons mettre en place sont le tri de notre base de données et la consultation de nos abonnés sur les autorisations d’exploitation de leurs données personnelles.
As-tu rencontré des problèmes dans la mise en place du RGPD au sein d’Happy to meet you ?
Nous ne rencontrons pas de problèmes particuliers dans la mise en place du RGPD car les données qui sont fournies à notre cabinet de recrutement sont transmises volontairement par les candidats qui cherchent un emploi. Malgré tout, il est important d’être plus rigoureux sur certaines modalités comme la durée de conservation de leur CV et autres données, ainsi que la sécurisation d’accès à ces données.
Les Ressources Humaines et les cabinets de recrutement sont-ils plus impactés par le RGPD que les autres domaines d’activité ?
Chaque domaine d’activité récolte des données différentes. Dans notre société de conseil RH, nous ne possédons pas réellement de données sensibles telles que des datas sur la santé, les données bancaires ou encore les opinions politiques. En tant que professionnels du recrutement, nous avons des données personnelles qui permettent de joindre la personne ainsi que son parcours professionnel, qui est diffusé volontairement, dans le cadre de la candidature. Le recrutement est un domaine qui sera sûrement concerné par le RGPD après d’autres domaines d’activité au niveau du contrôle. Le nouveau droit pour les internautes va permettre de transférer les données à un autre fournisseur. Par exemple, il est possible qu’un candidat nous demande de transférer l’ensemble des données personnelles que nous possédons le concernant vers un autre cabinet de recrutement. Nous n’avons pas de données très sensibles sur les candidats donc pour l’instant, la priorité reste de respecter la vie privée.
Quels types de données personnelles sont à disposition des cabinets de recrutement / conseil RH ?
Ce sont des données qui permettent d’identifier les candidats, c’est-à-dire un numéro de téléphone, un mail, des photos et bien sûr le parcours professionnel. Ces données sont la base commune à tous les candidats. Dans le cadre d’un recrutement, nous allons chercher d’autres informations comme par exemple des tests de vérification Assessfirst, mais à chaque fois, nous demandons l’accord du candidat qui a lui-même accès à ses résultats. Happy to meet you ne transfère pas les données hors de l’UE. Toutes ces données restent très locales et nous ne les revendons pas, comme cela peut être le cas dans le marketing.
Les données possédées par les RH étaient-elles suffisamment protégées avant le RGPD ?
Avant, il y avait la CNIL qui contrôlait l’exploitation des données personnelles des citoyens mais il est vrai que le RGPD va pouvoir donner un cadre ainsi que du sens au big data. Nous ne savons jamais trop ce que nous donnons comme informations, ce qu’elles vont devenir et certaines personnes ne font plus confiance comme nous pouvons le voir avec la hausse des désinscriptions sur Facebook. Toute cette agitation a généré une appréhension des internautes à fournir des informations personnelles en ligne et un certain flou juridique. Tout cela va se mettre en place progressivement, le RGPD présente plein d’avantages pour l’utilisateur même si cela engendre beaucoup de travail. La loi est votée depuis 2016 mais tout le monde en parle et s’y intéresse actuellement car c’est obligatoire depuis le 25 mai dernier, mais on constate que les grands Groupes sont déjà prêts. Chez Happy to meet you, à notre échelle, nous sommes déjà sensibles à tout ce qui est images et données, nous demandons l’autorisation avant les diffusions mais maintenant la démarche est plus formelle, cadrée et sécurisée.
Qu’est-ce-que le RGPD va changer pour les recruteurs ?
Comme ce sont les candidats qui nous transmettent directement leurs données, le RGPD n’est pas un obstacle pour les recruteurs et cabinets de recrutement. Il s’agira plus de réfléchir sur l’exploitation que nous faisons des données comme par exemple s’il est possible de recontacter une personne 2 ou 3 ans plus tard ainsi que de gérer des données « non structurées » c’est-à-dire des données transmises par mails ou échangées par téléphone lors d’entretiens. Au final, ce n’est pas une contrainte pour les recruteurs mais il s’agit de se mettre en conformité.
Les données personnelles ne peuvent être désormais conservées que provisoirement par une entreprise. Cela peut-il être nuisible pour les recruteurs qui possèdent un vivier de candidats potentiels ?
Cela ne pose pas de problème à partir du moment où le candidat est au courant des informations que nous possédons sur lui et qu’il y a accès afin de pouvoir les modifier ou les supprimer quand il le souhaite. Sa demande sera effective dans le mois qui suit.
Qu’en est-il pour les prestataires externes à l’entreprise ?
Pour ceux qui ne sont pas déjà conformes, c’est en train de se mettre en place de leur côté. Nous avons des contrats, donc tout le monde est dans la démarche. Il est nécessaire que tous les prestataires et les fournisseurs soient conformes au RGPD.
L’entreprise risque-t-elle une sanction en cas de non-conformité de la part des prestataires externes à l’entreprise ?
Justement, pour que nous soyons conformes au RGPD, il est obligatoire que nos fournisseurs le soient également, c’est un peu de l’auto-contrôle. Il peut tout de même y avoir une certaine souplesse le temps que tout se mette en place mais de toute manière, tout le monde est dans la démarche. C’est à nous de contrôler nos fournisseurs et eux aussi peuvent nous demander la même chose en retour.
Quels vont être les impacts (positifs ou négatifs) les plus lourds pour Happy to meet you ?
Pour les impacts positifs, je dirais que cela va nous obliger à être plus rigoureux dans la gestion des profils que l’on reçoit, classer chaque donnée selon des critères. On va créer des registres dans lesquels on classe les données et c’est un avantage car on pourra faire du tri. Cela permettra également de mieux communiquer, car selon les informations que nous pourrons exploiter avec l’accord des personnes, il sera possible de cibler nos communications comme les newsletters vers des personnes vraiment intéressées dans le but d’améliorer l’engagement. Du côté plus négatif, il y a le manque de visibilité des politiques de confidentialité, qui sont souvent écrites en petit et difficiles à comprendre, ce qui peut être très désagréable et faire peur. Chez Happy to meet you, nous avons une communication assez libérée et décalée et nous comptons garder cet esprit. Il est possible d’expliquer aux utilisateurs très simplement sur une page ou dans un mail l’exploitation de leurs données sans prendre un air grave et ce sera à la personne de décider de continuer ou non l’aventure avec nous.