8 mars 2018
RGPD: Quelles conséquences pour le recrutement et les RH ?

Le RGPD, le Règlement général sur la protection des données (en anglais GDPR pour General Data Protection Regulation), entré en vigueur le 24 mai 2016, sera effectif à partir du 25 mai 2018. Cette réglementation qui concerne les pays de l’UE et vise à uniformiser le niveau de protection, inquiète d’ores et déjà de nombreuses entreprises. Base de CV, process de recrutement, données gérées par les Ressources Humaines sont bien sur concernées.

Les entreprises et les RH vont devoir repenser leurs process liés à la protection des données à caractère personnel. Elles devront en effet répondre à un ensemble de nouvelles règles (consentement pour chaque traitement de données personnelles, droit à l’oubli, champ d’application territorial étendu, etc.) sous peine de s’exposer à de très lourdes sanctions. Quels sont donc les défis et pièges redoutés pour cette implémentation ? Éléments de réponses et conseils pour réussir au mieux sa mise en conformité.

Une évolution, pas une révolution

D’ici quatre mois, toute entreprise ou organisation touchant de près ou de loin aux données personnelles des résidents de l’Union européenne devra mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Complexe à première vue, cette réglementation vient pourtant clarifier une situation jusqu’ici insuffisamment claire au niveau européen. Chaque entreprise est ici tenue de mettre en place une politique interne afin de respecter les droits des utilisateurs d’un côté et les impératifs liés à son activité, de l’autre. La réglementation vient ici prolonger le travail amorcé avec la CNIL (1995) et la transformation digitale.

Une fronde autour du projet et sa mise en place

De nombreuses entreprises et particulièrement celles du numérique dénoncent l’acharnement d’un nouveau règlement qui semblerait complexifier la vie des entreprises. Jean-David Chamboredon, coprésident de France Digitale : « Il faut jouer collectif et lever le pied sur le RGPD, qui, sous couvert de protection des consommateurs, fait le jeu des GAFA ».  Le point de vue de l’UE, est de créer une forme de protectionnisme pour laisser les entreprises développer des services entre autres liés à l’Intelligence Artificielle.
On peut toujours discuter de ces points de vue, mais pour l’heure l’essentiel à retenir est que la directive doit être appliquée dans vos entreprises.

Une différenciation de données et un droit à la portabilité

Quels sont donc ces données tant évoquées ? Il en existe principalement deux :  structurée/ non-structurée

  • La structurée est contenue dans les applicatifs métiers, les entreprises vont devoir mettre en place des outils et des bonnes pratiques pour identifier la donnée personnelle et garantir, en cas de demande d’un utilisateur, son extraction, son annulation, sa suppression et son anonymisation. Les logiciels de gestion des RH, les ATS, ou Linkedin sont des exemples de données structurées.

  • La donnée non-structurée est plus complexe à traiter. Totalement dispersée dans les entreprises, elle est gérée par les métiers (RH, commerciaux, marketing, services généraux, etc.), par les utilisateurs internes et externes et est sur des serveurs de fichiers, dans des Dropbox, sur des disques durs externes, et autres. Il est donc plus complexe de connaître son lieu de stockage et d’identifier les personnes autorisées à la consulter. Les CV contenus dans des emails, stockés dans des dossiers partagés, des Excel recap des candidats vus…sont autant d’exemple de données non structurées et souvent mal maitrisées par les RH.

Un impact sur les RH et leurs fonctionnements

Les nouvelles règles RGPD et la différenciation des données visent à rééquilibrer les relations entre les citoyens européens et les entreprises. Parmi ces nouvelles règles se trouve le droit à la portabilité évoqué ci-dessus. Ce dernier impose aux entreprises de mettre à disposition de leurs utilisateurs leurs données personnelles dans un format exploitable (données nominatives, de consommation, etc.). Chaque individu peut ainsi réutiliser ses propres données comme il le souhaite, dans les services de son choix.
Dans le cas d’un recruteur d’entreprise ou d’un cabinet de recrutement comme Altaïde, l’enrichissement d’un profil candidat à partir d’entretiens, d’une analyse du marché sera protégée et nous aurons la possibilité de transférer ces données d’une plateforme à une autre (Linkedin, Talensoft, et autres offrent cette possibilité). Une fois vos données transférées, attention à garder la possibilité aux personnes de modifier et ou demander la suppression de ses données personnelles.

Pour le recrutement la difficulté va être de bien poser les limites.

Exemple : vous chassez sur Linkedin ou autre base de profils / CV), vous rattachez des notes au profil, vous exportez les données dans votre outil de gestion du recrutement (ATS) ou de gestion des talents.
Êtes-vous conforme au RGPD ?

  • Non en l’état actuel de l’exemple.

  • Oui si vous validez ces points pour être conforme :

    • Le consentement au traitement des données : vous devez demander leur consentement aux candidats que vous souhaitez ajouter à vos viviers.

    • Le droit à l’information : Les candidats doivent pouvoir consulter les informations stockées les concernant (nom et prénom, email, CV, etc.) via une page web unique, et modifier ou supprimer ces données.

    • Le droit à l’oubli : Les candidats pourront demander la suppression intégrale de leurs données.

    • La fuite de données : En cas de fuite de données, vous devez pouvoir rapidement et facilement en notifier tous les candidats dans le délai de 48H fixé par la loi.

    • Sécurité, confidentialité et sauvegarde des données : il est recommandé de stocker ses données sur des serveurs dans l’Union Européenne.

Une bonne approche donc, pour être tranquille, sera d’utiliser un service conforme au RGPD. C’est le cas par exemple de Linkedin qui se met en conformité (choix d’Altaïde qui gère tout le process de ses recrutements dans Recruiter), ou des éditeurs de logiciels recrutement / ATS comme Talensoft.
Les recruteurs ou les cabinets qui continuent à « bricoler » en rapatriant des profils ou des CV de candidats sans leur consentement dans leur base de données (structurée ou non) seront donc hors la loi.

Un rôle important pour les RH

Système clé de cette nouvelle réglementation, les RH vont ainsi voir leur travail repensé et modifié avec cette mise en conformité. Des démarches clés vont lui incomber : désignation d’un DPO externe, audit de conformité, formaliser un référentiel sécurité, former le personnel, réaliser une étude d’impact…
Dès lors, et au vu des éléments évoqués tout au long de l’article, on comprend aisément que la bonne réussite de l’intégration RGPD résidera dans la capacité RH d’une entreprise à prendre la mesure de cette transformation, et la mener à bien, en interne, ou externe pour les plus petites entreprises qui délègueront.

Conclusion

Pour la majorité des experts interrogés, malgré les controverses, le RGPD constitue en tous cas une véritable opportunité pour les entreprises de mieux analyser leur exposition aux risques et faire de la conformité au texte un avantage concurrentiel en augmentant le niveau de confiance de ses salariés, clients et partenaires.
Pour les RH et recruteurs, c’est un gros coup d’arrêt aux pratiques artisanales non maitrisées des process de recrutement et de conservation des données.

Article écrit en se documentant entre autres à travers des avis d’expert, les articles de Frenchweb et sur les sites de Linkedin et Talensoft.

dolor. commodo nunc libero Sed amet, dapibus Nullam velit, quis,