Le RGPD, le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (en anglais GDPR pour General Data Protection Regulation), entr\u00e9 en vigueur le 24 mai 2016, sera effectif \u00e0 partir du 25 mai 2018. Cette r\u00e9glementation qui concerne les pays de l\u2019UE et vise \u00e0 uniformiser le niveau de protection, inqui\u00e8te d\u2019ores et d\u00e9j\u00e0 de nombreuses entreprises. Base de CV, process de recrutement, donn\u00e9es g\u00e9r\u00e9es par les Ressources Humaines sont bien sur concern\u00e9es.<\/strong><\/p>\n Les entreprises et les RH vont devoir repenser leurs process li\u00e9s \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel. Elles devront en effet r\u00e9pondre \u00e0 un ensemble de nouvelles r\u00e8gles (consentement pour chaque traitement de donn\u00e9es personnelles, droit \u00e0 l’oubli, champ d’application territorial \u00e9tendu, etc.) sous peine de s\u2019exposer \u00e0 de tr\u00e8s lourdes sanctions. Quels sont donc les d\u00e9fis et pi\u00e8ges redout\u00e9s pour cette impl\u00e9mentation\u00a0? \u00c9l\u00e9ments de r\u00e9ponses et conseils pour r\u00e9ussir au mieux sa mise en conformit\u00e9.<\/p>\n D\u2019ici quatre mois, toute entreprise ou organisation\u00a0touchant de pr\u00e8s ou de loin aux donn\u00e9es personnelles des r\u00e9sidents de l\u2019Union europ\u00e9enne devra mettre en \u0153uvre les\u00a0mesures techniques\u00a0et\u00a0organisationnelles appropri\u00e9es afin de garantir\u00a0\u00ab\u00a0la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9, la disponibilit\u00e9 et la r\u00e9silience constantes des syst\u00e8mes et des services de traitement\u00a0\u00bb<\/em>. De nombreuses entreprises et particuli\u00e8rement celles du num\u00e9rique d\u00e9noncent l\u2019acharnement d\u2019un nouveau r\u00e8glement qui semblerait complexifier la vie des entreprises. Jean-David Chamboredon, copr\u00e9sident de France Digitale\u00a0: \u00ab\u00a0Il faut jouer collectif et lever le pied sur le RGPD, qui, sous couvert de protection des consommateurs, fait le jeu des GAFA\u00a0\u00bb.\u00a0 Le point de vue de l\u2019UE, est de cr\u00e9er une forme de protectionnisme pour laisser les entreprises d\u00e9velopper des services entre autres li\u00e9s \u00e0 l\u2019Intelligence Artificielle. Quels sont donc ces donn\u00e9es tant \u00e9voqu\u00e9es\u00a0? Il en existe principalement deux\u00a0: \u00a0structur\u00e9e\/ non-structur\u00e9e<\/p>\n La structur\u00e9e<\/strong> est contenue dans les applicatifs m\u00e9tiers, les entreprises vont devoir mettre en place des outils et des bonnes pratiques pour identifier la donn\u00e9e personnelle et garantir, en cas de demande d’un utilisateur, son extraction, son annulation, sa suppression et son anonymisation. Les logiciels de gestion des RH, les ATS, ou Linkedin sont des exemples de donn\u00e9es structur\u00e9es.<\/p>\n<\/li>\n La donn\u00e9e non-structur\u00e9e<\/strong> est plus complexe \u00e0 traiter. Totalement dispers\u00e9e dans les entreprises, elle est g\u00e9r\u00e9e par les m\u00e9tiers (RH, commerciaux, marketing, services g\u00e9n\u00e9raux, etc.), par les utilisateurs internes et externes et est sur des serveurs de fichiers, dans des Dropbox, sur des disques durs externes, et autres.\u00a0Il est donc plus complexe de conna\u00eetre son lieu de stockage et d’identifier les personnes autoris\u00e9es \u00e0 la consulter. Les CV contenus dans des emails, stock\u00e9s dans des dossiers partag\u00e9s, des Excel recap des candidats vus\u2026sont autant d\u2019exemple de donn\u00e9es non structur\u00e9es et souvent mal maitris\u00e9es par les RH.<\/p>\n<\/li>\n<\/ul>\n Les nouvelles r\u00e8gles RGPD et la diff\u00e9renciation des donn\u00e9es visent \u00e0 r\u00e9\u00e9quilibrer les relations entre les citoyens europ\u00e9ens et les entreprises. Parmi ces nouvelles r\u00e8gles se trouve le droit \u00e0 la portabilit\u00e9 \u00e9voqu\u00e9 ci-dessus. Ce dernier impose aux entreprises de mettre \u00e0 disposition de leurs utilisateurs leurs donn\u00e9es personnelles dans un format exploitable (donn\u00e9es nominatives, de consommation, etc.). Chaque individu peut ainsi r\u00e9utiliser ses propres donn\u00e9es comme il le souhaite, dans les services de son choix. Exemple\u00a0: vous chassez sur Linkedin ou autre base de profils \/ CV), vous rattachez des notes au profil, vous exportez les donn\u00e9es dans votre outil de gestion du recrutement (ATS) ou de gestion des talents. Non en l\u2019\u00e9tat actuel de l\u2019exemple.<\/p>\n<\/li>\n Oui si vous validez ces points pour \u00eatre conforme :<\/p>\n Le consentement au traitement des donn\u00e9es\u00a0<\/strong>: vous devez demander leur consentement aux candidats que vous souhaitez ajouter \u00e0 vos viviers.<\/p>\n<\/li>\n Le droit \u00e0 l\u2019information<\/strong>\u00a0: Les candidats doivent pouvoir consulter les informations stock\u00e9es les concernant (nom et pr\u00e9nom, email, CV, etc.) via une page web unique, et modifier ou supprimer ces donn\u00e9es.<\/p>\n<\/li>\n Le droit \u00e0 l\u2019oubli<\/strong>\u00a0: Les candidats pourront demander la suppression int\u00e9grale de leurs donn\u00e9es.<\/p>\n<\/li>\n La fuite de donn\u00e9es<\/strong>\u00a0: En cas de fuite de donn\u00e9es, vous devez pouvoir rapidement et facilement en notifier tous les candidats dans le d\u00e9lai de 48H fix\u00e9 par la loi.<\/p>\n<\/li>\n S\u00e9curit\u00e9, confidentialit\u00e9 et sauvegarde des donn\u00e9es<\/strong>\u00a0: stocker vos donn\u00e9es sur des serveurs dans l\u2019Union Europ\u00e9enne.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n Une bonne approche donc, pour \u00eatre tranquille, sera d\u2019utiliser un service conforme au RGPD. C\u2019est le cas par exemple de Linkedin qui se met en conformit\u00e9 (choix d\u2019Alta\u00efde qui g\u00e8re tout le process de ses recrutements dans Recruiter), ou des \u00e9diteurs de logiciels recrutement \/ ATS comme Talensoft. Syst\u00e8me cl\u00e9 de cette nouvelle r\u00e9glementation, les RH vont ainsi voir leur travail repens\u00e9 et modifi\u00e9 avec cette mise en conformit\u00e9. Des d\u00e9marches cl\u00e9s vont lui incomber\u00a0: d\u00e9signation d\u2019un DPO externe, audit de conformit\u00e9, formaliser un r\u00e9f\u00e9rentiel s\u00e9curit\u00e9, former le personnel, r\u00e9aliser une \u00e9tude d\u2019impact\u2026 Pour la majorit\u00e9 des experts interrog\u00e9s, malgr\u00e9 les controverses, le RGPD constitue en tous cas une v\u00e9ritable opportunit\u00e9 pour les entreprises de mieux analyser leur exposition aux risques et faire de la conformit\u00e9 au texte un avantage concurrentiel en augmentant le niveau de confiance de ses salari\u00e9s, clients et partenaires.<\/strong> Article \u00e9crit en se documentant entre autres \u00e0 travers des avis d\u2019expert, les articles de Frenchweb et sur les sites de Linkedin<\/a> et Talensoft<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" RGPD et Recrutement Le RGPD, le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (en anglais GDPR pour General Data Protection Regulation), entr\u00e9 en vigueur le 24 mai 2016, sera effectif \u00e0 partir du 25 mai 2018. Cette r\u00e9glementation qui concerne les pays de l\u2019UE et vise \u00e0 uniformiser le niveau de protection, inqui\u00e8te d\u2019ores et […]<\/p>\n","protected":false},"author":2,"featured_media":15925,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[498],"tags":[324,655,658,380,652,628,277,649,410],"acf":[],"_links":{"self":[{"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/posts\/15919"}],"collection":[{"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/comments?post=15919"}],"version-history":[{"count":7,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/posts\/15919\/revisions"}],"predecessor-version":[{"id":18072,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/posts\/15919\/revisions\/18072"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/media\/15925"}],"wp:attachment":[{"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/media?parent=15919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/categories?post=15919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.altaide.com\/wp-json\/wp\/v2\/tags?post=15919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Une \u00e9volution, pas une r\u00e9volution <\/strong><\/h3>\n
\nComplexe \u00e0 premi\u00e8re vue, cette r\u00e9glementation vient pourtant clarifier une situation jusqu\u2019ici insuffisamment claire au niveau europ\u00e9en. Chaque entreprise doit mettre en place une politique interne afin de respecter les droits des utilisateurs d\u2019un c\u00f4t\u00e9 et les imp\u00e9ratifs li\u00e9s \u00e0 son activit\u00e9, de l\u2019autre. La r\u00e9glementation vient ici prolonger le travail amorc\u00e9 avec la CNIL (1995) et la transformation digitale.<\/p>\nUne fronde autour du projet\u00a0et sa mise en place<\/strong><\/h3>\n
\nOn peut toujours discuter de ces points de vue, mais pour l\u2019heure l\u2019essentiel \u00e0 retenir est que la directive doit \u00eatre appliqu\u00e9e dans vos entreprises.<\/p>\nUne diff\u00e9renciation de donn\u00e9es et un droit \u00e0 la portabilit\u00e9<\/strong><\/h3>\n
\n
Un impact sur les RH et leurs fonctionnements<\/strong><\/h3>\n
\nDans le cas d\u2019un recruteur d\u2019entreprise ou d\u2019un cabinet de recrutement comme Alta\u00efde, l\u2019enrichissement d\u2019un profil candidat \u00e0 partir d\u2019entretiens, d\u2019une analyse du march\u00e9 sera prot\u00e9g\u00e9e et nous aurons la possibilit\u00e9 de transf\u00e9rer ces donn\u00e9es d\u2019une plateforme \u00e0 une autre (Linkedin, Talensoft, et autres offrent cette possibilit\u00e9). Une fois vos donn\u00e9es transf\u00e9r\u00e9es, attention \u00e0 garder la possibilit\u00e9 aux personnes de modifier et ou demander la suppression de ses donn\u00e9es personnelles.<\/p>\nPour le recrutement la difficult\u00e9 va \u00eatre de bien poser les limites. <\/strong><\/h3>\n
\n\u00cates-vous conforme au RGPD\u00a0?<\/p>\n\n
\n
\nLes recruteurs ou les cabinets qui continuent \u00e0 \u00ab\u00a0bricoler\u00a0\u00bb en rapatriant des profils ou des CV de candidats sans leur consentement dans leur base de donn\u00e9es (structur\u00e9e ou non) seront donc hors la loi.<\/p>\nUn r\u00f4le important pour les RH<\/strong><\/h3>\n
\nD\u00e8s lors, et au vu des \u00e9l\u00e9ments \u00e9voqu\u00e9s tout au long de l\u2019article, on comprend ais\u00e9ment que la bonne r\u00e9ussite de l\u2019int\u00e9gration RGPD r\u00e9sidera dans la capacit\u00e9 RH d\u2019une entreprise \u00e0 prendre la mesure de cette transformation, et la mener \u00e0 bien, en interne, ou externe pour les plus petites entreprises qui d\u00e9l\u00e8gueront.<\/p>\nConclusion<\/strong><\/h3>\n
\nPour les RH et recruteurs, c\u2019est un gros coup d\u2019arr\u00eat aux pratiques artisanales non maitris\u00e9es des process de recrutement et de conservation des donn\u00e9es.<\/strong><\/p>\n