RGPD et recrutement

Le RGPD impacte-t-il aussi les données personnelles des citoyens non-européens vivant dans l'UE ?

Le RGPD s'applique aux personnes qui se trouvent sur le territoire de l'Union Européenne quelle que soit sa nationalité.

Comment gérer la rétroactivité?

Si vous avez des candidats dans vos bases de données que vous souhaitez continuer à "utiliser", vous devez vous assurer que vous avez ledit consentement en application du RGPD. Concrètement, notre interprétation est qu'il conviendra de contacter la personne en question et de recueillir son consentement.

Quel est le rôle de la Commission Nationale de l'Informatique et des Libertés (CNIL) dans le cadre de la RGPD ?

La CNIL reste l'autorité nationale française en charge de "protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles".

Et surtout quel moyen de preuve avez-vous concernant l’acceptation expresse et claire du client qu’il faudra prouver en cas de contentieux ?

Là encore, il est possible de construire une “check box” prouvant que le candidat a bien lu la privacy policy et en cochant ladite case, le candidat donne son consentement. Le candidat ne peut pas aller plus loin dans le processus sans donner son consentement. Ledit consentement est conservé dans le profil du candidat avec une preuve écrite de la date du consentement dudit candidat.

Comment obtenir le consentement si je n'utilise pas d'ATS?

Vous devez mettre en place un processus et une documentation écrite vous permettant d'obtenir le consentement du candidat.

Comment obtenir le consentement des candidats dans les salons de recrutement ?

Théoriquement, il convient de leur communiquer votre déclaration de respect de la vie privée ("privacy policy") et obtenir leur consentement. Mais avant tout, il faut en principe que vous ayez un interêt légitime (p. ex. un poste a pourvoir) pour pouvoir les contacter.

Comment avoir le consentement de façon officielle des personnes contactées via un portail emploi?

Dans un premier temps, vous devez vous assurer d'avoir une base légitime pour les contacter (par ex. un poste à pourvoir). Dans un second temps, vous devez recueillir leur consentement et, par conséquent, les informer d'un éventuel traitement de données en portant votre "privacy policy" à leur connaissance.

Comment avoir le consentement de façon officielle des personnes qui postulent via notre site web?

Il convient de recueillir le consentement des candidats. Par exemple, vous devrez construire une “check box” prouvant que le candidat a bien lu la privacy policy et en cochant ladite case, le candidat donne son consentement. Le candidat ne devrait pas aller plus loin dans le processus sans donner son consentement.

Sous le RGPD, est-ce que la chasse des candidats passifs sera encore licite ?

Dans un premier temps, vous devez vous assurer d'avoir une base légitime pour les contacter (par ex. un poste à pourvoir). Dans un second temps, vous devez recueillir leur consentement et, par conséquent, les informer d'un éventuel traitement de données en portant votre "privacy policy" à leur connaissance.

Est-il permissible de contacter des candidats qu'on a trouvés par une recherche en ligne ?

Vous devez avoir un intérêt légitime (par ex. un poste a pourvoir) et, ensuite, obtenir leur consentement préalable a tout traitement.

Les outils qui nous aident à trouver les numéros de téléphone ou les addresses email des candidats sont-ils encore licites ?

Il convient de vous assurer auprès de vos fournisseurs qu'ils ont une base légale et qu'ils ont recueilli le consentement exprès desdits candidats.

Est-ce que j'aurai toujours le droit d'exporter des profils chassés dans LinkedIn dans l'ATS ?

Vous devez vous assurer que vous avez un intérêt légitime (par ex. un poste a pourvoir) et vous devez receuillir le consentement du candidat avant même de procéder au traitement de ses données.

Est-il permis de faire un fichier Excel de chasse avec les liens et données des profils publics?

Oui, mais il faut que vos candidats aient consenti a ce traitement spécifique et qu'ils en soient informés.

Est-il permis d'enregistrer des CV sur les ordinateurs des équipes de recrutement?

Il vous faut assurer que les données sont traitées en conformité avec le RGPD. Il vous faut mettre en place des processus qui vous garantissent que tous vos collaborateurs sont informés et respectent les regles. Dès lors, un ATS central utilisable par tous vos collaborateurs devrait vous permettre de minimiser les risques.

Quel est la durée maximale de temps que les données d'un candidat peuvent être utilisées ou gardées ?

Recommendation de la CNIL: 2 ans maximum.

Comment pouvez-vous confirmer que le document présent sur le lien n’a pas changé depuis la signature du contrat ou comment retrouvez-vous la version acceptée le jour de la signature ?

Dans la screening question, il est possible d’ajouter la date de la version que le candidat va accepter. Le candidat accepte donc la version en vigueur au jour de son consentement. Pour ce qui est de SmartRecruiters, nous archivons nos déclarations de vie privée (“Privacy policy”) donc il est possible de retrouver la version acceptée pour le candidat. Par ailleurs, si le client a ajouté un lien à sa privacy policy, il appartient au client de conserver une copie desdites déclarations pour en garder trace.

Qui contrôle si les données personnelles ont vraiment été supprimées dans nos bases de données ?

Vous devez pouvoir prouver que les données ont bien été supprimées. Une des solutions est de nommer en interne un responsable de la protection des données qui devra pouvoir auditer et s'assurer que les données ont bien été supprimées.