🏆 Medbase a remporté 2 prix RH grâce à notre plateforme. Comment ?
Inspirez-vous de ce succès !
Glossaire
Protection des données : comprendre l’impact du RGPD en RH et l’appliquer au recrutement
Candidate relationship management
Stratégie de Talent Acquisition

Protection des données : comprendre l’impact du RGPD en RH et l’appliquer au recrutement

Depuis son entrée en vigueur en 2018, le RGPD (Règlement Général sur la Protection des Données) impose des règles strictes pour protéger les données personnelles des citoyens européens. Dans le domaine des RH, où CV, données personnelles et sensibles, outils digitaux et technologies (comme l’IA) sont au cœur des processus, cette réglementation est essentielle. Respecter le RGPD ne se limite pas à une obligation légale : c’est aussi une opportunité pour renforcer la confiance des candidats et optimiser ses pratiques de recrutement.

RGPD, RH et recrutement : définition et importance

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, est une réglementation européenne visant à protéger les données personnelles des citoyens de l'Union européenne. Dans le domaine des RH et du recrutement, le RGPD est crucial car il encadre la façon dont les entreprises collectent, traitent et stockent les informations personnelles des candidats et des collaborateurs.

Pourquoi les RH et le recrutement sont-ils concernés ?

Les services RH manipulent quotidiennement des données personnelles

  • CV, 
  • lettres de motivation, 
  • profils LinkedIn, 
  • résultats de tests pratiques ou de personnalité,
  • documents d’identité au moment de la création du contrat de travail,
  • et même des données sensibles (origines ethniques, opinions politiques, appartenance religieuse, santé et apparence physique, etc.). 

Ces informations doivent être traitées avec soin pour respecter la vie privée des candidats et futurs collaborateurs. Comme c’est le cas pour d’autres pans de la vie d’une entreprise, le RGPD s’applique aux processus de recrutement et impose des règles strictes qui garantissent la protection de ces profils spécifiques que sont les candidats.

Sans ce respect, appelé “conformité”, l’entreprise encourt des amendes pouvant atteindre jusqu'à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.

Bon à savoir : Le RGPD s’applique à toutes les entreprises traitant des données de citoyens européens, même si elles sont basées hors de l’UE. Cela concerne les candidats et travailleurs de citoyenneté européenne.

Sachez que la CNIL (Commission nationale de l'informatique et des libertés) a d’ailleurs conçu des fiches pratiques dédiées aux professionnels du recrutement, pour mieux appréhender la thématique de la protection des données dans le monde des RH. Cela montre bien l’importance que peut avoir ce sujet pour les équipes RH et, plus particulièrement, les recruteurs. 

Le RGPD et son impact européen sur les recruteurs et candidats

Bien qu’il s’agisse d’une législation européenne, le RGPD a un impact global. Toute entreprise, peu importe où elle se trouve dans le monde, doit s’y conformer si elle traite les données de citoyens de l’Union européenne. Et ce, que ce citoyen soit un partenaire, un client, un prospect ou… un candidat. 

Le RGPD remplace des réglementations nationales disparates par un cadre unique applicable dans tous les pays membres de l’UE. Cela simplifie la gestion des données pour les entreprises opérant dans plusieurs pays, mais impose également des standards élevés à respecter.

Exemple : Une entreprise américaine recrutant en Allemagne doit appliquer les mêmes règles que les entreprises locales, notamment sur le consentement des candidats et leurs droits concernant leurs données personnelles. 

Les principes fondamentaux du RGPD appliqués aux RH

Pour respecter le RGPD, les entreprises doivent suivre plusieurs principes clés, adaptés au contexte des RH et du recrutement. Voici les principaux exemples. 

Transparence et consentement pour les candidats, mais aussi les talents au sens large

Les candidats doivent savoir quelles données sont collectées, pourquoi et pour combien de temps. Cela passe par une politique de confidentialité claire et accessible. De plus, le consentement explicite doit être obtenu pour toute utilisation de leurs informations personnelles peu importe le cadre (emailing, SMS, newsletter, etc.).

Exemple : Il faut informer un candidat que son CV sera conservé deux ans pour des opportunités futures et proposer un lien pour retirer son consentement à tout moment.

Il est important de préciser aussi que la collecte des données peut se faire auprès de talents qui ne sont pas nécessairement des candidats. C’est-à-dire des personnes dont vous collectez les informations sans pour autant qu'elles ne postulent officiellement à une offre d’emploi. Prenons quelques exemples : 

  • des profils rencontrés sur un événement emploi
  • des profils repérés sur des réseaux professionnels comme LinkedIn
  • des inscrits à votre newsletter ou à votre vivier de talents 

Dans ces cadres (et dans tous les autres dès qu’il y a collecte), la transparence et les informations explicites sont, elles aussi, obligatoires.

Minimisation des données : uniquement les données nécessaires au recrutement

Il ne faut collecter que les données nécessaires au processus de recrutement et, dans un deuxième temps, à l'établissement du contrat de travail

Seules les informations qui peuvent aider le recruteur à définir si un profil correspond au poste sont collectables : connaissances, compétences, savoir-faire, savoir-être, formations, expériences professionnelles… 

Globalement, quand le RGPD s’applique au recrutement, toutes les données qui sortent du contexte professionnel ne rentrent pas dans le cadre légal de collecte et d’utilisation. 

Dans ce cadre qu’est le recrutement, il est cependant possible de demander des documents justifiant les informations données par le candidat. Par exemple une attestation de diplôme ou un certificat de travail d’un ancien employeur. En revanche, certains documents comportant d’autres données non pertinentes concernant les capacités du candidat à exercer le poste ne devraient pas être demandés. C’est le cas d’un bulletin de paie par exemple.

Les données sensibles des candidats 

D’autres données, dîtes “sensibles”, ne sont pas non plus autorisées car elles n’ont absolument rien à voir avec les prises de décisions concernant la pertinence d’une candidature : 

  • origine,
  • opinions politiques ou religieuses, 
  • appartenances syndicales (même si cela s’apparente en quelque sorte à la vie professionnelle),
  • informations sur la santé (y compris les potentiels projets de grossesse, qui font parfois partie des critères de sélection de façon totalement discriminante et abusive)
  • situation familiale (statut marital, enfants, aidant, etc.)
  • etc.

Les données pour le recrutement puis pour le contrat de travail

Le moment de la collecte des données joue un rôle crucial sur le respect du RGPD. Prenons un exemple tout simple : l’adresse postale. Si elle est demandée à l’occasion de la création du contrat de travail, aucun problème. Si elle est demandée dans le cadre du processus de sélection, cela peut s’apparenter à de la discrimination. Attention à ce type de spécificité !

Quoi qu’il en soit, le nombre de données que peuvent demander les entreprises s’étend un peu lorsque le candidat est sélectionné définitivement. Car certaines informations peuvent être demandées dans le cadre de l’édition d’un contrat de travail.

Ce sont souvent des données et documents concernant l’identité du candidat et son identification : numéro de sécurité sociale, domiciliation bancaire, adresse postale (la fameuse !), certaines parties du casier judiciaire (dans le cadre strict du code du travail, pour certaines professions et sans conservation de ces données), etc. 

Droit d’accès des candidats

Chaque candidat possède ce droit, qu’il s’agisse d’un recrutement direct par une entreprise ou via des intermédiaires comme des cabinets de recrutement, des agences d’intérim, etc. 

3 éléments font partie de ce droit :

  1. savoir si le responsable du recrutement possède des données concernant son profil,
  2. obtenir une copie de ces données,
  3. connaître la finalité du traitement de ces données. 

Il faut donc toujours donner la possibilité aux membres de vos viviers de talents d’exercer ce droit d’accès, par exemple via une adresse mail dédiée. Prenez aussi soin d’apporter une suite à la demande dans un délai court, un mois maximum.

Bon à savoir : cela concerne aussi les résultats de tests effectués dans le cadre du processus de recrutement ainsi que leur analyse, en prenant en compte les subtilités suivantes : 

  • Le nom d’un potentiel organisme externe ne doit pas apparaître (propriété intellectuelle ou industrielle)
  • Les noms des personnes ayant annoté des commentaires dans le test ne doivent pas apparaître
  • Les données concernant d’autres candidats (par exemple dans le cadre d’un test de groupe) ne doivent pas apparaître

Droit à l’effacement (ou droit à l’oubli), droit d’opposition et droit à la limitation du traitement : le candidat a la main !

Les candidats ont le droit de demander à ce que les données les concernant soient effacées définitivement. Ce droit à l’effacement (ou droit à l’oubli) peut être effectif dans de nombreux cas, le plus simple étant le suivant : un candidat postule puis décide de retirer sa candidature, il demande à ce que ses données soient supprimées car il n’y a plus d’intérêt légitime à ce que l’entreprise les conserve. 

Le droit d’opposition est un peu différent car il donne la possibilité au candidat de demander à ce que l’entreprise n’utilise plus ses données. La suppression des données n’est en revanche pas obligatoire. Pour que le candidat s’oppose à l’utilisation de ses données dans certains cadres uniquement (pas totalement), il s’agit plutôt du droit à la limitation du traitement. Cela peut concerner une période de temps spécifique par exemple. 

D’autres droits existent et ont un impact sur le lien entre données, recruteurs et candidats :

  • droit de rectification : la possibilité de corriger les données collectées et stockées par une entreprise (mise à jour des données de CV notamment).
  • droit à la portabilité : la possibilité de demander à récupérer ses données pour les transférer vers un autre organisme.

L’ensemble de ces droits sont applicables gratuitement par les candidats

IA et utilisation des données : les droits des candidats s’étoffent

Dans le monde d’aujourd’hui, où l’IA joue un rôle important dans les processus de recrutement, d’autres droits deviennent de plus en plus importants. Notons par exemple le suivant, lié à l’analyse des données des candidats. L’avocat Benjamin Greze (cio-online.com) l’explique :

En cas de décision fondée exclusivement sur un traitement automatisé, le recruteur doit informer les personnes concernées de leurs droits et notamment celui d'obtenir une intervention humaine dans le processus de recrutement. Cela signifie concrètement qu'un candidat a le droit à ce qu'un recruteur humain analyse sa candidature et décide des suites à lui donner. Si ce n'est pas respecté, le recruteur est en violation du RGPD.

Ce genre de question a aussi une importance quand on parle de chatbot de recrutement, car la question de la collecte et de l’analyse des données est souvent au moins en partie aux “mains” d’une IA.

A l’avenir, ce type de sujet va devenir de plus en plus prépondérant. Et l’intervention humaine reste et restera essentielle dans le cadre d’un recrutement, même s'il est facilité par des outils et des algorithmes. 

RGPD et RH : risques de non conformité et précautions à prendre

Les entreprises non conformes au RGPD s’exposent à des sanctions financières et juridiques. Selon la gravité des infractions au Règlement, les amendes sont plus ou moins élevées. 

La CNIL le précise : “Une amende administrative ne pouvant excéder 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

En 2019 par exemple, la CNIL a infligé 400 000€ d’amende à Sergic, un administrateur de biens immobiliers. Comme le précise Le Monde, “Des milliers de documents de candidats se sont retrouvés en accès libre à la suite d’un défaut de sécurité informatique”. 

La fiabilité des outils et du moyen d’hébergement des données est donc toute aussi importante que la fiabilité des processus et des règles établies.

Bon à savoir : selon une étude de Gartner, 65 % des entreprises mondiales ne seraient pas pleinement conformes au RGPD en 2024.

La mise en conformité RGPD dépend de nombreux facteurs (respect des processus, sécurité informatique, tenue d’un registre des traitements, etc.) et c’est donc un sujet qui ne dépend pas uniquement des équipes RH et recrutement. 

Tout commence par un audit des pratiques de l’ensemble de l’entreprise en matière de RGPD, que ce soit concernant les données des candidats et des collaborateurs, mais aussi des partenaires, des clients, des prospects, des sous-traitants, etc.

La plupart du temps une personne - un DPO (Data Protection Officer) - ou une équipe ont la charge de l’ensemble de la conformité RGPD ; c’est avec ces experts qu’il faut échanger sur le sujet, pour mettre en place les correctifs nécessaires et mieux comprendre comment gérer le quotidien en conformité avec le Règlement. 

Si ce n’est pas le cas, vous pouvez tout à fait vous faire aider par un cabinet expert en RGPD. Mieux vaut être certain de votre conformité.

Conformité RGPD des partenaires SIRH et logiciels de recrutement : comment s’en assurer ?

Pourquoi est-ce crucial ? Les outils digitaux utilisés en RH, comme les ATS (Applicant Tracking Systems) ou les CRM (Candidate Relationship Management), doivent être conformes au RGPD. 

En cas de non-conformité de ces outils, l’entreprise utilisatrice est malheureusement responsable. Prenez donc garde à vos choix. Comment ?

  • Faire un audit des prestataires : demandez des certifications ou des preuves de conformité et posez bien toutes vos questions lors des échanges avant le choix d’un prestataire final. 
  • Veiller aux clauses RGPD dans les contrats : des obligations de mise en conformité pour vos partenaires peuvent être intégrées. Votre service juridique pourra vous aider. 
  • Choisir prioritairement des solutions européennes : elles sont souvent mieux alignées sur les exigences du RGPD, qui concerne les citoyens européens. C’est aussi le cas pour l’hébergement des données en Europe. 

Sachez également que certains outils peuvent vous aider à rendre conformes vos processus de recrutement et de relation candidat sans effort. C’est le cas de notre logiciel de Candidater Relationship Management, adapté aux exigences RGPD, qui permet notamment d’automatiser : 

  • la demande de consentement, 
  • les mises à jour des données des profils au sein de votre vivier de talents
  • la suppression des données dans un temps imparti pour soulager les recruteurs de cette charge manuelle. 

Le choix d’un outil et d’une technologie doit donc être éclairé sur le prisme de la protection des données et de leur traitement.

Attention : les outils et technologies ne sont pas responsables de leur utilisation par les recruteurs. Prenons l’exemple des technologies de parsing et matching qui permettent d’extraire, d’analyser et de comparer les informations concernant les candidats (CV, profils…). La responsabilité du paramétrage de ces algorithmes est celle du recruteur. Aussi, prenez bien garde à utiliser de façon appropriée les outils avec lesquels vous travaillez ; si vous demandez à l’outil de ne sélectionner que les candidats qui ont moins de 50 ans, par exemple, la discrimination est averée, mais n’est pas du fait de l’outil.

Conformité RGPD : les RH et les recruteurs jouent aussi la crédibilité de la marque employeur

Le respect du RGPD ne se limite pas à une simple obligation légale, il impacte directement la réputation de l’entreprise et sa capacité à attirer des talents.

Une gestion transparente et respectueuse des données personnelles renforce la confiance des candidats et valorise la marque employeur. À l’inverse, un non-respect du RGPD, comme une fuite de données ou une absence de consentement, peut nuire gravement à l’image de l’entreprise. 

Dans un marché où les talents sont attentifs aux valeurs des employeurs, les équipes RH ont tout intérêt à considérer la conformité RGPD comme un levier de crédibilité et d’attractivité.

Résumé : 3 bonnes pratiques pour une gestion conforme des données RH

  1. Mettez en place une politique de confidentialité claire : expliquez comment vous gérez les données des candidats et rendez ces informations disponibles facilement.
  2. Automatisez la suppression des données : programmez des délais pour effacer automatiquement les informations des candidats non retenus (ex : 2 ans après la fin d’un processus).
  3. Formez vos équipes RH et recrutement : sensibilisez-les aux enjeux et aux obligations du RGPD.

RGPD et RH : les questions les plus fréquentes des recruteurs en 1 minute

Peut-on conserver un CV après un refus ?

Oui, mais seulement avec le consentement du candidat et pour une durée limitée précisée. D’ailleurs, construire des viviers de talents est une excellente pratique pour votre stratégie de recrutement. Choisissez un outil qui facilite votre conformité au RGPD !

Que faire si un candidat demande la suppression de ses données ?

S’assurer que toutes ses informations sont supprimées, sauf si leur conservation est légalement obligatoire ou que vous avez une raison valable de les conserver (ex : en cas de litige).

Peut-on utiliser LinkedIn pour sourcer des candidats ?

Oui, mais attention à ne pas collecter et stocker les données sans consentement. Notre extension Chrome (disponible sur notre outil de CRM) permet d’extraire toutes les informations des profils LinkedIn et propose une demande de consentement automatique : demandez une démo !

Combien de temps peut-on conserver une base de candidats ?

En général, pas plus de deux ans après le dernier contact, sauf réglementation spécifique. Cela peut aussi être moins, selon vos objectifs.

Peut-on partager les CV avec un partenaire ou un client ?

Oui mais seulement si le candidat a donné son accord explicite.

Les outils RH (ATS, CRM) sont-ils responsables de la conformité RGPD des entreprises qui les utilisent ?

Non, c’est l’entreprise utilisatrice qui reste responsable de la conformité, tant dans son choix d’outil que dans ses processus de gestion et de protection des données.

Que se passe-t-il en cas de faille de sécurité sur des données de mes candidats ?

Vous avez l’obligation de notifier la CNIL (ou autre autorité compétente) dans les 72 heures. Vous devrez aussi communiquer l’information de façon directe aux personnes concernées.

Puis-je conserver les candidatures spontanées pour des recrutements futurs ?

Oui, les candidatures spontanées sont comme des candidatures classiques, y compris dans le cadre de la cooptation spontanée. Vous pouvez donc le faire si le candidat donne son consentement explicite et que vous définissez une durée limitée de conservation des données (ex : 2 ans).

Les CV collectés lors de salons ou d’événements sont-ils soumis au RGPD ?

Oui mais vous devez informer les candidats de l’utilisation de leurs données et obtenir leur consentement. Avec un outil de CRM, la collecte des données sur un événement peut s’avérer très rentable pour les recrutements futurs. 

N’oubliez pas de consulter les fiches “Recrutement” fournies par la CNIL pour toute information complémentaire.

Bon à savoir : chez CleverConnect, la conformité RGPD fait partie de nos engagements car nous avons spécifiquement conçu l’ensemble de notre plateforme pour soutenir les entreprises européennes.

La newsletter qui accélère votre stratégie de Talent Acquisition.
Rejoignez la communauté CleverConnect !
Découvrez notre politique de confidentialité.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Accélérez votre stratégie d'acquisition de talents

Déjà plus de 1 000 entreprises nous font confiance : rejoignez-les !
Demandez une démo