Le RGPD, le fameux règlement européen sur la protection des données à caractère personnel entré en application le 25 Mai 2018, encadre le traitement des données permettant d'identifier des individus.
Vous n'y pensiez peut être pas, mais les processus de recrutement permettent de collecter de nombreuses données à caractère personnel : nom, prénom, adresse, adresse email, numéro de téléphone etc... et, tant qu'à faire, la CNIL, l'autorité en charge du contrôle de la mise en conformité au RGPD, a prévu d'axer ses premiers contrôles sur cette procédure !
Afin d'éviter tout risque - réputationnel, financier, juridique - qui découlerait d'un manquement au RGPD, découvrez les principaux points du RGPD qui s'appliquent au processus de recrutement déployé au sein de votre cabinet d'expertise-comptable !
Mise en conformité au RGPD de votre processus de recrutement : votre cabinet est-il concerné ?
L'étude Recrutement réseaux sociaux et formation, cabinet d'audit et expertise comptable - Enquête RH 2018 réalisée par Hays et publiée en juin 2018 déclare que 86% des cabinets d'expertise-comptables ont recruté en 2017 et que 76% des cabinets d'expertise-comptable externalisent leur processus de recrutement : vous vous retrouvez dans l'un des deux cas, ou dans les deux, vous êtes concerné par le RGPD !
Vous recrutez des stagiaires ou des alternants uniquement : vous êtes également concernés !
Application au processus de recrutement de 4 règles du RGPD qui s'appliquent à toutes les parties prenantes avec qui votre cabinet d'expertise-comptable peut être en relation !
Les candidats doivent être informés des traitements que vous réaliserez de leurs données à caractère personnel
L'article 4.2 du RGPD définit le traitement comme« toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».
Cela implique qu'au moment où les candidats peuvent transmettre des données à caractère personnel à votre cabinet d'expertise-comptable (son CV, sa lettre de motivation par exemple), vous devez lister un certain nombre d'informations leur permettant d'être informés sur les traitements qui seront réalisés à partir de leurs données à caractère personnel ! Ces endroits peuvent être :
- votre site internet : rubrique carrière, emploi ou recrutement, à l'endroit où le candidat peut déposer sa candidature ;
- l'éventuel site dédié au recrutement que votre cabinet anime, et l'espace candidat qui y est intégré.
Les informations que vous devez préciser sont les suivantes :
- l'identité, les coordonnées du responsable du traitement, ou du représentant du responsable du traitement : si vous réalisez le recrutement vous-même, vous pouvez être ce responsable de traitement. Sinon, il peut s'agir du service RH ou bien du cabinet de recrutement à qui vous avez externalisé la mission ;
- les coordonnées du DPO si vous en avez nommé un ;
- les finalités du traitement envisagées à partir des données collectées : par exemple, la gestion des candidatures ;
- la base juridique du traitement (par exemple, le code du travail) ou les intérêts légitimes poursuivis par le responsable du traitement ;
- le cas échéant, le ou les destinataires des données à caractère personnel (service RH du groupe par exemple, ou cabinet de recrutement) ;
- le cas échéant, le fait que le responsable de traitement prévoit de transférer des données vers un pays tiers ;
- la durée de conservation des données à caractère personnel ;
- l'existence du droit de demander l'accès, la modification, ou la suppression des données, ainsi que le droit de s'opposer au traitement ;
- l'existence du droit de retirer à tout moment son consentement ;
- l'existence du droit de déposer une réclamation auprès de la CNIL ;
- des précisions sur le caractère réglementaire ou contractuel de la demande de données à caractère personnel ;
- des précisions sur le fait que les données transmises conditionnent ou non la conclusion d'un contrat ;
- des précisions sur les conséquences de la non fourniture des données ;
- l'existence de traitements automatisés (ex : profilage).
Si dans votre cabinet vous avez un comité social et économique : vous devez lui communiquer les éléments ci dessus avant de déployer des techniques d'aide au recrutement ou de mettre en place des tableaux informatisés de gestion des candidats.
Les candidats doivent donner leur accord, de manière explicite sur les traitements à caractère personnel que vous réaliserez
Pour justifier l'accord donné par le candidat, votre cabinet d'expertise-comptable aura intérêt à privilégier l'opt-in à l'opt-out. L'opt-in, qui est généralement présenté sous forme d'une case à cocher pour donner son accord, sera à privilégier à l'opt-out, présenté sous forme d'une case à décocher pour manifester son désaccord.
En cas de contrôle de la CNIL ou de litige avec un candidat, il vous faudra être en mesure de prouver que votre cabinet d'expertise-comptable a bien collecté le consentement du candidat. Un point sur le stockage des consentements dans le back office de votre site internet, ou bien dans les notifications que vous recevez par email lorsque vous recevez une candidature sera peut être nécessaire !
Les candidats doivent avoir la possibilité de demander l'accès, la modification et la suppression des données les concernant et ce à tout moment
Le RGPD qui a vocation à redonner aux individus la propriété de leurs données à caractère personnel, prévoit qu'à tout moment, et sans avoir besoin de le justifier, le candidat puisse demander une copie des données stockées par votre cabinet d'expertise-comptable et qui le concernent : test de recrutement, notes d'entretien, test de personnalité...
Cela implique un point important : votre cabinet doit être en mesure de pouvoir produire à tout candidat qui en formule la demande, une copie des données que vous détenez sur lui. Assurez-vous ainsi de ne conserver que des données strictement nécessaires au processus de recrutement !
Vous externalisez le processus de recrutement : le cabinet de recrutement mandaté pour recruter pour votre cabinet d'expertise-comptable doit être à même de fournir ces mêmes éléments dans les délais impartis. Assurez-vous auprès de votre cabinet de recrutement qu'il est organisé pour le faire !
Un article des Echos paru le 13 septembre 2018, « RGPD : les entreprises peinent à respecter les délais », précise que 70% des sociétés ne répondraient pas aux demandes d'accès aux données personnelles dans le délai imparti d'un mois. Et vous, êtes vous organisé dès à présent pour répondre à ce type de demande ?
L'accès aux données des candidats doit être limité et contrôlé
Le RGPD prévoit que l'accès aux données à caractère personnel soit limité aux personnes qui en ont le besoin. Ainsi, au sein de votre cabinet d'expertise-comptable, des dispositifs sont à mettre en place pour que l'accès soit restreint uniquement aux collaborateurs qui en ont besoin : le service RH par exemple.
Utiliser une solution logicielle vous permettant de savoir quels sont les collaborateurs qui se connectent à quel(s) fichier(s), quand, et pour quel(s) motif(s), permettrait de vous assurer qu'il n'y a pas de tentative d'accès par des personnes non habilitées.
Les règles spécifiques aux processus de recrutement
Les données collectées sur un candidat ne doivent servir qu'à apprécier son profil par rapport au poste à pourvoir
Dans le cadre d'un processus de recrutement, il est strictement interdit de collecter des données qui n'ont pas de lien avec les compétences du poste à pourvoir. Exemple : des données relatives à la religion, à la santé, à l'opinion politique ... Il est également interdit de demander à un candidat son numéro de sécurité sociale tant qu'il n'est pas retenu pour le poste.
Lorsque le candidat sera embauché, les informations nécessaires à la gestion du personnel, ou à l'organisation du travail pourront être collectées : copie de la carte d'identité, du permis de conduire, copie de la carte vitale, copie de la carte grise du véhicule...
La durée de conservation des données à caractère personnel d'un candidat est limitée à maximum deux ans après le dernier contact !
En cas d'issue négative à une candidature, vous devez demander au candidat s'il accepte que vous conserviez sa candidature au sein de votre base de CV. En cas d'accord de sa part, vous pouvez la conserver deux ans maximum après le dernier contact. Au delà, elle devra être détruite.
Cela implique un traitement rigoureux de la base des candidats afin d'éviter tout manquement au respect de la protection des données personnelles. Vous pouvez ainsi prévoir de systématiquement prendre contact avec les candidats en base tous les 2 ans maximum afin de réactualiser leur situation, ou bien de supprimer systématiquement leur candidature une fois que le poste pour lequel ils ont candidaté, mais n'ont pas été retenus, est pourvu. Si jamais vous externalisez votre processus de recrutement, veillez à ce que votre prestataire respecte ces mêmes conditions en lui demandant de vous fournir ses clauses RGPD !
Retenez donc, si ce n'est pas déjà fait, que dans les actions prioritaires à réaliser pour éviter tout risque réputationnel, financier ou juridique pour non respect des clauses RGPD il est important de :
- vérifier que vous détaillez bien aux candidats les traitements qui seront réalisés de leurs données à caractère personnel ainsi que les droits dont ils disposent (dénonciation à la CNIL, demande d'accès, de rectification, de suppression) : dans l'idéal, ces informations sont à détailler sur la page permettant au candidat de déposer sa candidature ;
- vous assurer que vous collectez bien le consentement du candidat pour réaliser les traitements de données à caractère personnel que vous lui avez détaillé ;
- vous assurer que l'accès aux données des candidats est bien limité et contrôlé ;
- vous assurer que vous n'avez plus en base de données de candidats avec lesquels vous n'avez pas eu de contact depuis plus de deux ans ;
- mettre à jour (ou créer si elle n'existe pas encore) la procédure relative à l'archivage et au stockage des candidatures en prévoyant soit une suppression de toutes les candidatures à partir du moment où elles dépassent le délai maximal (et plus tôt si la candidature n'est pas adaptée par exemple), ou bien prévoir une reprise de contact avec le candidat afin de mettre régulièrement sa situation à jour dans vos bases, en lui laissant à chaque fois la possibilité d'accéder, de modifier ou de supprimer les données dont vous disposez sur lui ;
- vérifier les données qui sont collectées sur les candidats et vous assurer que les procédures prévoient bien qu'aucune donnée sensible n'est collectée : données relatives à la santé, à la religion, à la sexualité, etc. ;
- nommer un Délégué à la Protection des Données personnelles si jamais des données sensibles étaient stockées dans le cadre du processus de recrutement ;
- en cas d'externalisation du processus de recrutement, demander à vos prestataires leurs clauses RGPD et vous assurer qu'elles sont claires et licites avant de les accepter ;
- formaliser dans votre logiciel d'accompagnement à la mise en conformité tous les traitements de données à caractère personnel réalisés dans le cadre des processus RH de votre cabinet d'expertise-comptable !
Au sein de votre cabinet d'expertise-comptable, de nombreuses données à caractère personnel sont manipulées. Elles concernent les candidats, les salariés, les prospects, les clients, les partenaires...
Nous détaillerons dans le prochain dossier les traitements types de données qui peuvent porter sur les salariés ! D'ici la, bonne mise en conformité du processus RH de votre cabinet d'expertise-comptable !
Amélie CARO
PiaLab accompagne les experts-comptables pour structurer leur démarche interne, outiller leur relation client, et gagner en autonomie dans leurs démarches RGPD.