Les cabinets de recrutement font sans doute partie des entreprises de service les plus touchées par l’application du RGPD. Vu le nombre de candidats à recruter et de clients qui font appel à leur service, un cabinet de recrutement se doit de se conformer aux principes de conformité du RGPD.
Les droits du candidat sur le traitement de ses données personnelles
Chaque cabinet de recrutement a l’obligation d’informer les candidats sur le traitement des données personnelles collectées. Selon le principe de transparence et de loyauté, le candidat est en mesure de donner son consentement, mais aussi de connaître les modalités de traitement des données recollectées. Par la même occasion, le cabinet doit informer le candidat sur la manière d’exercer leur droit.
Le candidat aura le droit d’accéder, de modifier ou de supprimer les données fournies au cabinet à tout moment. Le cabinet doit informer le candidat sur les modalités de traitement des données après la récolte, incluant le transfert vers les services concernés des clients et la finalité de la démarche. La durée de conservation devra également être précisée. Selon la loi RGPD, le candidat dispose de 6 droits dont :
- Droit à l’information,
- Droit d’accès,
- Droit à la portabilité,
- Droit à la limitation du traitement,
- Droit à la rectification,
- Droit à l’oubli.
La limitation de la collecte de données sensibles
Le cabinet de recrutement est une entreprise de service qui propose à ses clients la recherche des candidats potentiels pour les postes à pourvoir. Pour sélectionner le candidat idéal, la collecte d’information est une étape essentielle dans leur métier. Cependant, la loi RGPD oblige les cabinets de recrutement à limiter la collecte de données personnelles aux informations strictement liés au cadre professionnel. Les données recueillies doivent être pertinentes, limitées et adéquates.
Il s’agit surtout de ne collecter que les données personnelles du candidat en lien avec le poste disponible, telles que ses aptitudes professionnelles et ses capacités. Le cabinet peut ainsi demander l’identité limitée du candidat, le CV qui indique ses capacités et ses compétences, les diplômes et les références, la lettre de motivation ainsi que les coordonnés et les contacts pour contacter rapidement le candidat
Toutefois, la campagne de recrutement dans un cabinet ne doit pas porter atteinte à des informations sensibles et privées telles que la situation matrimoniale, les opinions politiques ou l’état de santé du candidat. Le non-respect de cette obligation peut être considéré comme une intrusion à la vie privée du candidat ou une discrimination professionnelle. Le cabinet risque une peine d’un an d’emprisonnement et une amende de 45 000 euros. Par ailleurs, certains documents comme la copie de la pièce d’identité ou le numéro de sécurité sociale ne doivent être demandés qu’au sein du RH de l’entreprise qui recrute.
La durée de conservation
Les données récoltées lors de la campagne de recrutement ne doivent pas être conservées indéfiniment. La CNIL recommande une durée de conservation de 2 ans à compter du dernier contact avec le candidat non retenu. En cas d’issue négative à une candidature, le cabinet est tenu d’informer le candidat pour la conservation des données. Le candidat est en mesure de demander la destruction de son dossier. A défaut, le cabinet peut conserver les données avec l’accord formel du candidat.
L’accès aux données personnelles des candidats
Dans l’application de la loi RGPD, le cabinet de recrutement doit limiter et contrôler l’accès aux données des profils pris en charge lors de la campagne de recrutement. Seuls les intervenants dans la campagne peuvent accéder aux informations recueillies. La sécurisation des données personnelles des candidats est obligatoire. Cela permet d’éviter les intrusions, la perte fortuite, la destruction illicite ou fortuite, l’altération ou encore la divulgation des données personnelles. D’ailleurs, toutes les actions effectuées sur les données personnelles doivent être enregistrées. Pour ce faire, le cabinet doit mettre à jour et aux normes les outils utilisés dans la collecte pour garantir la sécurité des données personnelles.
Par ailleurs, le cabinet de recrutement peut partager les données personnelles d’un candidat aux entreprises partenaires en ayant l’accord du candidat. Le cabinet doit ainsi s’assurer que l’entreprise partenaire soit en mesure de respecter la politique de confidentialité de la RGPD afin de protéger les données personnelles du candidat.