RGPD et Welcome Kit, les implications recruteurs đź”’

Table des matières

    Pensé pour aider les individus à protéger leurs données personnelles, le Règlement général sur la protection des données concerne tous les acteurs qui manipulent - pour leur compte ou pour le compte de tiers - des données personnelles dans la zone européenne.
    Le recrutement - parce qu’il implique la collecte, le traitement et le stockage de données personnelles de candidats - est donc impacté par cette nouvelle loi.

    Concrètement, cela concerne directement Welcome Kit, l’ATS (Applicant Tracking System) édité par Welcome to the Jungle mais aussi tous les recruteurs qui quotidiennement traitent les candidatures et recrutent grâce à notre technologie.

     

    Quelques principes clés du RGPD

    1. Une finalité claire : le responsable de traitement doit précisément informer la personne concernée de l’usage qu’il va faire de ses données personnelles en les collectant
    2. Des données pertinentes : le responsable de traitement ne doit récolter que les données qui lui sont strictement nécessaires pour son traitement ; c’est le principe de la minimisation de la collecte
    3. La durée de conservation : les données personnelles doivent être conservées le temps suffisant au responsable de traitement pour atteindre sa finalité ; au delà les données doivent être supprimées
    4. Les droits des personnes : les personnes peuvent exercer leurs droits sur les données personnelles détenues par le responsable de traitement soit : accès, rectification ou suppression

    Le RGPD et le recrutement : pour commencer, quelques définitions

    Le RGPD définit 3 grandes catégories d’acteurs.

    • La personne concernĂ©e est le candidat : c’est lui qui confie ses donnĂ©es personnelles.
    • Le responsable de traitement est l’entreprise qui recrute (c’est vous) : vous dĂ©terminez l’usage que vous faites des donnĂ©es rĂ©coltĂ©es et vous les traitez
    • Le sous-traitant est Welcome Kit (c’est nous) : nous rĂ©coltons et gĂ©rons les donnĂ©es des candidats pour le compte du responsable de traitement.

    La protection des données personnelles des candidats est donc un sujet crucial pour nous ; il est au cœur de la relation de confiance que nous entretenons et souhaitons continuer d'entretenir avec tous nos clients.

    Welcome to the Jungle et le RGPD

    Adapter nos processus en interne

    • Veille et benchmark sur le marchĂ© du recrutement : nous avons Ă©tudiĂ© les diffĂ©rents impacts du RGPD concernant le recrutement afin d'identifier les axes de travail prioritaires pour garantir la sĂ©curitĂ© des donnĂ©es de nos candidats et de nos clients.
    • Audit de nos processus internes : nous avons revu l'intĂ©gralitĂ© des traitements que nous opĂ©rons pour le compte de nos clients et avons Ă©tabli un registre des traitements. 
    • Accompagnement juridique : nous avons choisi un cabinet d'avocat dĂ©diĂ© au suivi et Ă  la mise en conformitĂ© de Welcome to the Jungle Ă  la nouvelle rĂ©glementation.
    • Nomination d'un DPO : nous avons choisi, au sein de nos Ă©quipes, un DPO (Data Protection Officer). Point de contact pour nos clients sur toutes les questions relatives Ă  la protection des donnĂ©es personnelles il est aussi garant de la conformitĂ© de WTTJ dans la durĂ©e.
    • Adaptation de notre documentation juridique : nous avons revu l’ensemble de nos documents juridiques et contractuels. Une mise Ă  jour de nos CGU, CGV et charte de confidentialitĂ© a Ă©tĂ© rĂ©alisĂ©e ; un contrat de sous-traitance (ou DPA) sera Ă©galement passĂ© avec tous nos clients ; ces documents sont disponibles directement depuis l'interface recruteur du Welcome Kit.

    DĂ©velopper de nouvelles features Welcome Kit

    Le pilier de notre mise en conformité passe par les évolutions de notre outil Welcome Kit : améliorer notre produit pour le rendre conforme est notre priorité.

    ⚠️ Consentement explicite du candidat : conformément à l’article 6 du RGPD, le recruteur est dans l’obligation de recueillir le consentement explicite du candidat quant à l’usage de ses données personnelles en l’informant clairement des finalités de ce traitement.

    A chaque candidature, le candidat donne désormais son consentement explicite en cochant une checkbox autorisant l’entreprise à utiliser ses données à des fins de recrutement et ceci pour une période donnée définie par l'entreprise. Les entreprises peuvent personnaliser le message d'information en fonction de leurs propres exigences ; elles peuvent également porter à la connaissance du candidat leur politique de confidentialité relative au recrutement. Une procédure spécifique est également en cours de développement pour le cas des candidats mineurs pour lesquels nous solliciterons le représentant légal.

    ⚠️ Durée de conservation des données : un point fondamental du RGPD est la limitation de la durée de conservation des données personnelles. Sans indiquer de durée ferme la réglementation précise : “Les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.”

     

    Comment Welcome Kit m’accompagne sur cela ?

    Les entreprises peuvent désormais paramétrer la durée de conservation des données candidats directement depuis le tableau de bord. La durée de conservation des données candidats est paramétrée par défaut à 2 ans conformément aux recommandations de la CNIL de 2002. Les entreprises peuvent cependant définir une durée de conservation plus longue. Cette durée est précisée au candidat lors du recueil de son consentement. Deux mois avant la date d'expiration de la période conservation des données, un mail, personnalisable par l'entreprise, sera automatiquement envoyé au candidat pour lui proposer de renouveler l'autorisation de conserver ses données personnelles à l'entreprise qui recrute. Sans retour du candidat, ses données seront supprimées à expiration de l’échéance.

    ⚠️ Respect des droits individuels des candidats (droit à l’oubli, droit d’accès, droit de rectification des données, etc.) : les candidats doivent pouvoir avoir connaissance des données personnelles détenues par l’entreprise à leur sujet afin de pouvoir les corriger, les faire supprimer ou les récupérer pour les partager avec d’autres entreprises.

    A la demande du candidat, le recruteur peut directement supprimer les données personnelles relatives à une candidature de sa base de données, ou bien exporter toutes les données personnelles stockées sur le candidat afin de les lui transmettre.