Publié le 31 mai 2018
« Le RGPD valorise l’approche candidat humaine et qualitative de ManageriA »
Depuis plusieurs mois, il fait parler de lui. C’est le RGPD, le fameux Règlement Général de Protection des Données ! Nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, le RGPD couvre l’ensemble des résidents de l’Union Européenne. Rentré en application le 25 mai 2018, il implique des changements de pratiques ; de process ; et parfois de technologies pour toutes les entreprises.
Pour se mettre en conformité avec le RGPD, les entreprises doivent, entre-autre, nommer un responsable des données ; cartographier toutes leurs données ; archiver ou détruire les données de plus de 2 ans ; s’assurer que les données personnelles collectées sont en relation avec la finalité annoncée ; obtenir le consentement explicite des personnes et le documenter ; mettre en place une Politique de Confidentialité ; assurer la sécurité des données…
Un travail colossal auquel Cécile Boulaire , Vicky Tocny et Chloé Cohen – respectivement Consultante, Chargée de Recherche et Office Manager chez ManageriA – se sont attelées il y a plusieurs mois déjà et qu’elles nous racontent… Certes le RGPD est contraignant, mais il permet aussi de valoriser l’approche candidat humaine et qualitative de ManageriA.
« La mise en conformité au RGPD représente un travail conséquent que nous avons entrepris depuis plusieurs mois déjà. »
CT : Face à l’obligation de mettre en place le RGPD, quelle a été votre réaction ?
CB : Il est vrai que cela nous a fait un peu peur au début ! Nous sommes un cabinet de chasseurs de têtes, qui plus est spécialisé sur l’agroalimentaire. Chaque consultant a son propre réseau dans un écosystème de relations et partenaires très fourni. Nous rencontrons chaque année plus de 700 candidats. Nous avons une base de données de plus de 75 000 CV… qui contiennent évidemment tout un ensemble de données personnelles. Depuis 25 ans, nous suivons les carrières sur la durée et c’est d’ailleurs notre marque de fabrique… Toutes ces spécificités nous paraissaient, au début, difficilement compatibles avec notre mise en conformité au RGPD. Heureusement, c’était sans compter sans l’infatigable optimisme de Chloé !
CT : Comment vous y êtes-vous pris ?
CB : Nous avons commencé par nommer un Délégué à la Protection des Données qui est Vicky …
VT : Puis, nous avons réalisé une cartographie de toutes nos données. CV, tests, évaluations, comptes-rendus…tout a été passé au crible ! Nous avons regardé de quelles données personnelles nous disposions, où ces données étaient stockées, comment les données étaient protégées, quelles étaient nos procédures internes en cas de violation de données…
CC : Pour travailler efficacement, nous avons décidé d’utiliser un outil de gestion de projet, les formulaires et guides proposés par la CNIL, sans oublier l’aide précieuse d’une DPO freelance, accréditée par la CNIL qui nous a permis de valider notre Politique de Confidentialité par exemple.
CB : Cela nous a amenées à affiner la manière dont nous collectons, traitons et protégeons les données et la question du consentement qui est au centre de la démarche. Cette question du consentement représente une grande nouveauté et nous a permis de replacer les candidats et leurs attentes au cœur de notre approche.
« La démarche doit être encadrée par une Politique de Confidentialité »
CT : Concernant les données, quelles sont les transformations que vous avez mises en œuvre ?
CC : Les évolutions portent tant sur la nature des données collectées que sur la manière dont elles sont collectées.
Pour la collecte de nouvelles données, il faut recueillir les bonnes données au bon moment, dans des conditions qui permettent de pouvoir établir la preuve d’un consentement (procédure double Opt In par exemple). Ces données doivent être adéquates, pertinentes, limitées, exactes et donc actuelles. Par ailleurs, le processus doit minimiser les informations requises en réduisant les données personnelles nécessaires au recrutement.
Pour les données plus anciennes, cela implique d’une part de faire un inventaire de l’existant et de supprimer/archiver tout ce qui n’est pas conforme ou à jour. Et d’autre part, d’automatiser et documenter les processus de mise à jour des données de moins de 2 ans.
La démarche doit être encadrée par une Politique de Confidentialité qui précise la finalité des données ainsi que la durée de conservation (2 ans maximum). Cette Politique de Confidentialité doit refléter les droits des candidats et être facilement accessible (site, formulaires candidatures, lien en signature email…). Elle suppose aussi la possibilité pour les candidats d’aller modifier les données les concernant dans l’Espace Candidat du site de recrutement … et donc une connexion entre le site de recrutement et le SIRH.
VT : En cas de manquements aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.) …, les sanctions peuvent être très lourdes : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial.
CB : Ce qui nous inquiétait bien sûr, comme tout Cabinet de recrutement, était de « perdre » notre historique auprès des Candidats déjà approchés, rencontrés, ou recrutés par notre intermédiaire… Mais nous avons été heureusement surprises de constater que lorsque nous avons recontacté les candidats enregistrés dans notre base de données, ils ont globalement joué le jeu ! Etant donné que nous sommes experts de leur secteur, l’agroalimentaire, nous avons un réel intérêt mutuel à garder contact, et ce bien au-delà des 2 ans requis par le RGPD !
CT : Quelles sont les évolutions concernant le traitement des données ?
VT : Le traitement des données doit être loyal, licite et transparent. L’objectif est pour nous d’obtenir le consentement éclairé du Candidat pour la conservation de ses données personnelles pendant 2 ans maximum avant de lui redemander son consentement.
CC : A notre échelle, il a fallu adapter nos process selon que le Candidat postule ou bien selon que nous l’approchons pour un poste. Pour tous les cas de figure néanmoins, il faut l’informer de la façon dont on conserve ses données, et pour quelle durée, mais aussi comment il peut les modifier ou les supprimer. Cela implique que dans la réponse circonstanciée que nous faisons à toutes les candidatures, nous informions le Candidat de notre Politique de Confidentialité et lui demandions son consentement pour la conservation de ses données dans une finalité précise.
« Si la finalité des données change, alors il faut obtenir un nouveau consentement du candidat. »
VT : On ne peut donc pas utiliser les données pour d’autres finalités que celles expliquées. En clair, si la candidature ou la prise de contact concernait un poste bien spécifique, on ne peut pas ensuite utiliser les données pour un autre poste. Si la finalité des données change, alors il faut obtenir le consentement du candidat.
CB : C’est une révolution dans les pratiques ! Les recruteurs peu scrupuleux ne peuvent plus se permettre de piocher dans un vivier de candidats en présumant du consentement d’une personne qui aurait postulé 3 ans plus tôt à un poste … Cela dit, cela conforte aussi l’approche humaine et qualitative que nous privilégions chez ManageriA, plutôt que l’utilisation d’algorithme de matching.
CT : Et au niveau de la sécurité ?
VT : C’est également un sujet très important parce qu’il faut garantir la sécurité des données par des mesures techniques et protéger les données contre des traitements non autorisés, le tout à une époque où le travail à distance, les déplacements sont partie prenante de nos métiers !
CB : Et là aussi les sanctions peuvent être très lourdes. Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default …
« On replace la relation humaine au cœur du processus de recrutement car c’est la qualité de cette relation qui rendra possible la conservation des données en conformité »
CT : Quel intérêt présente le RGPD en contrepartie ?
CB : Comme je le disais, le RGPD implique une approche plus qualitative et respectueuse des Candidats et de ce fait valorise l’expérience Candidat. Multiplier les contacts avec lui pour mettre à jour son dossier et lui demander régulièrement son consentement permet de tisser une relation personnelle sur le long terme. Ce faisant, on replace la relation humaine au cœur du processus de recrutement car c’est la qualité de cette relation qui rendra possible la conservation des données en conformité. C’est un véritable apport en matière de bonnes pratiques et un facteur de différenciation certain des cabinets vis-à-vis des Candidats qui sauront vite faire la différence entre les cabinets professionnels, humains et conformes au RGPD …et les autres.
Pour ManageriA qui place la relation humaine au centre de son éthique professionnelle, le RGPD permet véritablement de valoriser les compétences et le savoir-faire de ses consultants.
Propos recueillis par Christelle Thouvenin pour ManageriA