En dix ans, le paysage des usages des données à caractère personnel a connu une évolution radicale, au moins autant d’ailleurs que la manière dont les personnes utilisent leurs données personnelles, rendant sans cesse plus poreuse la frontière entre sphère privée et publique. Pour toute organisation la donnée est aujourd’hui un actif stratégique majeur, elle doit être exploitée et tout à la fois protégée, mêlant exigences d’efficacité opérationnelle et de conformité réglementaire.

Pour vous accompagner dans la gestion de vos recrutements en adéquation avec le cadre réglementaire, notamment les profonds changements amenés par le Règlement Général relatif à la Protection des Données à caractère personnel (RGPD n° 2016/679 du 27 avril 2016), nous avons lancé l’été dernier un ambitieux programme de mise en conformité.

EN 6 MOIS DE TRAVAIL POUR RENDRE NOTRE OUTIL TOTALEMENT CONFORME RGPD, NOUS AVONS :

A force de travail, d’échanges avec nos clients et avec notre DPO (Délégué à la Protection des Données ou Data Protection Officer en anglais), nous avons tiré 8 leçons majeures du RGPD. A chacune de ces leçons correspond une nouvelle fonctionnalité ou mesure de sécurité dans RHPROFILER :

Le consentement des personnes au traitement de leurs données constitue, avec l’obligation renforcée d’information, le bouclier les protégeant contre une exploitation massive et non-contrôlée de leurs données. Il n’est pas systématique mais, dans de nombreux cas, il sera requis pour traiter les données*.

 

Dans ces situations, l’entreprise traitant les données doit pouvoir prouver en tout temps :

  • Quand…
  • Par qui…
  • Comment…
  • Pourquoi…

…le consentement a été donné ou retiré.

 

C’est pourquoi RHPROFILER vous permet désormais d’automatiser la collecte du consentement de vos candidats (anciens et nouveaux), de renseigner manuellement les consentements lorsqu’ils ont été collectés en dehors de l’application, de stocker la preuve des consentements, de vous alerter lorsque vous vous apprêter à traiter des données en l’absence de consentement, etc.

 

*Sont mis à disposition de nos clients différents documents détaillant nos fonctionnalités RGPD (obligation légale afférente, fonctionnement, marge de manœuvre, etc.).

Si vous avez lu quelques billets sur le RGPD, vous avez forcément entendu parler de l’interdiction de conserver indéfiniment des données. La logique est même à l’exact opposé de cela : vous n’avez plus strictement besoin d’une donnée ? Supprimez-la !

 

RHPROFILER dispose d’une fonctionnalité gérant automatiquement la suppression des données selon des règles définies par notre DPO en concordance avec le RGPD et les recommandations de la CNIL.

 

Il vous est néanmoins possible de modifier ces règles et de supprimer manuellement les données de vos candidats.

Le renforcement de l’information des personnes concernées est l’un des leviers mis en place par le Règlement pour accroître la protection des personnes dont les données sont traitées. Cette protection accrue passe par deux types d’obligations mises à la charge des responsables de traitement :

  • Une obligation de transparence ;
  • Un accroissement des informations communiquées aux personnes lors de la collecte de leurs données.

 

Nous avons développé une fonctionnalité vous permettant de communiquer à vos candidats, dans la première collecte de leurs données, toutes les mentions légales obligatoires. Nous proposons par défaut des mentions rédigées par notre DPO que vous pouvez librement personnaliser ou remplacer.

Le Règlement renforce la protection des personnes notamment en leur reconnaissant de nouveaux droits. Parmi ces derniers figurent : le droit à l’oubli, la portabilité et le droit à limitation des données.

 

Lorsqu’un « droit RGPD » est exercé, l’entreprise ne dispose que du peu de temps pour répondre (un mois sauf cas particulier). Au-delà de la totale maîtrise de vos données permise nativement par RHPROFILER, notre DPO a mis en place les procédures nécessaires à la détection des demandes de droits qui pourraient être exercées par les candidats afin de vous accompagner dans les réponses que vous devrez apporter.

La sécurité des données confiées par nos clients et leurs candidats a toujours été au cœur de nos préoccupations, en tant que pionniers des recrutements sur le web. Le RGPD a néanmoins été une bonne occasion de revoir nos pratiques en intégrant les points de vue spécifiques de la CNIL et de l’ANSSI relatifs aux données personnelles.

 

Chiffrement amélioré, nouvelle gestion des mots de passe, migration progressive vers un nouveau langage, analyse de la sécurité de nos sous-traitants ont été parmi nos principales actions sur cette thématique de sécurité RGPD.

Le RGPD exige une « chaîne de conformité ». Tous les acteurs d’un traitement de données auquel vous participez doivent être en conformité que pour vous soyez, vous aussi, en parfaite conformité.

 

Ainsi la conformité de nos clients dépend de la nôtre, et la nôtre dépend de celle de nos rares sous-traitants. Nous avons ainsi revu tous nos engagements contractuels avec ces derniers afin d’assurer la robustesse de cette chaîne de conformité.

 

Bien sûr nous avons également revu notre contrat de service en y intégrant une annexe dédiée au RGPD.

Votre conformité dépend de la nôtre !

 

Nous travaillons sans relâche sur notre respect du RGPD car c’est notre obligation de sous-traitant mais aussi parce que c’est votre obligation de responsable de traitement de ne travailler qu’avec des sous-traitants conformes, et pas question de vous perdre !

 

Nous avons développé diverses fonctionnalités RGPD et les avons activées par défaut afin de vous permettre d’être en conformité RGPD grâce à notre outil. Toutefois, vous gardez une totale maîtrise de vos traitements ! Si certaines fonctionnalités ne sont pas utiles dans votre cas et que vous souhaitez les désactiver, vous en avez le droit et la possibilité à tout moment en nous contactant.

Si nous qualifions plus tôt le RGPD de « chaîne de conformité », il est aussi un marathon plutôt qu’un sprint.

 

En effet, notre conformité au règlement doit s’inscrire dans le temps. Pour ce faire notre DPO a mis en place les procédures nécessaires à l’analyse sous l’angle « protection des données » de toutes nos nouvelles fonctionnalités. Il sera par ailleurs procédé à une revue régulière de RHPROFILER afin de s’assurer que sa conformité évolue en même temps que la réglementation.

Le mot du DPO

« Je suis contacté depuis quelques mois par de nombreux éditeurs de solutions RH souhaitant travailler sur « la partie émergée de l’iceberg RGPD » pour avoir l’air rapidement conformes, notamment depuis que la CNIL a annoncé qu’elle s’intéresserait à eux pour ses contrôles en 2019 ! Pour RHPROFILER la motivation est toute autre (d’ailleurs je les accompagnais bien avant que la CNIL ne dévoile ses intentions) et les actions de conformité mises en œuvre, qui ont nécessité beaucoup d’investissements de la part de toute l’équipe, sont des actions de fond, très opérationnelles.

 

Si dans un premier temps certains clients ont été surpris de nos actions, RHPROFILER ayant été l’un des premiers (le premier ?) à s’investir autant dans son processus de conformité, les retours positifs des DPO des clients que nous avons aujourd’hui nous indiquent que RHPROFILER a fait les bons choix.

 

RHPROFILER étant très proche de ses clients, je passe certains jours plusieurs heures à conseiller mes homologues chez ces derniers. Venez donc discuter RGPD avec nous, vous constaterez tout cela par vous-même. »