Le casse-tête du GDPR arrive dans le recrutement en 2018 - résolu par Krzysztof Dzioba de EY LAW

Le web a transformé la façon dont les gens cherchent un emploi ainsi que la façon dont les entreprises recrutent des professionnels. Les candidats remplissent des formulaires et soumettent volontairement leurs informations personnelles ou sont identifiés par les recruteurs sur la base des informations qu'ils choisissent de partager en ligne. Dans certains cas, les données des candidats impliqués dans le processus d'embauche sont mal gérées.

Le 25 mai 2018, un nouveau règlement sur la protection de la vie privée traitant de cette question entre en vigueur. Il s'agit du règlement général sur la protection des données (RGPD).

Bien que mai 2018 puisse sembler loin, il y a beaucoup de choses à faire et vous devez donc commencer dès maintenant. L'horloge tourne, mais les organisations sont encore loin d'être prêtes. Selon une étude réalisée en 2017 par TrustArc et intitulée "La vie privée et le GDPR de l'UE", 61% des participants à l'enquête ont déclaré qu'ils n'avaient pas commencé le processus de mise en œuvre du GDPR. Pour vous permettre de mieux comprendre le GDPR et ses implications sur le processus de recrutement, nous nous entretenons avec . Krzysztof Dzioba de Droit d'Ernst & Young Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

1. Qu'est-ce que le règlement général sur la protection des données (RGPD) et à qui s'applique-t-il ?

Le 4 mai 2016, après quatre ans d'âpres négociations, le GDPR est désormais publié au Journal officiel. Le règlement change la donne pour tous les types d'organisations. La version finale introduit des défis de conformité à la protection des données plus stricts et prescriptifs, soutenus par des amendes pouvant atteindre 4% du chiffre d'affaires annuel mondial. Le règlement remplacera la directive 95/46/CE, qui constitue la base de la législation européenne sur la protection des données depuis son introduction en 1995. Le GDPR entrera en vigueur dans toute l'UE le 25 mai 2018, sans obligation de mise en œuvre par les États membres.

Le règlement aura un impact significatif sur les entreprises de tous les secteurs industriels, apportant des changements à la fois positifs et négatifs pour les entreprises en termes de coûts et d'efforts. Les organisations sont susceptibles de se féliciter de l'harmonisation des lois dans tous les États membres, ce qui rendra le paysage complexe de la protection des données plus facile à naviguer pour les organisations multinationales. L'introduction de nouveaux droits pour les individus, tels que le droit à l'oubli et le droit à la portabilité, ainsi que l'introduction de la notification obligatoire des violations, sont susceptibles d'augmenter la charge réglementaire pour les organisations.

Chaque entreprise et certaines institutions publiques traitant des données personnelles (de clients, d'employés ou de contractants) est tenue de mettre en œuvre le GDPR.

Le plus important, c'est que le GDPR n'exige pas de solutions techniques spécifiques en matière de protection des données. Il indique que ces solutions doivent être adaptées aux données spécifiques et au risque lié à la violation de la protection des données personnelles. Les entités traitant des données devront désormais prouver qu'elles ont évalué le risque et appliqué des mesures appropriées.

La protection des données s'est considérablement compliquée et est devenue un processus vivant, qui doit être surveillé et développé en permanence.

2. Comment le GDPR affecte-t-il le processus de recrutement et le travail des recruteurs par rapport aux précédentes réglementations sur la protection des données personnelles ?

Dans la plupart des cas, les données personnelles des candidats et des employés sont protégées sur la base de lois distinctes de chaque État membre.

En vertu de l'article 88 du GDPR, la même règle s'applique depuis mai 2018. Les États membres se sont vu accorder le droit de prévoir des règles plus spécifiques en matière de protection. des droits et libertés à l'égard du traitement des données personnelles des employés dans le cadre de l'emploi. Les règles à cet égard doivent donc encore être établies dans chaque pays. On s'attend à ce que les différences soient assez importantes, par exemple en ce qui concerne les données biométriques ou des catégories spécifiques de données personnelles.

Le GDPR ajoutera plusieurs nouveaux privilèges aux employés et aux candidats, qui pourraient être adaptés par les réglementations nationales.

Il existe également quelques nouvelles règles concernant le consentement au traitement des données - qui seront mentionnées ci-dessous.

3. Quel est l'impact du GDPR sur le premier contact avec le candidat ? Quels types de consentements sont légalement requis ?

En raison du motif 32 du GDPR, le consentement doit être donné par un acte affirmatif clair établissant une indication libre, spécifique, informée et non ambiguë de l'accord de la personne concernée pour le traitement des données personnelles la concernant, comme par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Le silence, les cases pré-cochées ou l'inactivité ne doivent pas constituer un consentement.

En conséquence, dans le cadre du processus de recrutement, l'employeur doit informer le candidat, entre autres, de ce qui suit :

• les finalités du traitement des données personnelles,
• la période pendant laquelle ils seront stockés,
• les destinataires des données,
• le droit de déposer une plainte auprès de l'organe de contrôle.

Formellement, tous les candidats doivent être informés des règles de traitement des données par l'employeur, soit par un document (joint ou mentionné dans l'offre d'emploi), soit en indiquant les informations requises lors du premier contact.

4. Existe-t-il des différences entre le traitement des données personnelles d'un candidat actif (qui a envoyé son CV) et d'un candidat passif (dont les données ont été trouvées sur LinkedIn, GitHub, Twitter ou Facebook) ?

L'employeur doit traiter les données personnelles des employés potentiels conformément aux principes de fiabilité, de finalité, d'adéquation et de temporalité.

L'employeur doit tenir compte de la nécessité de remplir l'obligation d'information envers le candidat actif. L'étendue des informations peut varier selon que le CV sera obtenu par l'employeur auprès d'un tiers ou directement auprès du candidat.

Le traitement des données d'un candidat passif nécessite une certaine base juridique - comme l'intérêt légitime. La collecte d'informations sur les médias sociaux doit être liée à des objectifs professionnels uniquement. En d'autres termes, les employeurs ne sont autorisés à collecter et à traiter les données personnelles des candidats que si ces données sont nécessaires et pertinentes pour l'exécution du travail.

Fondamentalement, la différence de traitement des données personnelles des candidats résulte de la base juridique du traitement. Le candidat actif donne son consentement et les données des candidats passifs sont traitées sur la base de l'intérêt légitime de l'employeur. Le contact initial avec un tel candidat doit toutefois couvrir les obligations d'information de l'employeur.

5. Qu'est-ce qui est considéré comme des données à caractère personnel au sens du GDPR ?

Selon le GDPR, on entend par "données personnelles" toute information relative à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Fondamentalement, toute information susceptible d'identifier une certaine personne est une donnée personnelle.

Si une information donnée pour une certaine entité fonctionnera comme une donnée à caractère personnel, elle ne le fera pas pour une autre. Des coûts ou un temps excessifs pour identifier une certaine personne signifient que cette information pourrait ne pas être considérée comme une donnée à caractère personnel.

6. Les candidats obtiennent-ils des droits pour protéger leurs données recueillies dans le cadre du processus de recrutement ? Quels sont leurs droits ?

En vertu du GDPR, les candidats auront davantage de droits en matière de traitement de leurs données au stade du recrutement et l'employeur devra veiller à leur mise en œuvre. Par exemple, les données d'un candidat pourront être traitées sur la base de l'expression volontaire et consciente de sa volonté. Le consentement ne peut pas être présumé et les utilisateurs auront le droit de le retirer, mais il doit s'agir d'un processus aussi facile que le consentement.

Le GDPR, comme indiqué ci-dessus, met en œuvre des droits qui ne sont pas exclus du processus de recrutement, par exemple :

• le droit d'être informé de la manière dont les données personnelles seront utilisées,
• le droit d'accès,
• le droit de rectification des données qui sont inexactes ou incomplètes,
• le droit à l'oubli dans certaines circonstances,
• le droit de bloquer ou de supprimer le traitement des données à caractère personnel,
• le nouveau droit à la portabilité des données.

Les États membres pourraient préciser comment ces droits pourraient être exercés par les employés au cours du processus de recrutement.

7. Comment le GDPR affecte-t-il les candidats qui participent mais ne sont pas sélectionnés ? Leurs données peuvent-elles être stockées légalement et si oui, dans quelle mesure ?

Les employeurs ne doivent pas conserver les données des candidats (y compris les CV) pendant une période supérieure à la durée d'une procédure de recrutement donnée.

Comme l'indique l'organe consultatif européen sur la protection des données personnelles - le groupe de travail art. 29 - dans l'avis 2/2017 sur le traitement des données au travail, a déclaré que "des données collectées au cours du processus de recrutement doivent généralement être supprimées dès qu'il apparaît clairement qu'une offre d'emploi ne sera pas faite ou n'est pas acceptée par la personne concernée. La personne doit également être correctement informée de tout traitement de ce type avant de s'engager dans le processus de recrutement."

N'oubliez pas que les données personnelles ne concernent pas seulement les CV. Les informations stockées sur les candidats au cours du processus d'entretien doivent également être éliminées.

Si les employeurs souhaitent traiter ces données pendant une période plus longue, par exemple aux fins d'un recrutement ultérieur, ils doivent disposer d'une base juridique appropriée - comme le consentement du candidat.

Toutefois, le traitement des données recueillies dans le cadre du processus de recrutement peut durer plus longtemps - en cas d'intérêt légitime (par exemple pour se défendre contre des plaintes pour discrimination). Il convient de veiller strictement à ce que, dans ce cas, les données ne soient pas utilisées pour d'autres processus de recrutement ou à d'autres fins.

8. Les candidats peuvent-ils légalement exiger que leurs données obtenues dans le cadre du recrutement soient supprimées ? Ont-ils le droit d'obtenir leurs données personnelles ?

En vertu du droit à l'oubli prévu par le GDPR, le candidat aura le droit d'exiger de l'employeur qu'il efface les données personnelles le concernant dans certaines circonstances. Cela peut arriver lorsque l'employé a révoqué son consentement.

Le GDPR n'a pas exclu le droit d'obtenir leurs données personnelles lors du processus de recrutement.

Des règles ou exigences supplémentaires à cet égard pourraient découler des actes de chaque État membre.

9. Comment le GDPR s'applique-t-il à l'utilisation d'un outil externe (tel qu'un ATS) dans le processus de recrutement ? Quelle partie est traitée comme l'administrateur des données et le processeur de données ?

Selon le type de services fournis, l'échange de données entre l'employeur et le prestataire de services de recrutement peut prendre la forme d'une relation entre deux administrateurs ou d'un administrateur et d'une personne traitant les données personnelles sur demande.

La réponse à la question de savoir quel modèle est valable dans chaque cas nécessite une analyse des contrats conclus avec ces partenaires. Par exemple, une agence de recrutement pourrait ne transférer à l'employeur que des informations de base sur le candidat (par exemple, l'expérience et la formation, et non des données d'identification) et donc ne pas transférer de données à caractère personnel. Dans ce cas, l'employeur ne sera pas, à mon avis, considéré comme un contrôleur de données ou même un sous-traitant.

10. Des consentements supplémentaires sont-ils légalement requis après l'embauche du candidat ? Les nouveaux embauchés ont-ils besoin d'une formation concernant les systèmes utilisés dans l'organisation et la protection des données dans ces systèmes ?

Dans la plupart des cas, le catalogue exact des données personnelles requises pour un contrat de travail est réglementé par les lois de chaque État membre. Aucun consentement n'est requis si le droit du travail, le droit fiscal ou toute autre disposition générale exige le traitement de certaines données à caractère personnel.

Il est conseillé aux employeurs de ne traiter que les données qui ne nécessitent pas le consentement des employés. Pourquoi ?

Premièrement, en raison du GDPR, comme indiqué ci-dessus, tout consentement doit être accordé librement, sans contrainte. Dans chaque relation, l'employeur s'adresse à l'employé en position de force. Par conséquent, il est beaucoup plus difficile de prouver que l'employé pourrait simplement refuser ou révoquer son consentement au traitement de données personnelles, par exemple son image à des fins de marketing ou d'intégration.

Bien entendu, certains des avantages accordés aux employés (par exemple, la voiture de fonction, les soins de santé) peuvent être liés au traitement des données. Toutefois, ce consentement peut être révoqué à tout moment et les données ne doivent être traitées que pendant la période nécessaire à cette fin.

11. Comment le GDPR s'applique-t-il au licenciement des employés ? Les employeurs ont-ils des obligations à remplir ?

Tout d'abord, comme indiqué ci-dessus, si le consentement des employés est la seule base juridique du traitement des données à caractère personnel, l'employé peut révoquer son consentement au moment de son licenciement. En conséquence, toutes ces données doivent être effacées des systèmes de l'employeur.

Si la base du traitement des données est définie dans une certaine loi (concernant le droit du travail, la sécurité sociale, la fiscalité), l'employeur est toujours tenu de conserver ces données après la fin du contrat de travail.

D'autres règlements et exigences peuvent être imposés aux employeurs dans les lois de chaque État membre.

12. En cas de transfert de données en dehors de l'UE, qui est légalement tenu de protéger les données et de s'assurer que toutes les procédures sont en accord avec le GDPR ?

L'employeur détermine les finalités et les moyens de traitement des données personnelles des employés. Par conséquent, il doit être considéré comme un responsable du traitement au sens de l'article 4.7 du GDPR. Le responsable du traitement est tenu pour responsable en cas de violation de la protection des données.

En raison de la règle de responsabilité, le manquement à l'obligation de diligence d'une entité d'un pays tiers sera supporté par l'employeur. En conséquence, l'employeur doit s'assurer que l'entité du pays tiers a fourni des garanties appropriées, et à condition que les droits exécutoires des personnes concernées et des recours juridiques efficaces pour les personnes concernées soient disponibles - en vertu de l'article 46.1 du GDPR.

Bien entendu, si l'employeur subit des conséquences financières en raison de l'inexécution du contrat par l'entité du pays tiers, il peut faire valoir ses droits devant les tribunaux et demander une compensation.

13. Quelles sont les conséquences de la non-conformité au GDPR ?

Premièrement, les conséquences financières évidentes et bien connues (sanctions pouvant aller jusqu'à 20 000 000 EUR ou 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu). Ensuite, les actions civiles des personnes concernées. Et enfin, un préjudice marketing important.