Bonjour Marc, pouvez-vous vous présenter en quelques mots ?
Je suis avocat expert en droit des technologies avancées, associé chez RSM, 6ème plus gros cabinet mondial d’audit, d’expertise et de conseil. J’ai, en outre, présidé de 2012 à 2016 la Commission Vie Privée et Droits de la Personne Numérique de l’Union Internationale des Avocats où je siège encore au Comité Éxécutif.
J’ai eu l’honneur d’être identifié par Who’s Who comme un des avocats mondialement reconnus dans le domaine de la protection des données web & e-commerce.
Nous vous savons très impliqué dans la transformation RGPD, que pouvez-vous vous nous dire sur ces milliers d’emails de consentement que nous avons tous reçus dans nos boites emails ?
Que c’est une aberration. L’envoi d’emails publicitaires à une base de prospects et/ou de clients est réglementée depuis fort longtemps par la directive e-commerce, la RGPD n’a strictement rien changé à cette directive.
Vous voulez dire que cela ne sert à rien ?
Je n’ai pas dit cela : je veux dire que l’obtention du consentement d’un utilisateur a toujours été requis, avant et après la RGPD. L’affolement général qui a dominé avant ce fameux 25 Mai a fait que beaucoup d’entreprises ont sollicité une base sans précaution ni distinction.
Or dans cette base une partie avait déjà peut-être donné son consentement. Cela revient à détruire une base pour pas grand chose.
La remarque la plus pertinente que je ferai sur l’emailing est l’obligation d’un lien de désinscription au bas de votre email. Il est complètement incompréhensible de recevoir encore aujourd’hui des emails sans cette option.
Que faire donc pour s’assurer qu’à l’avenir sa base candidat est “compliant” ?
Il faut s’assurer que les prochaines candidats à entrer en base aient clairement donné leur consentement. Pour cela l’idéal est d’avoir un formulaire de candidature avec une checkbox optin (ie : qui n’est pas pré cochée), et un lien vers des CGU appropriées.
Et si jamais les candidatures sont issues des job boards ? Sont-ce eux qui ont la charge d’obtenir le consentement ?
En effet ce sont les job boards qui ont en charge d’obtenir le consentement du candidat. Leurs CGU indiquent en général (et sinon elles devraient le faire) qu’une copie des données est transmise au recruteur. Il faut être vigilant, toutefois, aux obligations indiquées dans les CGU des job boards : Certains, par exemple, indiquent que le recruteur ne gardera ces données que 2 ans. Il faut se mettre en accord avec les job boards que l’on utilise.
Vous parlez des candidatures issues des annonces, mais lorsque les cabinets remplissent manuellement une fiche dans leur base de données, en copier-coller depuis un CV ou une plateforme, comment s’assurer d’être RGPD compliant ?
C’est plus délicat. D’autant que l’on n’a parfois même pas l’email du candidat. Pour justifier l’entrée en base d’une personne il existe plusieurs bases juridiques possibles : le consentement, la contractualisation, l’intérêt légitime…c’est sur cette dernière notion que les cabinets & RH pourraient s’appuyer.
En effet les candidats sont stockés, non pas pour leur vendre des séjours ou des écrans HD, mais bien pour leur proposer de l’emploi. Mais ce cadre est très récent et aucune jurisprudence n’existe pour l’instant. A mon sens les cabinets et RH pourraient faire apparaître cette notion d’intérêt légitime dans leurs CGU.
Une fois le candidat stocké en base, vous nous confirmez qu’il faut le supprimer au bout de 2 ans ?
Encore une exagération issue d’une mauvaise lecture des directives de la CNIL. La période de 2 ans est une recommandation, et non pas une obligation. La durée de conservation “ne devra pas être excessive au regard des raisons pour lesquelles vous les avez collectées”.
Dans le cas du recrutement par exemple : on sait qu’en France, en moyenne, un candidat reste en poste entre 3 et 4 ans. Cette durée peut tout à fait être justifiée, car le candidat sera potentiellement à nouveau à l’écoute du marché de l’emploi à l’issue de celle-ci.
A quoi les candidats doivent-ils avoir accès et comment faire ?
Les candidats doivent pouvoir avoir accès à leurs données personnelles en consultation, modification et téléchargement. Ils doivent également avoir la possibilité de demander à être supprimés de votre base candidats.
L’idéal est d’avoir un ATS qui permet à vos candidats d’avoir accès à une interface directement via un login/password, où ils pourront réaliser les opérations indiquées plus haut. Cela vous permet de faire un grand pas en avant dans le respect de la RGPD. Tool4staffing par exemple, propose ces fonctionnalités.
Accès à leurs données ? Quid des commentaires et comptes rendu d’entretiens ?
Ils sont de facto la propriété du cabinet ou RH qui les a généré, et ceux-ci n’ont en aucun cas l’obligation de les diffuser. Le droit d’accès s’applique uniquement sur les données personnelles du candidat.
Vous parlez beaucoup des Conditions Générales d’Utilisation, comment les rédiger ?
Faire appel à un avocat professionnel est évidemment la meilleure solution, même si beaucoup d’entreprises les rédigent eux-même. Tool4staffing, par exemple, propose des exemples de CGU très complètes à ses clients. Cela n’est en aucun cas un document officiel et ne les engage pas, car chaque cabinet est particulier, mais peut représenter une bonne source d’inspiration.
Et bien un grand merci Marc, quelques mots à rajouter ?
Oui un mot que je donne fréquemment à toutes les structures à taille humaine, qui m’appellent terrorisées à l’idée de la RGPD :
• Pensez à mettre un lien de désinscription dans toutes vos communications email.
• Informez des usages des données d’une manière transparente et permettez à vos candidats l’accès à leurs données personnelles.
Avec ces deux éléments, et le respect des consignes élémentaires et de bon sens, vous aurez déjà fait beaucoup pour être RGPD compliant.
Pour le reste n’hésitez pas à contacter un professionnel, notre cabinet ou un autre, pour vous accompagner dans la démarche RGPD. Nous sommes également en train de réaliser, en collaboration avec tool4staffing, un livre blanc Les recruteurs et la RGPD, qui répond plus en détail à toutes vos questions.