Comme vous l’avez certainement appris, l’UE a mis en vigueur de nouvelles directives sur la protection des données (RGPD UE = Règlement général sur la protection des données de l’UE) au 25.05.2018. Cela a suscité diverses questions non seulement chez nos clients étrangers, mais aussi chez nos clients suisses.
Nous les avons rassemblées et souhaitons y répondre par cet article. Notez que cet article ne peut pas répondre de manière exhaustive à toutes les questions, car le sujet évolue de manière très dynamique. De plus, nous ne pouvons vous fournir par cet article que des recommandations qui n’ont pas de caractère juridiquement contraignant.
Les circonstances juridiques peuvent varier d’une entreprise à l’autre. En cas de doute, clarifiez impérativement vos questions juridiques auprès d’un spécialiste compétent.
Êtes-vous concerné par le RGPD de l'UE ?
Sont concernées en principe toutes les entreprises des États membres de l’UE, mais aussi les entreprises hors de l’UE (comme la Suisse) qui enregistrent et traitent des données à caractère personnel de citoyens de l’UE. Si vous recevez donc des candidatures de citoyens de l’UE, votre entreprise est concernée par les nouvelles réglementations.
Les différences entre la LPD (loi suisse sur la protection des données) et le RGPD de l'UE sont-elles importantes ?
Les deux lois sont très similaires sur le principe, mais diffèrent parfois très fortement dans les détails. Elles ont en commun le fait que les données à caractère personnel doivent être protégées à l’ère numérique. La Suisse reprendra en grande partie le RGPD de l’UE à moyen terme. Des modifications législatives correspondantes sont déjà en cours de planification. C’est une raison supplémentaire pour laquelle vous devriez vous pencher dès aujourd’hui sur la nouvelle situation juridique.
Devez-vous publier des directives de protection des données sur votre site web ?
C’est vivement recommandé, car le RGPD de l’UE part du principe, dès la visite de votre site web, que des données à caractère personnel pourraient être enregistrées dans certaines circonstances. C’est par exemple déjà le cas si le site web de votre entreprise utilise des cookies pour enregistrer certaines informations sur le visiteur du site. En outre, la loi suisse sur la protection des données exigera également que vous informiez de manière proactive sur la protection des données et que vous le fassiez de la manière la plus simple possible, par exemple par un document public sur votre site web.
Qu'est-ce qui change dans le processus de recrutement en raison de la nouvelle situation juridique ?
Si vous recevez des données de candidats (en particulier de personnes de l’UE), vous devez informer les candidats avant l’enregistrement que vous avez l’intention de stocker les données transmises. Si vous recevez les dossiers de candidature par e-mail, cela n’est pas possible du tout, car les données sont déjà enregistrées sur vos systèmes informatiques (ou ceux de votre fournisseur de messagerie).
Outre cette situation paradoxale, s’ajoute le fait que les candidats doivent donner leur consentement explicite pour l’enregistrement des données.
Notre recommandation pour cette situation :
Continuez à traiter les candidatures que vous recevez par e-mail comme d’habitude. Les candidats vous ont envoyé les documents de manière active, ce qui laisse supposer qu’ils ont un intérêt à ce que vous traitiez les données conformément à leur intention (les données ne sont utilisées qu’à des fins de candidature).
Le mieux est de confirmer aux candidats le traitement des données avec la lettre d’attente envoyée, en ajoutant l’exemple de texte suivant en tant que clause de non-responsabilité à l’e-mail :
Exemple de texte :
Conformément à la loi en vigueur sur la protection des données, nous attirons votre attention sur le fait que vos documents de candidature sont enregistrés et traités par nos soins. Les données ne sont traitées que dans le but de la candidature que vous avez défini. Vous trouverez les directives détaillées de protection des données de notre entreprise ici (lien vers les directives de protection des données de votre entreprise).
Vous pouvez bien sûr intégrer ce texte très simplement et une seule fois dans vos modèles de réponse enregistrés dans votre compte Ostendis.
Existe-t-il d'autres possibilités pouvant être mises à disposition des candidats pour une transmission des données conforme au RGPD ?
Ostendis met à votre disposition l’Ostendis CVdropper™ pour recevoir les candidatures des candidats. L’Ostendis CVdropper™ est un nouveau type de formulaire de candidature que vous pouvez mettre à disposition des candidats très simplement, sans intégration sur votre site web. Il n’est pas structuré comme un formulaire de candidature classique et de plus en plus décrié, car seule l’adresse e-mail doit être indiquée et tous les documents peuvent être glissés-déposés dans une boîte. Le service d’importation d’Ostendis traite ensuite ces données, comme lors du transfert d’e-mail habituel par vos soins à [email protected].
D’un point de vue pratique, cela offre aux candidats une possibilité très simple et accueillante de postuler chez vous. Pour vous, l’étape du transfert d’e-mail est supprimée, ce qui permet de gagner encore plus de temps.
D’un point de vue juridique, l’Ostendis CVdropper™ présente un avantage majeur : vous pouvez, comme l’exige le RGPD de l’UE, mettre vos directives de protection des données à la disposition du candidat avant la transmission du dossier de candidature, et celui-ci doit les confirmer explicitement d’un clic de souris avant l’envoi.
Pour plus d’informations sur l’utilisation de l’Ostendis CVdropper™ dans votre entreprise, n’hésitez pas à nous contacter.
Devez-vous adapter vos directives de protection des données si vous traitez les données des candidats avec Ostendis ?
En raison de la transparence exigée par les lois, il est judicieux d’indiquer dans vos directives de protection des données que vous enregistrez les dossiers de candidature chez Ostendis et que vous les traitez via les possibilités que nous offrons. Il s’agit d’un traitement de données de commande (art. 28 RGPD UE). Vous pouvez en informer les candidats dans vos directives de protection des données comme suit :
Exemple de texte :
Notre entreprise travaille avec la solution d’e-recrutement d’Ostendis AG, CH-5706 Boniswil (IDE : CHE-102.097.261), qui assure le stockage des données relatives aux dossiers de candidature et propose des processus de traitement de ces données dans le cadre d’une sous-traitance de données. Dans ce cadre, les données à caractère personnel ne sont pas analysées de manière automatisée dans le détail (profilage) et aucun procédé de traitement automatisé des données n’est utilisé pour la prise de décision (matching). Vous trouverez de plus amples informations et les directives de protection des données d’Ostendis AG sur www.ostendis.com.
Est-il permis de conserver les données des candidats afin de pouvoir les contacter en cas de besoin ultérieur ?
En principe, vous êtes tenu de supprimer les dossiers de candidature après la clôture du processus de recrutement. Cependant, le processus peut durer quelques jours ou quelques mois. Par conséquent, aucun délai absolu n’est fixé par la loi.
Ce qui n’est certainement pas autorisé : collecter des données de candidats en réserve. C’est-à-dire enregistrer simplement tous les dossiers que vous recevez et les conserver indéfiniment sans raison.
Toutefois, si vous avez reçu un dossier de candidature intéressant et que vous pouvez supposer que vous pourriez envisager cette personne lors d’un prochain recrutement, il est bien sûr opportun de conserver le dossier. À cet effet, le pool de candidats est à votre disposition dans Ostendis.
Comme l’obligation d’information est primordiale dans le RGPD de l’UE, nous vous recommandons d’intégrer le texte suivant dans vos directives de protection des données et éventuellement dans vos lettres de refus :
Exemple de texte :
Nous nous réservons le droit de conserver vos documents de candidature chez nous pendant une durée maximale de 2 ans, même après la fin du processus de candidature, afin de pouvoir vous contacter pour le pourvoi d’autres postes intéressants. Si vous n’êtes pas d’accord avec cette pratique, veuillez nous en informer brièvement.
La valeur de 2 ans peut bien sûr être déterminée par votre entreprise. Il n’existe actuellement aucune valeur de référence maximale autorisée résultant de décisions de justice. Ne pas définir de période de conservation ne serait pas correct juridiquement, car cela permettrait un stockage indéfiniment long et illicite.
Ostendis est actuellement en cours d’extension à ce sujet, de sorte que vous pourrez, grâce à un mécanisme simple dans le pool de candidats, rechercher et supprimer des dossiers d’un certain âge (par exemple tous les dossiers de plus de 365 jours), afin de pouvoir remplir votre obligation de protection des données avec Ostendis à tout moment et de manière simple.
De plus, vous pourrez désormais définir la durée de conservation des candidatures que vous avez déplacées dans la corbeille en les supprimant. À l’expiration de la durée de conservation, les données seront automatiquement, totalement et irrévocablement supprimées des systèmes d’Ostendis.
Remarques finales et responsables de la protection des données d'Ostendis AG
Veuillez noter, comme mentionné au début, que nous ne pouvons vous donner par cet article aucune garantie juridique, mais seulement des recommandations recherchées par nos interlocuteurs juridiques.
Nous restons bien entendu à votre disposition pour toute autre question concernant la protection des données avec Ostendis.
Monsieur Philippe Moser
CEO et délégué à la protection des données responsable
Madame Livia Berger
Marketing Manager, membre de la direction et déléguée adjointe à la protection des données
