RGPD : comment gérer les données personnelles des candidats ? (1)

Quelles précautions prendre lorsqu’une personne candidate de manière spontanée ou est embauchée via les réseaux sociaux ? Comment le Paris Saint-Germain (PSG) procède-t-il lorsqu’il s’agit de recruter un joueur professionnel ?

Au PSG, c’est la nomination de Stéphanie De Buck en tant que compliance et data protection officer en 2018, qui a permis de coordonner le programme global de mise en conformité avec le RGPD. Et son positionnement direct auprès du secrétaire général, Victoriano Melero, a été un « facteur déterminant dans la démarche entreprise par le Club ».

De manière générale, « une politique de protection des données a été élaborée. Elle a pour objectif de définir les conditions dans lesquelles le Paris Saint-Germain s’engage à effectuer les traitements de données personnelles résultant de ses activités. Le Règlement intérieur s’y réfère et engage chaque collaborateur à traiter des données personnelles qu’il collecte ou qui lui sont accessibles dans le cadre de ses fonctions, dans le respect de la réglementation en vigueur et en application des principes contenus dans la politique », explique Stéphanie De Buck.

Vis-à-vis des candidats, « il s’avère que nous recrutons essentiellement par le vecteur des réseaux sociaux et de cabinets de recrutement. C’est à l’occasion du premier contact avec un potentiel candidat qu’il est informé du traitement mis en place, de sa finalité et de ses modalités », précise la DPO.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

« Informer les personnes que leurs données vont faire l’objet d’un traitement » est un principe essentiel à respecter selon Amira Bounedjoum, avocate chez Simon Associés. « Le contenu et la forme de l’information délivrée aux personnes doit s’adapter au regard du contexte et des modes de collecte des données ».

Si, comme le PSG, l’entreprise fait appel à un recruteur externe (société d’intérim, chasseur de têtes), l’avocate recommande de rédiger une notice qui présente sa politique de confidentialité. Elle doit par exemple indiquer les finalités de traitement de données, la durée de conservation, etc. Dans la lettre de mission signée entre l’entreprise et le recruteur externe, il faudra « prévoir l’obligation de transmettre cette notice aux candidats ».

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Et dans le cadre d’une candidature spontanée envoyée par email ? L’information que doit délivrer l’employeur peut se traduire par une « mention intégrée dans le mail de réponse envoyé par les RH au candidat », recommande l’avocate. Si l’entreprise publie une offre d’emploi sur un site spécialisé, il faudra vérifier « que le site comporte dans les CGU une mention d’information selon laquelle le recruteur, et potentiellement l’éditeur du site, ont accès aux données transmises par les candidats qui postulent sur le site de l’entreprise ». L’avocate conseille par ailleurs de mentionner sur l’annonce le fait que « toute candidature fera l’objet d’un traitement de données ainsi que les différentes finalités de traitement ».

Amira Bounedjoum préconise par ailleurs d’avoir une politique de confidentialité en ligne sur le site internet de l’entreprise. Et de « renvoyer vers cette politique de confidentialité dès lors qu’on fait une mention d’information. C’est un sujet qui doit être abordé par le DRH et le DPO ». Ce dernier doit « s’assurer que le lien vers la politique de confidentialité est bien accessible, et qu’il existe une section dédiée au recrutement ».

Dans le cas où l’entreprise a un onglet « recrutement » sur son site ou un site dédié, l’avocate recommande d’intégrer une mention d’information dans les différents formulaires de collecte destinés au recrutement sur ce site. Le DPO devra par ailleurs « vérifier que des mesures techniques ont bien été implémentées sur le site ». Par exemple, la mise en place d’un système de purge des données au-delà d’une certaine période.

Si le poste est attribué à un candidat, elle recommande « de supprimer les données des autres candidats sauf s’il leur a été indiqué qu’elles seront traitées pour une finalité spécifique, notamment afin de leur proposer d’autres offres adaptées à leur profil ».

L’avocate conseille toutefois de ne pas conserver les données au-delà d’une durée de 2 ans. « En deux ans, les CV évoluent et certaines données ne sont plus pertinentes », explique Amira Bounedjoum. Passée cette période, « un mail automatique peut être envoyé au candidat l’informant que s’il souhaite toujours rejoindre l’entreprise, il peut mettre à jour et confirmer certaines informations ».