RGPD : Recruteurs, attention !

Dans un contexte de pénurie des talents et de chômage de masse, les DRH sont aujourd'hui confrontés à une difficulté de taille : identifier les bons profils et les compétences rares dans un volume de données toujours plus important. Ce à quoi il faut ajouter une exigence, toujours plus grande, de réactivité, ce qui complexifie les processus RH.

Les acteurs du recrutement traitent donc de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le " big data " et l'utilisation d'algorithmes d'aide au sourcing. Ces méthodes permettent notamment de mieux connaître les candidats et de prédire leur performance sur un poste en fonction de critères définis.

La loi Informatique et Liberté exige que l'on collecte et traite des données avec un objectif déterminé, légitime et explicite .Or, des quantités astronomiques d'informations sont le plus souvent rassemblées par les entreprises sans encadrement défini et ce avant même la conception des algorithmes.

Avec l'entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai dernier, ainsi que de la loi du 20 juin 2018 relative à la protection des données personnelles, ce type de traitement de données personnelles peut être justifié en raison de l'intérêt légitime qu'a un employeur à vouloir recruter les salariés les plus compétents possible (article 6 du RGPD).

Toutefois, les méthodes basées sur des algorithmes présentent des risques en matière d'atteinte aux droits des personnes concernées par le recrutement. C'est pourquoi, il convient d'opérer, avant de mettre en place le traitement de données, une étude d'impact afin de vérifier la nécessité et la proportionnalité des opérations de traitement au regard des finalités et d'évaluer les risques pour les droits et libertés des personnes concernées (article 35 du RGPD). L'employeur doit consulter la CNIL qui rendra alors un avis si l'analyse d'impact révèle un risque élevé pour les droits et libertés des salariés (article 36 du RGPD).

La CNIL a d'ailleurs précisé sur son site qu'elle " adaptera naturellement le périmètre de l'ensemble de ses investigations pour intégrer le nouveau cadre juridique européen. Elle contrôlera ainsi le respect des principes fondamentaux de la protection des données, qui sont pour l'essentiel inchangés par rapport à la loi du 6 janvier 1978 " informatique et libertés " (loyauté du traitement, pertinence des données, durée de conservation, sécurité, etc.) ".

Des contrôles permettront notamment de vérifier les moyens déployés pour l'identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.