RGPD : RH, préparez-vous au contrôle de la Cnil !
Le | Core rh
Cette année, la Commission nationale de l’informatique et des libertés (Cnil) contrôle en priorité les données liées au recrutement et donc, les services RH. Pourquoi ? Comment ? Les réponses, avec Chloé Torres, data protection officer et secrétaire générale de l’Association des data protection officers
Les services RH n’ont qu’à bien se tenir : c’est eux que la Commission nationale de l’informatique et des libertés (Cnil) contrôlera en priorité cette année. Sur les 300 contrôles que prévoit d’effectuer la commission, un quart - soit 75 contrôles - concerneront les pièces justificatives demandées par les agences immobilières, le contrôle du stationnement réalisé par des prestataires privés et les données personnelles liées au recrutement. « Des contrôles permettront notamment de vérifier les moyens déployés pour l’identification des candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données », précise la commission sur son site.
Des erreurs fréquentes chez les RH
« C’est très fréquent que la Cnil choisisse des domaines liés aux ressources humaines, indique Chloé Torres, secrétaire générale de l’Association des Data protection officiers. Car cela fait des années qu’il y a des problèmes en termes de protection des données. » La plupart des entreprises conservent les données sur les candidats non retenus ad vitam æternam alors qu’elles ne sont pas censées les garder plus de deux ans après le dernier contact. « Beaucoup d’entreprises demandent le numéro de sécurité sociale lors des phases de recrutement. Pourtant, la Cnil l’a précisé dans sa fiche de recrutement : c’est obligatoire si le candidat est embauché, mais pas au stade du recrutement », indique Chloé Torres. Autre erreur fréquente : les commentaires. Il n’est pas rare de trouver des jugements de valeur du type « il a telle maladie, il sent l’alcool ou encore, il est timide, regrette Chloé Torres. Ce sont des commentaires qui touchent à la vie privée, qui peuvent être excessifs et qui sont dangereux par rapport aux obligations du règlement européen. »
Les documents demandés par la Cnil
Pour s’assurer de la conformité des services RH avec le RGPD, la Cnil demande ainsi, lors des contrôles réalisés en une journée par deux agents habilités, des documents. Parmi eux : les dossiers de recrutement (tests d’évaluations, commentaires, etc.), les contrats de prestation de service passés avec des cabinets de recrutement et la mention d’information vis-à-vis d’un candidat à un emploi. « Le candidat, comme toute personne concernée, doit être informé du fait qu’il a le droit d’accéder aux données qui le concernent, de demander à ce qu’elles soient mises à jour, d’être informé du type de données qui sont collectées sur lui, pour quelle finalité, explique Chloé Torres. Souvent, ces informations passent par affichage, par exemple dans la salle où se passe le recrutement, ou en pied de page de la convocation en entretien. » Un guide sur l’utilisation des commentaires libres et la partie liée au recrutement du registre des traitements sont également demandés lors des contrôles de la Cnil, lorsqu’ils sont réalisés sur place. Ce qui n’est pas toujours le cas : la Cnil a la possibilité de réaliser des contrôles à distance ; « c’est d’ailleurs ce qu’elle fait de plus en plus, constate Chloé Torres. Elle peut contrôler les espaces recrutement et voir s’il y a les mentions nécessaires d’information des personnes, quel type de données sont demandées, etc. ». Services RH, à vous d’anticiper !
Elodie Buzaud