Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), qui entrera en vigueur le 25 mai 2018, met l’accent sur l’obligation du responsable du traitement de réaliser une analyse d’impact relative à la protection préalable des données en ce qui concerne les traitements susceptibles d’engendrer un risque élevé et sur les mesures pouvant être adoptées afin de réduire ces risques.
A l’ère digitale, la frontière entre la vie professionnelle et la vie privée est souvent ténue. Si les avantages de la digitalisation des entreprises sont nombreux d’un point de vue d’accessibilité et de flexibilité, les inquiétudes des salariés quant à une exposition croissante de leurs données personnelles paraissent légitimes.
L’employeur, ses ressources humaines ainsi que sa fiduciaire en charge du secrétariat social ont accès à des informations parfois sensibles des salariés et bénéficient d’un pouvoir décisionnel certain.
Dans ce contexte, le RGPD aura pour effet de rétablir un équilibre dans un objectif constant de protection des individus.
C’est dans cette logique que le RGPD étaye les obligations à la charge des responsables de traitement et augmente le plafond des amendes pouvant être imposées par les autorités de contrôle (Commission nationale pour la protection des données (ci-après « CNPD ») au Luxembourg) en cas de violation de ses dispositions.
L’employeur est obligé de prendre toutes les mesures techniques et organisationnelles afin d’assurer (i) la confidentialité des données personnelles de ses salariés et (ii) d’éviter toute divulgation à un tiers non-autorisé.
Le RGPD prévoit également que les entreprises doivent prendre des mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect des dispositions du règlement.
Ces règles sont bien générales et la perspective bien ambitieuse mais concrètement comment ces obligations doivent-elles être mises en œuvre en pratique ?
Les principes du RGPD s’applique, par exemple, au traitement des candidatures qu’un employeur reçoit.
Quelles sont les mesures à mettre en œuvre par l’employeur en cas de réception d’une candidature spontanée ?
Dans le cas où la candidature spontanée n’éveille pas l’intérêt de l’employeur, il est fortement conseillé à ce dernier de procéder à la destruction de la candidature et d’en informer le/la candidat(e).
Dans le cas où la candidature spontanée éveille l’intérêt de l’employeur, n’ayant pourtant pas de poste vacant, et qu’il décide de la conserver, il y a lieu de soulever que
- L’employeur devra informer le/la candidat(e) de cette conservation, de sa finalité ainsi que de ses modalités (y compris la durée) ;
- il devra recueillir le consentement du/de la candidat en ce qui concerne cette conservation (acte positif) et les modalités de conservation et lui donner l’information sur son droit d’accès et de rectification, son droit à l’effacement des données, son droit de portabilité et son droit d’introduire une réclamation auprès de la CNPD en cas de non-respect par l’employeur de ses engagements ;
- il devra, en vertu du principe de minimisation des données défini à l’article 5 du RGPD, prendre soin de ne collecter que les données strictement nécessaires à la finalité du traitement.
Quelles sont les mesures à mettre en œuvre par l’employeur lors de la phase de recrutement ?
Dans le cas où l’employeur ne retient pas une candidature à une offre d’emploi, il est fortement conseillé, tel que déjà indiqué ci-avant, de procéder à la destruction de la candidature et d’en informer le/la candidat(e).
Dans le cas où l’employeur retient plusieurs candidatures pour la même offre d’emploi, mais qu’il entend encore procéder à des épreuves de connaissance ou des entretiens supplémentaires avec les candidats retenues, l’employeur doit veiller à remplir les 3 obligations citées ci-dessus.
Après s’être décidé pour un candidat, l’employeur décidera soit de détruire les autres candidatures tel que développé ci-dessus, soit de les garder pour d’éventuel autres postes, mais ceci sous respect des 3 obligations pré-mentionnées.
Afin de faciliter dès le début du processus de recrutement le respect des dispositions du RGPD, l’employeur pourra prévoir la possibilité de candidatures en ligne via le site internet de son entreprise ce qui permettra de donner immédiatement les informations obligatoires aux candidats et de recueillir leur consentement (p.ex. case à cocher) quant au traitement, à ses finalités ainsi qu’à ses modalités.
Il s’agit ici d’un exemple concret, mais le RGPD impactera bien d’autres domaines de l’activité d’une entreprise.
LAW CAIRN
Isabelle GIRAULT – Aline GODART