Outils numériques de recrutement: Une aide risquée en termes de protection des données
Aides de travail appropriées
Des processus plus efficaces de recrutement grâce à des aides numériques
Les outils numériques de recrutement sont des logiciels ou des programmes en ligne qui soutiennent les équipes RH sous différentes formes pendant le processus de recrutement. Ils permettent d’améliorer et de rationaliser l’ensemble du processus de recrutement à l’aide de technologies. Selon les outils utilisés, ils aident à publier un poste vacant, à évaluer les candidatures reçues, à gérer les candidatures ou à établir des rapports. L’utilisation de ces outils permet aux équipes RH d’optimiser l’expérience des candidats, de coordonner plus facilement l’équipe RH et de réduire la charge administrative.
Les outils de recrutement numériques poursuivent donc tous le même objectif: aider l’équipe RH à recruter des collaborateurs adéquats de manière rapide, efficace et avec peu (ou pas) d’efforts.
Exemple d’outils numériques de recrutement:
• Chatbots
• Systèmes de Tracking d’applications
• Screeners de curriculum vitae
• Outils de convention de rendez-vous
• Logiciels de Pre-Boarding
Bien qu’il existe une multitude d’outils numériques de recrutement, la plupart d’entre eux ont des points communs importants du point de vue de la protection des données. En règle générale, les outils de recrutement numériques sont proposés par un tiers en tant que service (souvent en tant que solution Software-as-a-Service). En outre, l’outil traite pratiquement toujours des données personnelles, c’est-àdire des informations qui se rapportent à une personne physique identifiée ou identifiable au sens de la loi suisse sur la protection des données (LPD). Il s’agit par exemple du nom d’un candidat, des informations contenues dans son curriculum vitae ou des données personnelles des collaborateurs RH qui s’en occupent; cela implique le respect des dispositions de la législation suisse en matière de protection des données.
Les principales exigences de la LPD peuvent être divisées en deux catégories: celles qui sont visibles pour les candidats et celles qui doivent être appliquées par le fournisseur de l’outil.
Obligation d’information vis-à-vis des candidats
Il existe une obligation d’information visà- vis des candidats en ce qui concerne le traitement des données dans le cadre du processus de candidature. Cette obligation découle de la LPD qui prescrit que des informations minimales doivent être communiquées de manière transparente aux candidats en tant que personnes concernées. Ainsi, les candidats doivent au moins savoir qui est le responsable du traitement des données (c’est-à-dire des coordonnées de l’entreprise qui recrute), quelles sont les finalités du traitement des données (c’est-à-dire de la sélection de collaborateurs appropriés dans le cadre du processus de candidature) et des destinataires ou catégories de destinataires auxquels les données personnelles seront communiquées (par ex. au fournisseur de l’outil de recrutement numérique). Si les destinataires des données personnelles ont leur siège à l’étranger, d’autres informations doivent être fournies (notamment des informations sur le pays du siège, y compris la garantie en matière de protection des données sur laquelle se fonde le transfert des données à l’étranger).
Dans la pratique, l’obligation d’information liée à l’utilisation d’outils numériques de recrutement est remplie par la déclaration de protection des données sur le site Internet ou pour l’outil de recrutement spécifique. Il est donc recommandé de vérifier la déclaration existante de protection des données ou de la compléter en cas d’utilisation d’un nouvel outil.
Recommandations de produits
Conclusion d’un contrat de traitement des commandes
Si le fournisseur de l’outil est ce qu’on appelle un sous-traitant, c’est-à-dire une entreprise qui traite des données personnelles (de candidats) pour le compte de l’employeur, des mesures supplémentaires doivent être mises en oeuvre. C’est par exemple le cas lorsqu’il s’agit d’une solution Software-as-a-Service, que les données sont hébergées chez le fournisseur d’outils ou que celui-ci propose également des prestations de support.
La LPD permet de confier le traitement de données personnelles à un sous-traitant par le biais d’un contrat ou sur la base d’une base légale. Il n’existe pas de base légale pour l’utilisation d’outils numériques de recrutement. Il est donc nécessaire de conclure un contrat qui, dans la pratique, est établi en dehors des conditions commerciales dans un contrat séparé de traitement des données. Les parties y règlent les données personnelles couvertes par le mandat et la manière dont le mandataire doit les traiter. Lors de la conclusion du contrat de sous-traitance, il est important que l’entreprise vérifie les mesures techniques et organisationnelles de sécurité des données mises en oeuvre par le fournisseur et qu’elle puisse accepter ou refuser de faire appel à des sous-traitants. Le contrat de sous-traitance devrait être conclu avant l’utilisation de l’outil numérique de recrutement. Certains fournisseurs mettent déjà un tel contrat à disposition de manière standard.
Garantie d’un niveau adéquat de protection des données
Si le fournisseur de l’outil a son siège à l’étranger, l’employeur doit s’assurer que le pays dans lequel les données sont transmises présente un niveau adéquat de protection des données du point de vue suisse. C’est le Conseil fédéral qui détermine si un tel niveau est garanti dans un cas concret. S’il a reconnu un niveau de protection des données adéquat pour un pays donné, cela est indiqué de manière transparente dans l’annexe de l’ordonnance relative à la LPD. Au sens d’une règle générale, les pays de l’UE et de l’EEE sont actuellement considérés comme des pays offrant un niveau adéquat de protection des données. Pour ces pays, aucune garantie supplémentaire n’est nécessaire.
Mais, si le fournisseur d’outils se trouve en dehors de l’UE ou de l’EEE, il faut vérifier si des garanties supplémentaires doivent être mises en oeuvre et, le cas échéant, lesquelles. Dans la pratique, l’utilisation des clauses contractuelles de type UE est très répandue. Par ces clauses, les parties contractantes se soumettent à certaines obligations en matière de protection des données, ce qui permet de garantir un niveau adéquat. Enfin, avant d’utiliser un outil de recrutement numérique d’un fournisseur ayant son siège dans un pays où le niveau de protection des données n’est pas adéquat, il faut procéder à un Transfer Impact Assessment (c’est-à-dire à une analyse des risques selon les directives du PFPDT).
Risques liés à la protection des données lors de l’utilisation d’outils numériques de recrutement
La loi suisse sur la protection des données prévoit des amendes pouvant aller jusqu’à CHF 250 000.– pour certaines violations. Il s’agit notamment de la mise à disposition d’informations fausses ou incomplètes, de la violation des prescriptions relatives au recours à des collaborateurs mandatés ou de la violation des prescriptions relatives au transfert de données à l’étranger. Si l’utilisation d’outils de recrutement numériques n’est pas mise en oeuvre avec soin, il existe un risque d’amende élevée. Il est donc essentiel de procéder à un contrôle consciencieux de la conformité (en matière de protection des données) avant d’utiliser un outil numérique de recrutement.
L’essentiel en bref
- Les outils numériques de recrutement sont utiles pour rendre plus efficaces les processus de recrutement, tant pour le service des ressources humaines que pour les candidats
- Les outils numériques de recrutement sont souvent proposés en tant que solutions Software-as-a-Service
- Les outils numériques de recrutement permettent de traiter les données personnelles
- Les candidats doivent être informés, par une déclaration appropriée, du traitement des données dans le processus de candidature et de l’utilisation d’outils numériques de recrutement
- Les fournisseurs d’outils sont généralement des sous-traitants avec lesquels un contrat de traitement des données doit être conclu avant qu’il n’ait lieu
- Si le fournisseur de l’outil a son siège à l’étranger, il faut vérifier s’il existe un niveau adéquat de protection des données et si des garanties supplémentaires doivent être mises en oeuvre