ATS et RGPD : comment assurer la conformité des données candidats
Un ATS peut vous protéger du RGPD… ou vous exposer davantage. Tout dépend de ce que vous faites réellement des données candidats.
Depuis l'entrée en vigueur du règlement général sur la protection des données le 25 mai 2018, les entreprises doivent repenser leurs pratiques de recrutement. Cette obligation concerne particulièrement l'utilisation d'un logiciel de recrutement, où transitent quotidiennement des milliers d'informations sensibles.
Pour comprendre le rôle d'un ATS dans la gestion des candidatures et ses implications légales, il est essentiel de maîtriser les enjeux de conformité RGPD. Cette réglementation transforme la façon dont les recruteurs collectent, stockent et traitent les données personnelles des candidats.
Pour une présentation générale, consultez notre article sur les logiciels de recrutement
Sommaire de l'article
Infographie : ATS recrutement et RGPD - Cliquer pour agrandir
1. Pourquoi le RGPD affecte-t-il votre gestion du recrutement ?
Le recrutement génère naturellement une collecte massive de données personnelles. CV, lettres de motivation, coordonnées, historique professionnel : chaque candidature représente un ensemble d'informations à caractère personnel que l'entreprise doit protéger.
Un ATS centralise ces données dans ses bases de données. Il devient donc un collecteur et processeur majeur d'informations sensibles. L'entreprise endosse alors le rôle de responsable du traitement, avec toutes les obligations légales qui en découlent.
Les risques en cas de non-conformité sont considérables :
- Amendes pouvant atteindre 4% du chiffre d'affaires annuel
- Sanctions administratives
- Atteinte à la réputation de l'entreprise
- Perte de confiance des candidats
2. Les obligations RGPD à respecter dans votre logiciel de recrutement
2.1 Informer le candidat de manière transparente
Toute information collectée doit faire l'objet d'une communication claire et accessible. Les candidats doivent savoir :
- Quelles données sont collectées et pourquoi
- Qui y a accès au sein de l'organisation
- Combien de temps elles seront conservées
- Comment exercer leurs droits
Cette information doit apparaître dès la première étape de candidature, généralement via une mention d'information intégrée au formulaire de dépôt de CV.
2.2 Respecter le principe de minimisation des données
Un logiciel ATS conforme au RGPD ne collecte que les données strictement nécessaires aux fins de recrutement. Fini les formulaires exhaustifs qui demandent des informations sans rapport avec le poste.
Concrètement, cela signifie :
- Limiter les champs obligatoires aux informations essentielles
- Éviter les questions discriminatoires
- Adapter la collecte selon le type de poste
2.3 Gérer la conservation des données
La durée de conservation des données représente un enjeu majeur pour les recruteurs. Le RGPD impose de définir des délais précis et justifiés.
Les bonnes pratiques recommandent :
- 2 ans maximum pour les candidatures non retenues
- Calcul à partir du dernier contact avec le candidat
- Suppression automatique à l'échéance
- Conservation plus longue uniquement avec consentement explicite
3. Les droits des candidats que votre ATS doit garantir
3.1 Droit d'accès et de rectification
Les candidats peuvent demander à consulter leurs données personnelles stockées dans votre système. Ils peuvent également exiger leur correction si elles sont inexactes.
Un ATS performant doit permettre :
- L'export rapide des données d'un candidat
- La modification facile des informations
- La traçabilité des modifications effectuées
3.2 Droit à l'effacement et droit à l'oubli
Si un profil d'un candidat ne répond plus aux exigences d'un poste à pourvoir, ou si la personne retire son consentement, elle peut demander la suppression de ses données.
Cette fonctionnalité implique :
- Suppression définitive des informations
- Effacement dans tous les systèmes connectés
- Confirmation écrite au candidat
3.3 Droit à la portabilité des données
Le droit à la portabilité permet aux candidats de récupérer leurs données dans un format structuré et lisible. Cette obligation facilite leur transmission vers un autre service.
3.4 Droit à la limitation du traitement
Les candidats peuvent exiger une suspension temporaire du traitement de leurs données dans certaines situations, notamment en cas de contestation de leur exactitude.
4. Comment choisir un ATS qui soit en conformité avec le RGPD ?
4.1 Vérifier les certifications et garanties
Un logiciel ATS sérieux affiche clairement sa conformité avec le RGPD. Recherchez :
- La certification ISO 27001 pour la sécurité
- L'hébergement des données en Europe
- Les audits de sécurité réguliers
- La documentation sur les mesures de protection
4.2 Analyser les fonctionnalités de protection
Les outils de recrutement conformes intègrent des mécanismes de protection natifs :
- Chiffrement des données transmises et stockées
- Gestion fine des droits d'accès
- Journalisation des actions utilisateurs
- Sauvegarde sécurisée des informations
Le cryptage des données consiste à rendre illisibles les informations sensibles comme le numéro de téléphone ou l'adresse email en cas d'intrusion.
4.3 Examiner les outils de gestion des droits
Utiliser un ATS implique de pouvoir répondre rapidement aux demandes des candidats. Vérifiez que le logiciel propose :
- Export automatique des données personnelles
- Suppression en un clic
- Historique des consentements
- Gestion des durées de conservation
5. Mettre en place une protection des données efficace
5.1 Désigner un responsable du traitement
Toutes les entreprises utilisant différents outils de recrutement doivent identifier un responsable du traitement. Cette personne supervise la conformité et coordonne les actions correctives.
Ses missions incluent :
- Formation des équipes RH
- Mise à jour des procédures
- Interface avec les candidats
- Contrôle des prestataires externes
5.2 Former les équipes de recrutement
Les recruteurs manipulent quotidiennement des données sensibles. Ils doivent connaître :
- Les principes fondamentaux du RGPD
- Les procédures internes de l'entreprise
- La gestion des demandes candidats
- Les bonnes pratiques de sécurité
5.3 Documenter vos processus
Le RGPD impose une obligation de documentation. Les processus de recrutement doivent être formalisés :
- Cartographie des traitements de données
- Procédures de collecte et conservation
- Mesures de sécurité appliquées
- Registre des violations éventuelles
6. Gérer la relation avec les cabinets de recrutement
Si vous travaillez avec des cabinets de recrutement externes, la question du partage de données devient cruciale. Chaque intervenant doit respecter le RGPD dans le cadre de sa mission.
Les bonnes pratiques incluent :
- Contractualisation des obligations RGPD
- Limitation du partage aux données nécessaires
- Définition claire des responsabilités
- Audit régulier des pratiques partenaires
7. Les spécificités sectorielles à considérer
Certains secteurs imposent des contraintes supplémentaires en matière de protection des données personnelles :
- Santé : données de santé particulièrement sensibles
- Finance : vérifications d'antécédents approfondies
- Sécurité : enquêtes de moralité étendues
Ces spécificités influencent le choix de votre logiciel ATS et les paramétrages de confidentialité.
8. Anticiper l'évolution réglementaire
Le RGPD et recrutement évoluent constamment. Les entreprises doivent rester vigilantes face aux nouvelles interprétations et recommandations des autorités de contrôle.
Une veille réglementaire active permet :
- D'adapter les pratiques aux nouvelles exigences
- D'anticiper les évolutions technologiques
- De maintenir la confiance des candidats
- De préserver l'avantage concurrentiel
9. RGPD dans le recrutement et protection des données personnelles
La conformité RGPD dans le recrutement n'est plus une option. C'est une obligation légale incontournable. Elle transforme profondément la gestion du recrutement en plaçant la protection de la vie privée au cœur des préoccupations.
Un logiciel de recrutement conforme facilite cette transition en automatisant de nombreuses obligations. Il sécurise vos processus tout en améliorant l'expérience candidat grâce à une gestion transparente de leurs données personnelles de vos candidats.
Pour une vision complète des enjeux et fonctionnalités, consultez notre guide général sur les ATS de recrutement qui détaille tous les aspects de ces outils devenus indispensables.
Les points essentiels à retenir :
- Transparence : informer explicitement les candidats sur l'utilisation de leurs données
- Sécurité : choisir un ATS avec des garanties techniques solides
- Droits candidats : faciliter l'exercice de leurs prérogatives légales
- Formation : sensibiliser toutes les équipes aux enjeux RGPD
- Documentation : formaliser et tracer tous les traitements de données
10. FAQ : Questions fréquentes sur ATS et RGPD
La conformité RGPD désigne le respect des règles européennes encadrant la collecte, l'utilisation et la conservation des données personnelles. Elle impose de traiter uniquement des données nécessaires, de manière sécurisée et transparente, avec une base légale claire, tout en garantissant les droits des personnes (accès, rectification, suppression).
Le RGPD repose sur plusieurs principes clés : licéité et transparence du traitement, finalité précise, minimisation des données, exactitude, durée de conservation limitée, sécurité des données et responsabilité du responsable de traitement. Chaque traitement doit être justifié et documenté.
En recrutement, le RGPD interdit de collecter ou d'utiliser des données non pertinentes ou sensibles lors de l'évaluation d'un candidat. Par exemple, demander l'origine ethnique, les opinions politiques, la religion ou la situation familiale est interdit, car ces informations peuvent entraîner des discriminations et ne sont pas nécessaires à l'évaluation des compétences.
En recrutement, l'erreur la plus courante est de conserver les CV et données candidats trop longtemps sans justification. Le RGPD impose une durée de conservation limitée et définie à l'avance. Garder des profils indéfiniment, sans information claire ni consentement du candidat, expose l'employeur à un risque de non-conformité.
Un ATS conforme au RGPD sécurise les données candidats, limite les accès, automatise les durées de conservation et facilite l'exercice des droits (accès, suppression). Il permet aussi de tracer les consentements et de documenter les traitements, réduisant ainsi les risques de non-conformité.