RGPD: Les mesures prises par ScopTalent

Le 25 mai prochain marque une date clé sur tous les calendriers. C’est le jour où le règlement général sur les données personnelles RGPD entrera en vigueur.

Si le règlement et les directives ont été explicitement mis en ligne et relayés un peu partout sur la toile depuis quelques mois déjà, les entreprises s’activent de plus en plus afin d’être conforme à ces lois. Pour les retardataires (ou les curieux), nous avons récemment posté un article traitant des grands points du RGPD.

Notre logiciel de recrutement ScopTalent est également concerné par le RGPD. A cet effet, notre politique de confidentialité et sécurité a été mise à jour et est pleinement conforme au RGPD, comme elle l’était déjà quant à la Loi Informatique et Libertés (Loi 78-17 du 6 janvier 1978) auparavant.

Nous souhaitons clarifier un point important avant d’aborder cet article: Le RGPD octroie des droits à vos candidats (via ScopTalent) ou clients (via ScopCRM). Ils ont maintenant le droit d’accéder à leurs données personnelles, de les faire modifier ou supprimer. Ces données, que nous stockons dans le cadre de nos services proposés, sont hébergées sur le cloud de Microsoft Azure (basé dans la zone économique européenne). Ces données sont accessibles uniquement par vous. Nous n’intervenons donc pas (ceci est mentionné dans nos CGV), mais nous faisons au mieux pour vous aiguiller quant à la gestion de ces données.

Nous verrons dans cet article point par point, comment ScopTalent répond aux différents articles du règlement du RGPD. Il est à notre sens important que nos visiteurs puissent visualiser les différentes actions mises en œuvre par les entreprises afin de pouvoir établir une relation de confiance et transparente.

Deux termes importants: Le Privacy By Design et le Privacy By Default

La privacy by design et la privacy by default sont deux nouveaux concepts ayant émergés suite au RGPD et qui participent à l’organisation et au respect de l’accountability.

Le terme “privacy by design” désigne l’ensemble des démarches techniques et organisationnelles faites par une entreprise, afin de garantir la conformité de ses produits/services à la protection des données personnelles. Cette règle aura pour conséquence la révision de tous les produits et services actuellement sur le marché depuis leur origine, mais aussi garantir la conformité des nouveaux projets. Ces démarches sont notamment justifiées avec un cahier des charges (recommandé) qui aurait pour rôle de hiérarchiser les informations concernant les données personnelles, à savoir leur minimisation, leur conservation, la limitation d’accès, etc.

Le terme « privacy by default », complémentaire au « privacy by design », désigne la garantie pour les utilisateurs d’une protection optimale de leurs données en mettant en place des mesures organisationnelles et techniques appropriées, et cela par défaut et garantie que seules les données qui sont nécessaires au traitement sont collectées et utilisées.

Voici une image récapitulative vous permettant de faire la différence entre le rôle du client, le rôle du sous-traitant et leurs points de corrélation.

Principe de transparence

La manière dont les entreprises récoltent les données personnelles devra maintenant être explicite, loyale et transparente. Plus concrètement, cela signifie qu’il vous faudra communiquer de manière explicite à l’utilisateur que ses données personnelles seront stockées dans votre base de données. Il faudra également faciliter la visualisation et la compréhension de ces informations par l’utilisateur: des termes simples et clairs, mis en évidence.

Clients ScopTalent: Nous vous encourageons à informer vos candidats que les informations qu’ils saisissent au niveau de votre espace carrière / espace recrutement sur votre site internet sont stockées pour leur proposer de nouvelles opportunités. Vous avez également la possibilité d’envoyer un email à un candidat lorsque celui-ci a été importé dans votre vivier depuis votre BackOffice.

Principe de la minimisation des données

Une étude sur la nécessité des données à stocker est indispensable. Les entreprises ne peuvent maintenant stocker uniquement des données dites indispensables à un traitement précis qu’ils entreprennent. Par exemple, l’entreprise X devra vérifier si les hobbies ou l’adresse postale de l’utilisateur est réellement nécessaire pour l’action qu’elle entreprend de mener.

Clients ScopTalent: Toutes les données stockées sont des données vous permettant de proposer des opportunités en adéquation avec les exigences de vos candidats. Aucune donnée sensible n’est collectée ou stockée (origines ethniques/raciales, opinions politiques, convictions religieuses, orientations sexuelles etc.)

Principe d’exactitude des données

Les données stockées par les entreprises doivent être soumises à des mises à jour régulières. Des procédures doivent être donc mises en place afin de s’assurer que ces données soient toujours utiles à l’entreprise et qu’elles ne soient pas erronées. Cela implique également la rapidité d’exécution de la mise à jour des données d’un utilisateur, lorsque celui-ci le demande.

Clients ScopTalent: Vous avez la possibilité de rectifier les données d’un candidat à sa demande. Un candidat peut également, depuis  l’espace carrière, rectifier ses données en accédant aux informations de sa fiche. Cela sous-entend que vous avez mis en place les méthodes nécessaires à l’affichage des informations du candidat accessibles depuis notre API.

Principe de limitation de la conservation des données

La conservation des données par les entreprises subit également quelques changements. Elle ne doit pas dépasser une durée excédant le nécessaire, par rapport aux finalités prévues pour celle-ci. Des suppressions de données périodiques doivent être mises en place par les entreprises. De ce fait, une politique de conservation, d’archivage et de purge des données doit être mise en place.

Clients ScopTalent: Le RGPD n’indique pas de délai précis quant à la conservation des données. La CNIL elle, préconise de définir la durée de conservation des données selon leur finalité. La date et l’heure de la collecte d’informations via ScopTalent est indiquée et une recherche peut être effectuée au sein de la cvthèque. De ce fait, vous pouvez retrouver et supprimer vos candidats en quelques clics !

Principe de sécurité, d’intégrité et de confidentialité des données

Les données récoltées doivent être protégées de manière optimale. Elles doivent pouvoir faire face au traitement non autorisé ou illicite, la perte, la destruction, ou encore la divulgation (aux personnes non autorisées). Pour ce faire, un processus de sécurité doit être mis en place.

Clients ScopTalent: L’intégralité des échanges entre le client et nos serveurs, est crypté avec TLS. Les mots de passe de nos utilisateurs sont également hashés et salés. De plus, le logiciel de recrutement ScopTalent est hébergé sur le cloud de Microsoft Azure.

Notre architecture assure une disponibilité à notre outil de 99,99% quel que soit le lieu et l’heure d’utilisation et une sauvegarde continue de l’ensemble de la plateforme (données, fichiers, disque VM, etc.). Azure respecte un ensemble de normes de sécurité et de conformité internationales :

«Azure satisfait à un vaste ensemble de normes de conformité internationales et spécifiques du secteur telles que ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2, ainsi que des normes propres à des pays telles que la norme australienne IRAP, la norme britannique G-Cloud et la norme MTCS de Singapour. Des audits réalisés par des tiers, comme la British Standards Institute, vérifient qu’Azure respecte les contrôles de sécurité stricts que ces normes exigent. Dans le cadre de notre engagement envers la transparence, vous pouvez vérifier notre mise en œuvre de nombreux contrôles de sécurité en demandant les résultats des audits auprès des tierces parties de certification.»

 Principe de licéité des données

Le consentement de l’utilisateur quant au traitement de ses données est primordial. Le responsable du traitement lui, doit détenir la preuve ferme du consentement de l’utilisateur. Lorsque l’accord de l’utilisateur est recueilli, celui-ci doit être informé de manière très claire des fins de l’utilisation de ses données et doit avoir le droit de refuser, ou encore retirer son consentement dès lors qu’il en juge le besoin, pour n’importe quel motif.

Clients ScopTalent: Lorsqu’un candidat postule à une offre ou effectue une candidature spontanée depuis votre espace carrière / espace de recrutement vous devez l’informer de la finalité de ses données. Si vous êtes amené à sourcer ou intégrer un candidat au sein de l’outil, il vous est possible de lui envoyer un mail afin de le notifier et ainsi recueillir son consentement.

Le droit à l’information, la rectification et la suppression des données

L’utilisateur qui voit ses données traitées dispose d’un droit à l’information. Ce droit lui confère la possibilité de contacter le responsable de traitement, et d’obtenir une copie de ses données détenue par l’entreprise (dans un format adéquat et lisible par la machine). L’utilisateur peut aussi savoir si ses données sont actuellement utilisées ou non, et si oui à quelle fin. Il peut les faire modifier si elles sont inexactes ou incomplètes, ou demander à l’entreprise de les supprimer.

Clients ScopTalent: Vous avez la possibilité d’extraire sous un fichier compréhensible de tous, les données personnelles du candidat afin de lui transmettre. Quant à la suppression de ses données, le candidat peut supprimer son compte à partir de l’espace carrière. De votre côté, vous disposez de tous les outils permettant de supprimer les CV, fiches candidats, ou tout document contenant des données personnelles concernant le candidat.

Le droit à la portabilité des données

En plus de réclamer une copie de ses données au responsable de traitement, l’utilisateur peut également demander à ce que ses données soient transférées d’un responsable à un autre, sans que le responsable initial ne puisse s’y interposer (si le traitement est fondé sur le consentement ou un contrat impliquant l’utilisateur, et que le traitement soit effectué à l’aide de procédés automatisés).

Clients ScopTalent: Vous avez la possibilité d’extraire les données que vous avez entrées de n’importe quel candidat sous un fichier compréhensible, et de les lui transmettre. Il est bien évidemment possible de changer les données de vos candidats au sein de leurs fiches respectives, sous leur demande.

Destruction des données en fin de contrat

Clients ScopTalent: Il est également pertinent de mentionner ici que, lorsque vous souhaiterez rompre le contrat vous permettant d’utiliser nos services, nous supprimerons toutes informations vous concernant (notamment votre compte sur nos solutions), ainsi que les informations que vous avez pu collecter.

Pour découvrir notre solution de recrutement,

contactez-nous et bénéficiez d’une démonstration gratuite !