Ce que votre déclaration de confidentialité devrait contenir selon le RGPD
Votre politique de protection données est-elle déjà en accordance avec la nouvelle loi concernant le Règlement général de protection des données (RGPD) ? Depuis que le RGPD a été activé, les règles sont plus strictes et il y aura des amendes allant jusqu’à plusieurs millions d’euros pour les entreprises qui ne s’y adapteront pas correctement. Pour les organisations, il est important d’informer sur le pourquoi et le comment du traitement des données personnelles. Le RGPD demande qu’il y ait certaines obligations de transparence sur ce traitement et que la communication soit établie avec la personne concernée (dans notre cas le candidat). Ces informations peuvent être fournies dans une déclaration de confidentialité. Mais qu’est-ce qu’une déclaration de confidentialité et à quoi cela devrait-il ressembler ?
Quels sont les critères qui devant être intégré dans une déclaration de confidentiality ?
Une déclaration de confidentialité devrait être :
- Concise
- Transparente
- Facile à comprendre
- Facile à accéder
Ces règles devraient assurer que le candidat sache où il ou elle se situe quant à la protection de ses données. D’autres règles plus spécifiques peuvent venir s’ajouter à celles qui viennent juste d’être citées. Cela dépend de la façon dont les données sont collectées. Les données peuvent être collectées de façon directe ou indirecte. Pour ce qui est de la collection directe de données, le candidat insère ses propres données de lui/elle-même, au travers de la rédaction de leur candidature, par exemple. Quand les données sont enregistrées au biais d’une source externe, on peut alors parler de collection de données indirecte. On évoque cela tout particulièrement lorsqu’un recruteur collecte ses données sur le compte LinkedIn d’un candidat, par exemple.
Traitement direct de données personelles
Dans le cas où les données sont collectées directement du candidat, la déclaration de confidentialité doit être fournie avant ou au moment du transfert des données. Vous pouvez gérer cela en insérant un lien à la déclaration de confidentialité dans le formulaire de candidature. La déclaration de confidentialité devrait au moins comprendre les éléments suivants :
- L’identité du processeur de données et les informations nécessaires pour le ou la contacter
- Le but et les fondations légales pour le traitement
- L’intérêt légitime du traitement de données
- Le destinataire possible (ou la catégorie de destinataires) de ces données personnelles
- Les informations concernant le transfert de données personnelles à un pays tiers (en dehors de l’Union Européenne), si c’est le cas
- La durée de rétention ou les critères qui sont utilisés pour déterminer ladite durée de rétention
- La personne concernée doit être informée de ses droits
- La personne concernée doit être informée de son droit de rétracter son approbation du traitement des données
- La personne concernée doit être informée qu’il ou elle a le droit de déposer plainte
- Si certaines décisions sont prises de façon automatique, cela doit être déclaré
Traitement indirect de données personelles
Si les données sont collectées indirectement, au travers de LinkedIn par exemple, les mêmes règles que celles citées ci-dessus doivent être appliquées. De plus, la sorte de données (quelle catégorie de donnée) qui sont traitées et quelles sources sont utilisées font aussi partie des informations qui doivent être fournies.
Dans un lapse de temps approprié (dans tous les cas, dans le mois suivant le traitement des données), la personne concernée doit être tenue au courant des règles et régulations mentionnées plus haut. Si les données personnelles sont traitées avec pour objectif de communiquer avec la personne concernée, cette information doit être partagée au moment du tout premier contact.
De plus, si les données personnelles sont transférées à un pays tiers, la personne concernée doit en être informée au plus tard lorsque les données sont partagées avec dit pays tiers.
L’identité et les informations du contact
L’identité et les informations de la personne chargée de traiter les données doivent être mentionnées dans la déclaration de confidentialité. Dans le cas où l’organisation emploierait également un officier de la protection de données, les informations de ce contact doivent également être ajouté à la déclaration de confidentialité.
Bases légales du traitement de données
Afin de traiter des données personnelles, il faut souligner les bases légales du traitement. Les éléments suivants doivent être intégrés :
- La personne concernée a donné son accord pour le traitement de ses données
- Le traitement des données est nécessaire à la mise en œuvre d’un contrat et se déroule sur la demande expresse de la personne intéressée
- Le traitement des données est nécessaire à la compliance aux obligations légales du traiteur des données
- Le traitement des données est nécessaire à la protection des intérêts vitaux de chaque parti.
- Le traitement des données est nécessaire à l’exécution d’une tache à l’utilité générale
Le traitement des données est nécessaire au respect des intérêt légitimes de la personne en charge du traitement des données
La durée de rétention des données
Les données personnelles ne peuvent pas être conservées pour une durée plus longue que strictement nécessaire à l’exécution de la tâche pour laquelle elles ont été collectées. Si la période de rétention des données ne peut pas être déterminée exactement, des critères doivent être établis afin de définir la durée de rétention des données. Par exemple, le rejet d’un candidat pourrait être l’un des critères amenant à la suppression des données de cette personne. Au travers de l’utilisation d’un script anonyme, les processus automatiques contrôlant la rétention des données et le moment opportun pour leur destruction selon vos régulations internes peuvent être mis en place.
Remarque:
Dans les régulations souvent publiées de l’Article 29 de la Protection des Données des Partis Travaillant (ce qui inclue un représentant des autorités de protection des données de chaque pays membre de l’Union Européenne), il existe des règles concernant la durée de rétention des données collectées au cours du processus de recrutement. En général, ils faut qu’elles soient supprimées aussitôt qu’il devient clair que le candidat ne sera pas engagé (voir aussi http://ec.europa.eu/newsroom/document.cfm?doc_id=45631, Article 5.1 [lien en anglais])
Dans le cas où vous voudriez garder les données du candidat pour de futures offres, vous devez en avertir les derniers intéressés en avance. En revanche, vous vous devez de fournir au candidat l’opportunité de rétracter son approbation du traitement de ses données, ce qui conduira à la destruction de ces dernières.
Déclaration de confidentialité par couches
Si vous voulez inclure plus d’information que la normal dans votre déclaration de confidentialité, vous pouvez utiliser ce qu’on appelle une ‘déclaration de confidentialité’ par couche afin que tout soit clair. Dans la première couche, vous placez tous les points principaux et ajouter des liens qui vous conduiront à la couche suivante. En faisant cela, vous créez une déclaration de confidentialité courte mais fournissant les informations nécessaires pour le visiteur.
Exemples de déclarations de confidentialité
If you want to see an example of a ‘layered privacy statement’, take a look at IBM’s or Microsoft’s privacy statements.
Restez informé
Gardez le rythme avec les développements pertinents ! Dans nos blogs, nous vous garderons informé. Inscrivez-vous à notre newsletter afin de ne rien manquer !