Comment les RH peuvent-elles s'adapter au RGPD ?

Au cours de la dernière décennie, la révolution dans le domaine des données a placé les RH au premier plan de la stratégie commerciale, leur fournissant des outils avancés conçus pour la gestion des talents, l'allocation des ressources et la planification stratégique. Par la même occasion, elle a permis de faire de ces précieuses données personnelles un véritable trésor, dont la manipulation adéquate constitue une immense responsabilité.

À lire aussi : Comment la blockchain pourrait révolutionner les RH

Dans le cas hautement improbable où vous n'auriez pas encore entendu parler du nouveau Règlement général sur la protection des données (RGPD), sachez qu'il s'agit avant tout d'un ensemble de lois visant à garantir une plus grande confidentialité et protection des données aux citoyens de l'UE. 

Depuis son entrée en vigueur le 25 mai 2018, il a suscité une controverse considérable ainsi que des opinions particulièrement partagées en ce qui concerne son utilité. Plusieurs géants tels que Google sont inquiets de cette charge réglementaire excessive, tandis que d'autres prédisent qu’il bénéficiera considérablement au marketing et à la vente. 

Dans un cas comme dans l'autre, ces nouvelles réglementations ont probablement transformé la nature de nombreuses pratiques du domaine des RH. Avant de creuser ce débat plus en profondeur, il est néanmoins important que vous compreniez bien ce qu'est le RGPD et ce qu'il n'est pas.

Aperçu rapide du RGPD

Le RGPD offre aux citoyens de l'UE davantage de contrôle sur la manière dont leurs données sont utilisées. Il le fait d'une part en garantissant aux utilisateurs de nouveaux droits et, d'autre part, en imposant des contrôles et des limites plus strictes aux organisations qui collectent ou gèrent les données personnelles d'utilisateurs.

Bien que la loi s'applique à l'ensemble de l'UE, elle s'étend bien au-delà : toute organisation qui offre des biens ou des services à des résidents de l'UE – notamment certaines entreprises américaines ou asiatiques telles que Google, Facebook ou AliExpress – devra respecter le RGPD. C'est pourquoi le RGPD est parfois qualifié de « Réglementation mondiale » de facto.

Selon le communiqué de presse de la Commission européenne, la loi a été finalisée après quatre longues années de laborieuses négociations et un nombre record de 3999 amendements. 

source : infographique GDPR par Workday

La loi a été finalisée après quatre longues années et un nombre record de 3999 amendements.

Voici une brève description des principaux changements apportés :

  1. Le droit à l'oubli. Tout citoyen de l'UE peut désormais demander à des entreprises comme Facebook et Twitter de supprimer son compte ainsi que toutes les données personnelles associées dès lors qu’il respecte un ensemble de conditions spécifiques. De plus, il est également possible de demander à l'entreprise de fournir dans un format standard l’ensemble des données personnelles qu'ils ont stockées depuis le tout début.

    Les entreprises sont légalement tenues de fournir ces informations et, en cas de refus, elles s'exposent à des amendes s'élevant au montant le plus élevé entre 20 millions d'euros et 4 % de leur chiffre d'affaires annuel mondial.
  2. Le droit de consentement ou d'objection à la collecte des données. 


Un exemple de bouton d'adhésion/de consentement sous le RGPD

  1. Les enfants de moins de seize ans (candidats stagiaires potentiels) devront obtenir le consentement de leurs parents avant de pouvoir accéder aux plateformes de réseaux sociaux ou postuler aux offres d'emploi.
  2. Les données ne peuvent plus être rendues publiques sans le consentement explicite des utilisateurs. Par ailleurs, les données personnelles ne peuvent être traitées que de manière conforme à la réglementation ou que dans l’éventualité où le contrôleur ou responsable du traitement a reçu le consentement explicite du propriétaire des données – un consentement qui peut être retiré à tout moment.
  3. Une analyse d'impact sur la protection des données (AIPD) doit obligatoirement être effectuée. Le but de cette analyse est de contribuer à identifier et minimiser les risques liés à la confidentialité associés aux activités de traitement de données menées par l'entreprise. 

Les quatre points centraux des RH 

Compte tenu de ces changements, il va sans dire que la nouvelle loi aura un impact significatif sur tous les types d'entreprises et qu'elle transformera la nature même de nombreuses pratiques de RH. De l'acquisition de talents à la gestion des dossiers des employés actuels au sein des bases de données en passant par la formation des employés en matière de protection des données, les défis pour les entreprises et les départements de RH que posent cette nouvelle loi sont innombrables. 

Par exemple, toute personne de l'UE qui postule à un emploi ou intègre le réseau de talents d'une entreprise est soumise aux protections du RGPD. Par exemple, les cookies, qui sont déjà fortement contrôlés au sein de l'UE, sont soumis à des contrôles de conformité encore plus étendus, tout comme les pixels de suivi (qui constituent une partie importante du suivi de l'activité sur les sites d'emploi actuels).

Toute personne de l'UE qui postule à un emploi ou intègre le réseau de talents d'une entreprise est soumise aux protections du RGPD.

Au-delà du suivi en ligne, il est particulièrement important que les professionnels des RH comprennent et s'adaptent à quatre éléments du RGPD : 

1- Transparence de l'information et consentement

En vertu des nouveaux droits fournis par le RGPD, il est essentiel que les entreprises restent totalement transparentes et qu'elles obtiennent les consentements requis dès que nécessaire. Finie l'époque où l'on inondait les boîtes de réception des clients potentiels de spam. Les technologies, telles que les CRM et les plateformes de marketing de recrutement, qui capturent des données personnelles devront envoyer des formulaires de consentement pour se conformer aux exigences du RGPD tout en reflétant la culture de l'entreprise. Les organisations doivent donc établir une liste de toutes les formes publiques ou termes pertinents en matière de saisie de données personnelles dès que possible, puis s'assurer qu'ils ont bien été mis à jour en conformité avec le RGPD.

2- Inventaire et cartographie des données

En vertu des exigences du RGPD, les entreprises sont tenues de savoir où sont stockées toutes les données personnelles (qui proviennent des postulants, des candidats, de la communauté des talents, etc.). Néanmoins, il n'est pas toujours facile d'assurer la supervision des endroits où sont situés les différents serveurs et il n’est pas non plus facile de savoir quel logiciel gère les données et comment ces données sont utilisées. C'est pourquoi les entreprises devraient envisager d'investir dans des technologies offrant un système d'enregistrement centralisé à leurs candidats et postulants (et cesser d’avoir recours à des feuilles de calcul et des listes Excel individuelles). 

De même, il pourrait être bon de créer une règle de base de données (par exemple, un flux de travail dans votre CRM) afin d'inciter les candidats à renouveler leur inscription ou mettre à jour leurs données après une certaine période de temps.

Enfin, les entreprises devraient vérifier régulièrement les adresses qui renvoient les e-mails dans le but de les supprimer de leur CRM.

3- Exactitude, rétention et destruction des données

Cependant, la conformité au RGPD s'étend au-delà des processus internes de l'entreprise. Il est essentiel de s'assurer que les candidats qui se désabonnent sont automatiquement retirés des éventuels flux de travail ou campagnes automatisées. C’est une tâche difficile à réaliser lorsque les données sont stockées à différents endroits, ce qui explique pourquoi nous recommandons un système centralisé et connecté.

Au-delà de la clause de désabonnement, les entreprises soumises au RGPD sont également responsables des données qu'elles revendent ou transmettent à d'autres organisations. Ceci est particulièrement pertinent lorsque l'on sait qu'au cours des dernières années, le secteur de l'acquisition de talents a bénéficié des effets d’une fusion rapide entre le marketing et le recrutement qui a conduit à une plus grande popularité du « marketing de recrutement ».

L'essence du marketing de recrutement inclut la collecte et le traitement des données afin de mieux comprendre le profil du client et mieux communiquer la marque de l'employeur. Cet objectif est principalement rendu possible grâce à l'utilisation de plateformes de marketing de recrutement : il s'agit essentiellement de logiciels qui centralisent les opérations de toutes les campagnes de marketing dans le but de fournir des résultats facilement traçables et mesurables en fonction du temps. 

À lire aussi : Marketing de recrutement : l'avenir de l'acquisition de talents ?

Étant donné que les pratiques de marketing continueront à façonner le recrutement au cours des années et des décennies à venir, il est d'autant plus important que les entreprises impliquées dans le marketing de recrutement comprennent en quoi le RGPD pourrait influencer leur manière d'attirer, d'embaucher et de retenir les talents

4- Sécurité

Dans le cadre du RGPD, les entreprises doivent effectuer une analyse d'impact sur la protection des données (AIPD) avant de mettre en œuvre leur plan global lié au RGPD. Le but de cette analyse est de contribuer à identifier et minimiser les risques de confidentialité associés aux activités de traitement des données menées par l'entreprise. 

En cas de violation de données, les entreprises sont tenues d'informer les parties concernées dans un délai de 72 heures.

Pour obtenir des pistes concernant le format de l'AIPD, les entreprises devraient se tourner vers les associations professionnelles et les partenaires de confiance afin de se tenir au courant des meilleures pratiques. Sachez que les problèmes de sécurité classiques incluent : la sécurité physique, les systèmes informatiques, l'utilisation d'e-mails non cryptés, l'utilisation de portails, la mauvaise gestion des mots de passe, les contrôles insuffisants des appareils mobiles ainsi que la sécurité associée à l'accès à distance/aux VPN.

En cas de violation de données, les entreprises sont tenues d'informer les parties concernées dans un délai de 72 heures. C'est pourquoi les équipes de RH doivent formaliser un plan de communication afin que leur base de données se tienne prête et qu’elle soit par conséquent en mesure d'éviter les amendes. Il suffit simplement de rédiger un modèle d'e-mail dont la légalité a été validé et qui puisse être envoyé sans attendre en cas de violation. 

À lire aussi : Comment la blockchain pourrait révolutionner les RH

Faire du RGPD une opportunité pour les RH

Avec toutes ces discussions sur la réglementation et la conformité, on aurait tendance à oublier l'immense changement positif que le RGPD pourrait apporter aux systèmes de RH obsolètes. 

Les entreprises devraient plutôt considérer cette nouvelle loi comme une opportunité de moderniser leurs systèmes de RH : les arguments en ce sens sont évidents. Le RGPD pourrait aboutir à des processus mieux définis et plus efficaces dans le cadre du traitement des données relatives aux employés, ce qui se traduirait par une plus grande transparence ainsi qu'une plus grande confiance parmi les employés. 

Les entreprises devraient plutôt considérer cette nouvelle loi comme une opportunité de moderniser leurs systèmes de RH.

De plus, des données de meilleure qualité, mais en quantité moindres sont susceptibles de générer des informations plus précises. 

Enfin, le respect de la vie privée renforcera la marque de l'employeur (bien sûr, cela suppose que les employés se soucient réellement de la sécurité et de la protection de leurs données).

En effet, les données relatives aux employés dont disposent aujourd'hui la plupart des entreprises sont aujourd'hui réparties sur différentes plateformes (difficiles à suivre) et celles-ci ont recours à de multiples modules de sécurité pour accéder aux données des employés (difficiles à maintenir harmonisées et à jour). Au bout du compte, cela conduit à des cas d'affaires multiples et déconnectés.

Cependant, avec le RGPD qui se profilait à l'horizon plus tôt cette année, les entreprises tournées vers l'avenir ont commencé à investir dans un système de RH unique offrant un suivi et un audit complets, une base de données unique destinée aux données des employés ainsi qu'un module de sécurité unique. On attend de cette transition une amélioration de la compréhension, un renforcement de l'engagement et une amélioration de l'expérience globale des candidats. Contrairement au système de messagerie de masse actuel qui s’appuie sur sa taille afin de générer de l'engagement, le RGPD oblige les professionnels des RH à réfléchir de quelle manière, à quel moment et pour quelle raison ils communiquent avec leur base de données. Par conséquent, ils espèrent que ce système centralisé permettra une analyse de rentabilisation plus rationalisée, mais surtout une plus grande conformité avec le RGPD.

Au lieu de ne considérer le RGPD que comme une réforme lourde, exigeante en main-d'œuvre et coûteuse, il est également possible que les RH le perçoivent comme une opportunité de nettoyer leurs bases de données et de centraliser les données de leurs candidats en un système unique. 

Ce choix devrait porter ses fruits à l'avenir en générant une augmentation de la confiance entre les employés et les clients ainsi qu’une stimulation de la productivité et de l'efficacité. 

À l'heure où le bonheur des employés et la culture d'entreprise sont à l'honneur, le RGPD incite fortement les professionnels des RH à réfléchir à la manière dont ils pourraient améliorer l’organisation des processus et systèmes liés à la confidentialité des données. 

Contre toute attente, il pourrait bien déclencher une véritable vague d'innovation dans le domaine des RH. 


Suivez Welcome to the Jungle sur Facebook Recruiters pour recevoir chaque jour nos meilleurs articles dans votre timeline !

Rédaction : Kyrill Hartog

Illustration : Marcel Singe

Retrouvez nos articles RH directement dans votre boite mail

Retrouvez nos articles RH directement dans votre boite mail