Le RGPD a été mis en application le 25 mai 2018. Cette nouvelle réglementation permet aux citoyens de sécuriser leurs informations collectées par les entreprises. Dorénavant, l’ensemble des entreprises gèrent et réadaptent leur système de gestion des données afin de se conformer à la loi.
Le domaine du recrutement, dont les agences temporaires pour l’emploi, sont considérablement concernées par le traitement des données relatives à leurs candidats intérimaires, leurs clients ou leurs fournisseurs.
Comment la loi RGPD s'applique-t-elle en agence d'intérim ? Comment protéger les informations relatives aux salariés ? 👉 Guide pratique pour protéger les données personnelles transmises par l’intérimaire.
La loi RGPD
Le RGPD, qui signifie « Règlement Général sur la Protection des Données », s’inscrit dans la continuité de la Loi Française Informatique et Libertés de 1978. Cette loi établit des règles relatives à la collecte et à l’utilisation des données sur le territoire français.
Ce texte relève du règlement Européen, de ce fait, il est directement applicable dans l’ensemble de l’Union Européenne. Ainsi, la loi s’engage à offrir un cadre juridique aux professionnels. Ces derniers sont désormais contraints de s’adapter pour être en conformité avec tous les dispositifs du règlement.
L’intention du RGPD vise, avant tout, à permettre aux entreprises de suivre les évolutions des technologies de nos sociétés modernes tout en conservant la confiance des utilisateurs. C’est-à-dire à l’utilisation grandissante du numérique ainsi que du commerce en ligne.
La loi est très précise au sujet des informations qui peuvent être collectées, celles qui sont interdites et elle précise les objectifs de cette autorisation. Ainsi, les notions de « données personnelles », « traitement des données » et l’explication des objectifs inhérents à cette loi sont des éléments à comprendre et à discerner.
➡️ Les objectifs de la loi RGPD
La loi RGPD a pour objectifs principaux :
Le renforcement des droits des personnes ;
La responsabilisation des acteurs qui traitent des données ;
Le renforcement de la coopération entre les autorités de protection des données.
La loi permet donc de protéger la vie privée de l’ensemble des citoyens d’une possible utilisation frauduleuse de leurs informations personnelles.
💡 Qui est concerné par le RGPD ?
Tout d’abord, les différents organismes doivent résider sur le territoire Européen. Les entreprises implantées hors de l’Union Européenne, dont l’activité cible les résidents européens, sont également concernées.
De ce fait, les sous-traitants, au même titre que l’ensemble des organismes, sont tenus de respecter ces nouvelles formalités.
💡 Qu’est-ce qu’une donnée personnelle ?
Deux types d’identification sont répertoriées :
L’identification directe
(nom, prénom,…)
L’identification indirecte
(identifiant, numéro de téléphonique, photos...)
⚠️ Attention, dans le cadre des données personnelles stockées par les entreprises, certaines informations ne sont pas considérées comme des « données », dans le sens strict de la loi RGPD. C’est le cas des informations suivantes : Nom d’une entreprise, adresse postale, numéro de téléphone de son standard, adresse e-mail générique.
💡 Qu’est-ce qu’un traitement de données personnelles ?
Le règlement Européen régule le traitement des données personnelles, effectué par une entreprise sur le territoire français ou européen.
De ce fait, le traitement des données personnelles est une notion très large. Celle-ci part du principe que les données peuvent faire l’objet d’un traitement par les entreprises (les entreprises vont stocker et collecter les données au profit d’une opération commerciale, marketing ou RH - envoi d'emails en agence d'intérim).
Exemples de traitement de données personnelles : Par le biais d’un logiciel ou d’une plateforme de base de données clients, fournisseurs, salariés :
La collecte d’informations sur des prospects, les questionnaires de satisfaction, la base de données marketing contenant des informations relatives aux habitudes des consommateurs (comportements d’achats, localisation, âge).
💡 Quelles sont les sanctions qu’encourent les organismes s’ils ne respectent pas le RGPD ?
Tout d’abord, les autorités de protection peuvent :
Prononcer un avertissement ;
Mettre en demeure l’entreprise ;
Limiter temporairement ou définitivement un traitement ;
Suspendre les flux de données ;
Ordonner la rectification, la limitation ou l’effacement des données.
Dans le cadre des sanctions financières et des amendes administratives, les acteurs qui ne respectent pas le RGPD peuvent encourir :
Une amende de 10 ou 20 millions d’euros ;
Ou perdre 2 % à 4 % de leur chiffre d’affaires annuel mondial.
L’application de la loi RGPD dans le domaine de l’intérim
💡 Qui a accès aux données des intérimaires ?
L’importance pour les agences d’intérim de se conformer aux règles relatives au RGPD est liée à la spécificité de son organisation. Nous l’avons déjà relevé à plusieurs reprises, l’intérim fonctionne en relation tripartite : Intérimaires – Agences – Clients.
Cependant, certaines informations qu’elle collecte sont visibles par d’autres organismes : L’URSSAF, le Pôle Emploi ou la médecine du travail.
💡 Quels sont les droits des intérimaires par rapport à ces données ?
Les informations collectées par les agences d’intérim auprès des intérimaires sont reliées à la notion de consentement de ces derniers. Attention, la notion de matérialisation de ce consentement ne peut être ambiguë.
Par conséquent les intérimaires ont le droit :
D’être informer de l’usage de leurs données ;
De donner leur accord pour le traitement de leurs données ;
De s’y opposer ;
De récupérer leurs données
.
Les utilisateurs peuvent, en principe, récupérer les données qu’ils ont fourni à l’agence et les transférer à un tiers.
💡 Comment se passe la suppression des données des intérimaires via le RGPD ?
Les intérimaires peuvent demander la modification ou la suppression (avec lettre écrite) ainsi que le transfert des données de l’agence. Par conséquent, et sur simple demande, ils peuvent avoir accès à l’ensemble des informations inscrites.
En réponse, les agences d’intérim sont dans l’obligation de supprimer les informations demandées, les documents de suivi des intérimaires ainsi que les commentaires renseignés sur les fiches.
💡 Combien de temps les données sont-elles conservées ?
Les informations et données personnelles relatives aux intérimaires doivent être gardées pendant 5 ans après l’édition de la première fiche de paie. Passé ce délai les informations sont détruites ou anonymisées.
💡 Comment sont utilisées les données des intérimaires ?
Les agences utilisent les données des intérimaires dans le cadre de la création de contrats de travail ainsi que pour l’édition des fiches de paie. Directement reliées à d’autres organismes tels que l’URSSAF ou le Pôle Emploi, les informations sont primordiales pour les déclarations obligatoires telles que la DSN (déclaration sociale nominative) et la DPAE (déclaration préalable à l’embauche).
💡 Comment le RGPD s’applique-t-il dans le domaine du recrutement ?
Les règles relatives à la loi RGPD s’appliquent à tous les candidats communiquant et étant dans la base de données de l’agence d’intérim.
Les devoirs des agences d’intérim :
Les agences temporaires pour l’emploi peuvent, dans un premier temps, nommer un DPO. Le DPO (Data Protection Officer) se charge de la mise en conformité de la base de données candidats, clients et fournisseurs. Il pourra identifier et corriger les non conformités et prioriser les actions à mettre en place. Son rôle est également de sensibiliser les collaborateurs dans l’instauration des bonnes pratiques.
Les données collectées doivent avoir un lien direct avec le poste à pourvoir. Certaines informations qui n’ont aucun lien avec le poste sont prohibées et nommées « données à risques » :
Les origines ethniques ;
L’état de santé ;
L’orientation sexuelle ;
Les opinions politiques ou religieuses ;
L’appartenance syndicale ;
Les informations génétiques ou biométriques.
Sauf s’ils acceptent de figurer au sein de la base de données pour une durée maximale de deux ans, les candidats non retenus pour un poste doivent être supprimés.
Vis à vis de leurs clients, les agences d’intérim ont également une obligation de conseil. Ainsi, elles doivent les aider dans la mise en œuvre du RGPD. Les deux parties rédigent et signent un contrat abordant les règles relatives au partage des données.
Les devoirs des entreprises utilisatrices :
Les entreprises utilisatrices sont considérées comme des sous-traitants pour les agences d’intérim. Les agences ont donc le devoir de vérifier que celles-ci respectent leurs obligations en matière de sécurité, de confidentialité et de suivi de leur activité.
💡 Quels sont les bons réflexes à adopter dans la gestion des données ?
La CNIL (3) préconise aux entreprises des actions à mettre en œuvre afin de collecter correctement les données. De ce fait, les agences d’intérim et toutes autres entreprises doivent :
Constituer un registre des traitements de données ;
Les entreprises peuvent recenser les données au sein d’un registre en conformité avec la loi RGPD.
Faire le tri dans les données et ne collecter que celles réellement essentielles ;
Ces données doivent être conformes avec le domaine d’activité de la structure. De plus, elles ont pour obligation d’être collectées envers un objectif légitime bien déterminé et conforme au « principe de finalité ».
Respecter le droit des citoyens en matière de consultation, de rectification et de suppression des données ;
Le principe de transparence des données doit également être appliqué. Les individus ont le droit d’être informé de l’utilisation des informations les concernant et des modalités d’exercice de ces droits.
Sécuriser toutes les données.
Des mesures de sécurité des données doivent être mises en place : La sécurité physique, informatique, la sécurisation des locaux, des postes de travail etla mise en place très stricte de certaines habilitations et droits d’accès informatique.
La procédure de notification des violations
⚠️ À noter que chaque entreprise doit établir une « procédure de notification des violations ». C’est-à-dire, le responsable des traitements des données, s’il relève une faille, doit notifier cette violation des données personnelles dans un délai de 72 heures à la CNIL. Ainsi, les entreprises doivent s’assurer que toutes les mesures sont prises en interne pour garantir la remontée d’un incident.
💡 Quelles sont les aides pour se former au RGPD ?
La CNIL propose à tous ses organismes des aides afin de se former aux nouvelles bonnes pratiques. Ainsi, elle a lancé en mars 2019 une formation en ligne « L’atelier RGPD » élaboré par des juristes et des experts. Ce MOOC, gratuit et en ligne jusqu’en septembre 2021 propose 4 modules d’une durée moyenne de 5 heures. Une attestation est d'ailleurs délivrée à l’issue de cette formation.
La mise en application du RGPD a eu un impact direct sur la gestion des ressources humaines, en l’occurrence dans le domaine du travail temporaire. Le RGPD a été vu de premier abord comme contraignant, en particulier pour les PME n’ayant pas les moyens humains et financiers de faire contrôler leurs pratiques par un juriste qualifié.
Cependant, même si celui-ci demande une lourde charge de travail, il permet aux agences de trier ses propres données et de ne conserver que celles ayant un but précis. Par l’application de cette loi, les agences peuvent préciser et améliorer leur stratégie de recrutement en ne se basant que sur les aspects professionnels des candidats. Ainsi, les processus se trouvent optimisés et les agences ont l’avantage d’avoir à leur disposition une base de données candidats pertinente.
1. Economie.gouv - Juillet 2019