GDPR – Note d’information destinée aux clients utilisateurs de Talentfinder

À partir du 25 mai 2018 entrera en vigueur la nouvelle réglementation concernant la protection des données à caractère personnel (2016/679). Cette réglementation vise essentiellement à accroître la transparence quant au traitement des données à caractère personnel (finalités, durée, …) et à renforcer les droits des personnes quant au contrôle de leurs données.

Afin de répondre aux exigences de cette réglementation, nous avons effectué quelques changements dans votre outil de recrutement Talentfinder. En outre, nous tenons à préciser clairement quels sont nos rôles et nos responsabilités respectifs.

  1. Votre rôle

Dans le cadre de l’utilisation de l’outil de recrutement Talentfinder, vous êtes le Responsable du traitement.

  1. Notre rôle

Profile Group est Sous-traitant de ces mêmes données qui ne sont traitées que sur demande et pour le compte du Responsable du traitement.

  1. Vos responsabilités & obligations

En qualité de Responsable du traitement des données, entre autres choses :

  • Vous devez définir votre politique de protection des données à caractère personnel concernant les utilisateurs de Talentfinder, politique dans laquelle vous précisez les finalités et les moyens de traitement des données contenues dans la base de données de votre outil Talentfinder ;

Vous trouverez, en annexe A, un document-type, reprenant les informations strictement nécessaires devant figurer dans votre politique de protection des données à caractère personnel.

  • Vous devez communiquer cette politique aux personnes visées ;
  • Vous devez recueillir le consentement explicite des personnes visées, afin de pouvoir traiter leurs données ;

Vous découvrirez ci-dessous les moyens que nous avons mis en œuvre pour automatiser cette communication et pour recueillir le consentement explicite.

  • Vous devez permettre aux personnes visées d’accéder à leurs données et de les modifier

Ces droits ont toujours pu être exercés par les candidats, en se connectant à « My Profile ».

  • Vous devez permettre aux personnes visées de supprimer leurs données.

Vous découvrirez ci-dessous que ce droit peut désormais s’exercer et nous vous invitons à préciser, dans votre politique de protection des données à caractère personnel, qu’il est également possible d’exercer le droit de suppression des données sur demande au Responsable du traitement / Data Protection Officer.

  1. Nos responsabilités, obligations et réalisations

En qualité de Sous-traitant du traitement des données, entre autres choses :

  • Nous devons vous fournir une solution conforme par sa conception et par défaut :
  • À partir du 25 mai 2018, il ne sera plus autorisé de traiter les données à caractère personnel sans le consentement explicite de la personne.
  • Que ce soit pour postuler – à une offre d’emploi ou spontanément – ou pour accéder à « My Profile », les candidats devront systématiquement et obligatoirement donner leur consentement en cochant une case.
  • La date à laquelle le candidat a donné son consentement sera affichée dans sa fiche personnelle.
  • La date de consentement sera automatiquement mise à jour si et quand le candidat redonne son consentement.
  • Le message se trouvant à côté de cette case à cocher peut être modifié dans le backoffice de Talentfinder
  • Nous devons permettre au Responsable du traitement de préciser la durée de conservation des données et, à l’issue de cette période, les données doivent être supprimées.
  • Cette durée doit être paramétrée dans le backoffice de Talentfinder.
  • Nous avons également développé un email automatique, envoyé X semaines – à préciser dans le backoffice de Talentfinder – avant la fin de cette période pour demander au candidat s’il souhaite prolonger son consentement et rester dans votre base de données.
  • En l’absence de réponse, et à la date de péremption du consentement, les données seront automatiquement et définitivement supprimées.
  • Nous devons permettre au Responsable du traitement de communiquer sa politique de protection des données à caractère personnel aux personnes concernées.
  • A côté de la case à cocher obligatoirement pour postuler et/ou se connecter à « My Profile » se trouve un lien qui redirige les personnes concernées vers votre politique de protection des données.
  • 2 options s’offrent à vous – à configurer dans le backoffice de Talentfinder :
    • Soit ce lien renvoie vers une page dédiée, hébergée par nos soins
    • Soit ce lien renvoie vers la page dédiée sur votre propre site web
  • Nous devons donner aux candidats le droit d’accéder à leurs données, le droit de les éditer, ainsi que le droit de les supprimer.
  • En se connectant à « My Profile », les candidats sont en mesure d’exercer ces droits.
  • Un message d’avertissement (pop-up) s’affiche si et quand un candidat décoche la case relative au consentement explicite, l’informant que la suppression de ses données est définitive.
  • Nous devons garantir un niveau de sécurité approprié, compte tenu des connaissances en la matière, du type de données visées et des coûts de mise en œuvre.
  • Les mots de passe sont désormais cryptés, pour tous les utilisateurs de Talentfinder (candidats et membres de votre personnel). Cela signifie que seul l’utilisateur peut y accéder.

En cas de perte/oubli du mot de passe, il est possible de le réinitialiser à partir de l’outil Talentfinder. Un email contenant un lien unique est alors envoyé à l’utilisateur et le nouveau mot de passe peut être créé à partir de ce lien.

  • La technologie https est disponible pour chaque client.
  • Les données contenues dans Talentfinder sont hébergées dans un data center européen répondant à toutes les exigences et à toutes les normes.
  • Nous devons limiter l’accès aux données.
  • Nous avons des procédures internes limitant l’accès aux données : seuls certains membres du personnel de Profile Group peuvent, si le Responsable du traitement le demande, traiter des données.
  • En cas de départ de l’un des membres du personnel de Profile Group autorisé à traiter les données pour le compte des clients Responsables du traitement, les mots de passe sont modifiés.

Vous trouverez, en annexe B l’Accord de sous-traitance des données à caractère personnel reprenant les éléments relatifs aux responsabilités et devoirs de chacun, et devant être signé par nos deux sociétés.

  1. Vos données à caractère personnel

La nouvelle réglementation concerne tous les citoyens européens, c’est pourquoi nous avons besoin de votre consentement explicite pour que nous puissions encore traiter vos données à caractère personnel. En effet, lors de nos échanges – téléphone, email, chat, communication de nouveautés, questions, … – nous traitons vos données et votre consentement est donc fondamental pour que nous puissions continuer notre collaboration.

Vous trouverez, en annexe C le document Profile Group & vos données à caractère personnel vous informant des modalités et finalités du traitement, et devant être signé par vous ainsi que par les membres de votre entreprise utilisant fréquemment Talentfinder.

  1. à faire, pour le 25 mai au plus tard
  • Votre politique de protection des données à caractère personnel

Celle-ci doit être disponible pour les candidats au plus tard le 25 mai 2018.

! Si vous décidez d’utiliser le document-type (annexe A), n’oubliez pas de remplir correctement les champs surlignés.

  • Accord de sous-traitance des données à caractère personnel

Ce document – annexe B – doit être lu et signé avant de nous être renvoyé par email au plus tard le 25 mai 2018.

! Merci de mettre dpo@profilegroup.com en copie de ce mail.

  • Vos données à caractère personnel

Ce document – annexe C – doit être lu et signé avant de nous être renvoyé par email au plus tard le 25 mai 2018.

! Merci de mettre dpo@profilegroup.com en copie de ce mail.

  • Paramètres dans le backoffice

Pour répondre à nos obligations, nous avons ajusté certains paramètres dans le backoffice de Talentfinder pour vous permettre d’y transposer votre politique de protection des données à caractère personnel.

Cliquez sur GDPR pour modifier :

  • Le titre de votre politique de protection des données à caractère personnel
  • Le texte qui se trouvera à côté de la case à cocher pour postuler et/ou se connecter à « My Profile »
  • Le contenu de votre politique de protection des données
  • Le message d’erreur qui apparaitra quand un candidat oublie de cocher la case

Vous devez éditer les paramètres « GDPR » dans :

– les Paramètres de candidatures spontanées,

– les Paramètres du formulaire de candidature, et

– les Paramètres du formulaire de sollicitation (uniquement formulaire)

Cliquez sur Cookie banner pour :

  • Préciser l’url de votre politique de protection des données à caractère personnel.

Par défaut, nous avons mis l’url qui redirige vers une page hébergée par nos soins. Si vous préférez utiliser le disclaimer présent sur votre site, il suffit de modifier le lien.

  • Si vous souhaitez voir apparaître un bandeau relatif aux cookies sur la page emploi, c’est ici que vous devez le préciser et que vous pouvez paramétrer les éléments principaux du bandeau.

Etant donné que les candidats arrivent d’abord sur votre propre site web avant d’être redirigé vers la page emploi, il n’est pas nécessaire de remettre un tel bandeau sur la page emploi.

Cliquez sur Conservation des données pour :

  • Préciser combien de temps vous souhaitez conserver les données des candidats
  • Préciser combien de semaines avant la fin de cette période un email sera automatiquement envoyé au candidat.

! Nous vous invitons à être vigilant et à encoder des données cohérentes par rapport à votre politique de protection des données à caractère personnel.

  • Choix par rapport à votre base de données existante

Premier cas de figure : vous avez déjà activé une politique de confidentialité / protection des données à caractère personnel dans votre outil Talentfinder.

Dans ce cas, les candidats qui ont validé la case à cocher vous ont donné leur consentement pour que vous traitiez leurs données, et vous pouvez donc continuer de les gérer pendant la période de conservation définie dans votre politique de protection des données.

Deuxième cas de figure : vous n’avez pas encore activé une politique de confidentialité / protection des données à caractère personnel dans votre outil Talentfinder.

Dans ce cas, tôt ou tard, vous allez soit devoir obtenir le consentement des candidats présents dans votre base de données, soit supprimer les données de ces candidats.

Conseils:

– Vous pouvez choisir de supprimer tous les candidats dont le profil a été mis à jour depuis une durée supérieure à la durée de conservation des données mentionnée dans votre politique de protection des données.

Ex : si vous décidez de conserver les données pendant 2 ans, vous pouvez alors choisir de supprimer toutes les données reçues il y a plus de 2 ans.

– Pour les candidats restants, nous vous recommandons de mettre sur pied un programme visant à les contacter et à obtenir leur consentement pour que vous puissiez continuer de traiter leurs données.

Remarque : nous sommes convaincus qu’il est préférable de prendre des actions claires, visant à travailler en conformité avec le RGPD le plut tôt possible, plutôt que de céder à la panique.