GDPR / RGDP, il était une fois la Pseudonymisation...
Voilà, nous y sommes, le 26 mai est passé et…. rien. Ou presque, à part le déluge d’emails dans vos boîtes pour accepter de nouvelles conditions générales….
Bref, la GDPR/RGDP est, aux Ressources Humaines en général, et au Recrutement en particulier, ce que le bug de l'an 2000 a été à l'Informatique : l’éclosion de tout un business du consulting et une formidable occasion de moderniser pléthore de systèmes obsolètes... Mais au final, comme en 2000, pas de fin du monde.
Mais la GDPR, si on s'éloigne un peu du fond du sujet, introduit également un certain nombre de concepts qui représentent un intérêt bien réel pour le recrutement et qui méritent que l’on s’y attarde un peu.
Parlons donc un peu de la pseudonymisation.
La pseudonymisation, qu'est-ce? Contrairement à ce que l'on pourrait croire, le terme n'a pas été inventé à Bruxelles, il existait déjà. Pour le définir rapidement, on peut opposer la PSEUDONYMISATION à l'ANONYMISATION.
Pour faire simple:
- Anonymiser : je postule une 1ère fois, toutes mes données reconnaissables sont cryptées par le système, j'ai un identifiant unique "FG10344524" (par exemple) et si je re-postule à un autre job avant l'effacement de mes données personnelles, un nouvel identifiant totalement différent me sera attribué. Avec l'anonymisation, pas de retour en arrière, ce qui est crypté reste et restera crypté.
- Pseudonymisation : je postule, j'ai également un identifiant unique "FG10344524", mais je garde le même "FG10344524" à chaque postulation - toujours dans la limite de conservation et protection des données, l'identifiant étant généré par l'ATS à l'entrée sur la base de critères reconnaissables. Contrairement à l'anonymisation, ce qui est crypté est... décryptable, il faut bien pouvoir contacter le candidat.
Et là, ami recruteur, tu te dis “pratique pour les serial-postulants”! Je vais quand même pouvoir savoir qui a déjà postulé quand je recrute 100 Supports clientèle par an et reçois 5000 CVs par an pour ces positions. Raté? Est-ce que c'était sans compter sur le droit à l'oubli tel que mentionné dans la GDPR et le délai de conservation des CVs?
Pas vraiment. La bonne nouvelle est que depuis mon 1er article, beaucoup ont réfléchi sur ce fameux délai. La tendance est de penser que nous pourrions pousser notre chance et fixer une période de conservation allant jusqu'à deux ans et non 6 mois ou quelques semaines après la fermeture du poste.
Il est clair que, plus la période de conservation est longue, plus la pseudonymisation prend son sens. L'esprit de la loi est non seulement le droit à l'oubli mais surtout la sécurisation des données personnelles. Jouer sur le fait qu'un identifiant unique créé sans intervention du recruteur ne permet en rien de remonter à un individu, au contraire par exemple d'un email, est sans doute le summum de la protection telle que la GDRP la conçoit.
Et si l’on poursuit la lecture de la loi:
Il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits
Si l’on parle ATS, j'ai eu récemment des contacts avec une entreprise souhaitant utiliser un outil fait maison sur la base de la plateforme de gestion documentaire Sharepoint. C’est typiquement ce genre de pratiques qui est visée par la GDPR. Même si le délai de conservation des CVs reste court, il sera difficile à cette entreprise de prouver qu'elle a réellement mis les moyens pour sécuriser les données personnelles de ses candidats en cas de contestation par l’un d’eux.
La GDPR est un marathon et non un sprint jusqu’au 26 mai, elle encourage fortement les éditeurs d'ATS sur ce chemin de la pseudonymisation. Ou plutôt NOUS encourage fortement à leur forcer un peu la main.
La pseudonymisation est également synonyme du retour du bon vieux serpent de mer du recrutement, à savoir le fameux CV anonyme. La différence étant que les éditeurs d'ATS vont peut-être un peu moins traîner les pieds pour proposer des solutions viables. Le concept est intéressant, il y a fondamentalement quelque chose à faire avec ça. Imaginons un recrutement sans CV, un simple test de compétences en entrée, aucune donnée candidat n’étant conservée s'il ne passe pas la première étape.
Je vous laisse réfléchir là-dessus, mais si vous êtes en phase d'évaluation d'un nouvel ATS, il serait peut être bon de voir comment l'éditeur planifie de gérer la pseudonymisation, ou pas.
------------------------------------------------------------------------------------------------------------
Passionné par l'optimisation et la digitalisation des processus, je suis actuellement à la recherche d'une entreprise romande qui souhaiterait faire la différence. La digitalisation n'exclut en rien de remettre l'humain au centre de nos activités RH, mais demander plus de 24 minutes à un candidat pour postuler à une annonce n'est sans doute pas la meilleure façon de commencer. Si c'est un problème pour vous - faites le test - alors contactez-moi. dominique.muhlematter a-t gmail.com