Recrutement RGPD : En tant que société par actions simplifiée unipersonnelle (SASU) qui exerce une activité de recrutement et de conseil en ressources humaines, vous traitez probablement des données personnelles. En Europe, le Règlement général sur la protection des données (RGPD) stipule que certaines organisations doivent désigner un délégué à la protection des données (DPO).
Cependant, toutes les organisations ne sont pas tenues de désigner un DPO. Selon le RGPD, vous devez désigner un DPO si :
- Vous êtes une autorité publique (à l’exception des tribunaux agissant dans le cadre de leur fonction judiciaire).
- Vos activités de base vous obligent à effectuer un suivi régulier et systématique des individus à grande échelle.
- Vos activités de base consistent en le traitement à grande échelle de catégories particulières de données (par exemple, des données sur la santé, la race, la religion, l’orientation sexuelle, etc.) ou de données relatives à des condamnations pénales et à des infractions.
Dans le cas présenté, si vous traitez des données personnelles à grande échelle ou si vous traitez des catégories particulières de données dans le cadre de votre activité de recrutement, vous pourriez être tenu de désigner un DPO.
Un cabinet de recrutement de taille moyenne, ne devrait pas avoir besoin d’un DPO. Maintenant certaines sociétés peuvent vous demander d’avoir un DPO, car cela les rassure et surtout leur permet de garder leur conformité RGPD.
Même si vous n’avez pas l’obligation d’avoir un DPO vous avez l’obligation de respecter au moins les points suivants lors d’un Recrutement pour être conforme au RGPD:
Principe de licéité, de loyauté et de transparence : Vous devez traiter les données personnelles de manière licite et transparente. Cela signifie que vous devez informer les personnes dont vous traitez les données (les « personnes concernées ») de la manière dont vous utilisez leurs données.
Limitation des finalités : Vous ne pouvez collecter des données personnelles que pour des finalités spécifiques, explicites et légitimes. Vous ne pouvez pas utiliser les données pour d’autres finalités sans le consentement de la personne concernée.
Minimisation des données : Vous ne devez collecter que les données personnelles nécessaires pour atteindre vos objectifs. Cela signifie que vous ne devez pas collecter de données excessives.
Exactitude : Vous devez vous assurer que les données personnelles que vous traitez sont exactes et à jour.
Limitation de la conservation : Vous ne pouvez conserver les données personnelles que pendant la durée nécessaire pour atteindre les finalités pour lesquelles vous les avez collectées.
Intégrité et confidentialité : Vous devez protéger les données personnelles contre l’accès non autorisé, la perte ou la destruction. Cela signifie que vous devez mettre en place des mesures de sécurité appropriées.
Responsabilité : Vous devez être en mesure de démontrer votre conformité avec le RGPD. Cela peut impliquer la tenue de registres de vos activités de traitement des données et la mise en place de politiques et de procédures pour protéger les données personnelles.
Ce que vous demande votre client c’est d’être certain que vous respectez bien ces points. Vous pouvez aussi consulter le site de la CNIL.
