Le RGPD expliqué en bref
Le Règlement général sur la protection des données (RGPD) est la réglementation centrale concernant le traitement des données personnelles dans l’UE. Il définit comment les données doivent être traitées, stockées et supprimées — dans le but de protéger la vie privée des personnes physiques. Ceci est un sujet crucial, notamment dans le recrutement, où des informations sensibles sont traitées quotidiennement.
Principes clés du RGPD :
- Droit d’accès, de rectification et d’effacement
- Privacy by Design : la protection des données est intégrée dès la conception des systèmes.
- Privacy by Default : la protection des données est activée par défaut, sans intervention de l’utilisateur.
- Limitation des finalités et de la durée de conservation : les données de candidature ne peuvent être conservées que le temps nécessaire.
Données personnelles
Mais qu’entend-on exactement par données personnelles ? Et combien de temps peuvent-elles être conservées ? Les données personnelles désignent toute information se rapportant à une personne physique identifiée ou identifiable. En d’autres termes, toute donnée pouvant être attribuée, directement ou indirectement, à une personne, comme le nom, le numéro de téléphone ou les coordonnées bancaires. On distingue les données personnelles ordinaires et les données sensibles : ces dernières, telles que les données génétiques, biométriques ou ethniques, bénéficient d’un niveau de protection plus élevé. Les données personnelles ne peuvent être conservées que tant qu’elles remplissent leur finalité, conformément au principe de limitation de la conservation. Cela s’applique aussi, par exemple, aux candidatures : le traitement des données personnelles des candidats issus de l’UE relève du RGPD.
Le RGPD en Suisse : qui est concerné ?
En Suisse, la loi fédérale sur la protection des données (LPD) s’applique en principe. Cependant, les entreprises suisses doivent également tenir compte du RGPD — en particulier si elles entretiennent des relations commerciales avec l’UE selon le principe du lieu de marché. Les processus internes, contrats, politiques et déclarations de confidentialité doivent être examinés avec soin. La conséquence : dès qu’une entreprise suisse collecte et traite des données personnelles de personnes physiques issues de l’UE, elle doit se conformer au RGPD européen. Cela concerne notamment les biens et/ou services ainsi que le comportement des personnes concernées. L’entreprise dispose-t-elle d’une succursale dans l’Union européenne ? Un client se trouve-t-il dans l’UE ? Ou une entreprise suisse traite-t-elle des données personnelles pour le compte d’une entreprise basée dans l’UE ? Dans ces cas, les règles du RGPD s’appliquent également en Suisse, ainsi qu’une décision d’adéquation.
L’entreprise suisse est-elle concernée par le RGPD parce qu’elle a une intention claire de commerce ? Alors les obligations suivantes s’appliquent :
- Informer la personne concernée et obtenir son consentement au traitement des données
- Garantir les principes de « Privacy by Design » et « Privacy by Default »
- Nommer un délégué à la protection des données dans l’UE
- Établir un registre des activités de traitement
- Signaler les violations de données à l’autorité de contrôle
- Réaliser une analyse d’impact relative à la protection des données (AIPD)
Délégués à la protection des données en Suisse pour le RGPD
Qu’ils soient internes ou externes : une personne compétente en protection des données est précieuse — surtout en recrutement. Elle peut définir, contrôler et coordonner les processus nécessaires. Si votre entreprise est soumise au RGPD, elle doit également disposer d’un représentant officiel situé dans un État membre de l’UE, qui servira de point de contact pour les autorités de contrôle et les personnes concernées.
Infractions au RGPD : sanctions élevées possibles
Le RGPD prévoit des sanctions sévères en cas de non-respect : En cas de violation grave, des amendes pouvant atteindre 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros — selon le montant le plus élevé — peuvent être infligées. Ce n’est pas une théorie : il existe déjà des jurisprudences — y compris dans le contexte du recrutement. Par exemple, une entreprise a été sanctionnée pour avoir accidentellement transmis des données de candidature à des tiers sans informer immédiatement le candidat concerné. Même rechercher un candidat sur Google sans information transparente peut violer le RGPD. Les entreprises sont donc avisées de traiter les données des candidats avec la plus grande prudence.
Conclusion : le RGPD concerne aussi les entreprises suisses
Les entreprises suisses qui traitent des données personnelles de citoyens de l’UE peuvent être soumises au RGPD si leur offre cible spécifiquement le marché européen — selon le principe du lieu de marché. Cela signifie que, même si le siège social est en Suisse, une violation du RGPD peut avoir des conséquences financières et réputationnelles graves — notamment si les données des candidats ou des collaborateurs ne sont pas protégées ou traitées correctement. Dans le recrutement, où des données sensibles arrivent chaque jour, un traitement conforme et propre est indispensable. La protection des données n’est plus un « plus », mais un enjeu critique qui doit être abordé de manière proactive.
Même si votre entreprise est basée en Suisse, elle peut donc être tenue de respecter le RGPD sous certaines conditions. Il est donc judicieux d’examiner la situation actuelle et les processus, de sensibiliser le personnel et d’améliorer les standards de protection des données — surtout en recrutement.
Vous ne savez pas par où commencer ? Notre solution d’e-recrutement couvre tous les processus, de la candidature à la suppression, en conformité complète avec le RGPD — y compris la gestion du consentement, la communication transparente et les délais de suppression automatisés.
Testez dès maintenant la simplicité d’un recrutement conforme à la protection des données !