Politique de confidentialité - Recrutement

Version en date du 23/12/2020

Préambule
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et vient compléter la législation en matière de protection des données à caractère personnel.
Pour votre information, une donnée à caractère personnel correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, adresse, e-mail, numéro de téléphone, parcours professionnel, etc.).
Un traitement de données à caractère personnel désigne toute opération sur ce type de données (collecte, stockage, transmission, suppression, etc.) que cela soit sur papier ou informatique. Le Responsable de Traitement est la personne qui détermine les finalités de chaque traitement et les moyens pour atteindre ces finalités.
La protection de vos données est, pour nous, une priorité. Aussi, dans un souci de transparence, la présente Politique de Confidentialité a pour objectif notamment de vous expliquer pourquoi les données personnelles des candidats à une offre d’emploi sont collectées et traitées par le Groupe CRC en sa qualité de Responsable de Traitement (et par les agences et cabinets de recrutement partenaires agissant en qualité de Responsables de Traitement conjoints, le cas échéant) comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment vous pouvez les exercer.
La présente Politique de Confidentialité peut être modifiée à tout moment, toute modification prenant effet immédiatement. Par conséquent, nous vous invitons à consulter régulièrement de notre Politique, accessible depuis notre site internet, afin de vous tenir informé de la dernière version en ligne applicable.

Sommaire
1. A quelles fins sont collectées vos données ?
2. Quelles sont les données que nous collectons ?
3. Sur quel fondement juridique repose les traitements de vos données ?
4. Combien de temps sont conservées vos données ?
5. Quels sont vos droits et comment les exercer ?
5.1. Vos droits sur vos données
5.2. L’exercice de vos droits
6. Champs obligatoires
7. Avec qui partageons-nous vos données ?
8. Vos données sont-elles transférées hors UE ?
9. Comment sécurisons-nous le traitement vos données ?

1. A quelles fins sont collectées vos données ?
Les données collectées sont nécessaires pour permettre au service des Ressources Humaines et/ou aux responsables de service du Groupe CRC concernés par la candidature de répondre aux finalités suivantes :
▪ Traitement et examen des candidatures,
▪ Organisation et gestion des entretiens le cas échéant,
▪ Constitution d’une CVthèque afin de reprendre contact avec vous, si votre profil correspond à l’une de nos recherches futures.

De façon générale, vos données ne sont jamais traitées à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de votre part.

Le Groupe CRC vous informe qu’il fait appel à des agences et cabinets de recrutement partenaires qui peuvent mettre en œuvre des traitements visant à faciliter le recrutement, notamment grâce à un algorithme de sélection (recherche par mots clés ou par critères : nombre d’années d’expérience, niveau du dernier diplôme obtenu, langues parlées, etc.). En application du RGPD, ces traitements permettent de prendre des décisions automatisées et constituent une opération de profilage produisant des effets juridiques à l’égard des personnes physiques. Cela signifie que les décisions prises par le biais des algorithmes de sélections peuvent potentiellement mettre les personnes concernées dans une situation de désavantage ou aboutir à l’exclusion des bénéfices d’un contrat de travail. A ce titre, nous vous informons que nos partenaires sont légalement et contractuellement soumis à l’obligation de mener une analyse d’impact sur la protection des données personnelles. Nous vous informons également que vous disposez de droits spécifiques attachés à ce type de traitements (cf. Art. 5.1 de la présente Politique).

2. Quelles sont les données que nous collectons ?
Nous collectons et traitons différents types de données personnelles vous concernant :

Les données personnelles que vous nous communiquez directement :
-  Lorsque vous envoyez une candidature spontanée ou répondez à une offre d’emploi (Curriculum Vitae et lettre de motivation),
-  Lorsque vous passez un ou plusieurs entretiens préalable(s) à une éventuelle embauche.
Les données personnelles que nous collectons indirectement :
Des données peuvent nous être transmises par des organismes tiers dans le cadre de la gestion des recrutements :
-  Données communiquées par les agences et cabinets de recrutement partenaires qui agissent en qualité de Responsables de Traitement conjoints aux côtés du Groupe CRC (Curriculum Vitae, lettre de motivation, comptes-rendus d’entretien, tests de personnalité, tests techniques et/ou tests de connaissances le cas échéant, etc.),
-  Données librement accessibles sur les réseaux sociaux professionnels,
-  Données collectées auprès de votre environnement professionnel (vérifications de références auprès des employeurs précédents, auprès des organismes ayant délivrés vos diplômes et certifications, etc.).

3. Sur quel fondement juridique repose les traitements de vos données ?
Les traitements relatifs à la gestion des candidatures et des entretiens sont réalisés sur la base de l’exécution de mesures précontractuelles.

La CVthèque est quant à elle constituée sur la base de l’intérêt légitime du Responsable de Traitement.

4. Combien de temps sont conservées vos données ?
En cas d’issue négative à une candidature, et sauf accord formel du candidat permettant une durée de conservation plus longue, le Groupe CRC conserve les CV et lettres de motivation des candidats non retenus pour une durée maximale de 2 ans à compter du dernier contact. Passé ce délai, les données pourront être archivées pendant 5 ans à compter de l’issue du processus de recrutement, à des fins exclusivement probatoires, pour assurer notre défense en cas d’un éventuel contentieux.
Les éventuels tests et compte-rendu d’entretien sont conservés pour une durée maximale de deux ans.

Les données relatives à un collaborateur sont conservées conformément à la politique de gestion des durées de conservation applicable au sein du Groupe CRC.

Pour de plus amples informations sur les durées de conservation de vos données, vous pouvez vous rapprocher de l’agence ou du cabinet auquel vous avez envoyé votre candidature ou du DPO du Groupe CRC (Cf. Art. 5.2 de la présente Politique) qui transmettra votre demande à l’agence ou au cabinet de recrutement partenaire le cas échéant.

5. Quels sont vos droits et comment les exercer ?
5.1. Vos droits sur vos données

Droit d’accès à vos données
Vous pouvez obtenir de tout Responsable de Traitement la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenu par le Responsable de Traitement.

Droit de rectification de vos données

Vous pouvez obtenir du Responsable de Traitement, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant.

Droit à l’effacement de vos données
En cas d’issue négative à une candidature, vous pouvez demander la destruction de votre dossier.
D’une manière générale, et dans le respect des dispositions légales applicables, vous pouvez demander l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par le Responsable de Traitement sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit à la portabilité de vos données
Vous avez la possibilité de récupérer une partie de vos données dans un format ouvert et lisible par une machine ou de demander au Responsable de Traitement de les transmettre à un autre organisme. Seules sont concernées par ce droit, les données traitées de manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.
Droit d’opposition
Vous pouvez vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière.

Droit à la limitation du traitement de vos données
Vous pouvez demander au Responsable de Traitement de conserver vos données sans pouvoir les utiliser, dans l’un des cas suivants :
o vous contestez l’exactitude des données utilisées par le Responsable de Traitement,
o vous vous opposez à ce que vos données soient traitées,
o en cas d’usage illicite si vous vous opposez à leur effacement,
o vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.

Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (y compris le profilage)

Vous disposez du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Cela signifie que lorsqu’un Responsable de Traitement met en œuvre un tel traitement, vous pouvez obtenir de lui une intervention humaine, exprimer votre point de vue et contester la décision.

Le Groupe CRC vous informe qu’il ne réalise pas de tels traitements mais transmettra votre demande à l’agence ou au cabinet de recrutement partenaire l’ayant réalisé, le cas échéant.

Droit de donner des directives post mortem
Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre ces directives en adressant un courrier, à notre DPO (Cf. Art. 5.2) mentionnant en objet « Directives post mortem ». Vous pouvez, à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL
Si vous considérez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL), directement sur le Site de la CNIL ou par voie postale à : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

5.2. L’exercice de vos droits

Pour exercer l’un de vos droits, adressez votre demande :
-  Par mail à : dpo.crc@groupecrc.com
-  Par courrier à : Groupe CRC, DPO, 2 bis ruelle Pavée - BP 31071 – 97482 Saint Denis Cedex

Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, …) et la société concernée par la demande (si vous avez postulé auprès d’une agence ou d’un cabinet de recrutement partenaire, nous vous remercions de bien vouloir préciser l’identité de ce partenaire). La demande doit également être accompagnée d’un justificatif d’identité et préciser l’adresse à laquelle doit parvenir la réponse.

Une réponse vous sera adressée dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.

Si vous estimez, après avoir contacté le Groupe CRC, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

6. Champs obligatoires
Les champs indiqués par un astérisque dans nos formulaires sont obligatoires. La non-fourniture de réponse à ces champs est susceptible de compromettre le traitement de votre candidature. L’obligation de fourniture des données demandées est contractuelle, car nécessaire à l’exécution de mesures précontractuelles réalisées à votre demande.

7. Avec qui partageons-nous vos données ?
Le Groupe CRC est également susceptible de transmettre vos données aux agences ou aux cabinets de recrutement partenaires agissant en qualité de Responsables de Traitement Conjoints et ce, dans l’unique but de répondre aux finalités visées au point 1 des présentes.

8. Vos données sont-elles transférées hors UE ?
Les serveurs du Groupe CRC sont hébergés sur des serveurs sécurisés et situés en France.
Si vos données venaient à être transférées hors UE, par le biais de nos sous-traitants notamment, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles. Dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi par la Commission Européenne.
Pour plus d’informations au sujet de l’hébergement et des lieux de traitements de vos données personnelles réalisés par les agences et cabinets de recrutement partenaires en leur qualité de Responsables de traitement conjoints, veuillez-vous reporter à leurs politiques de confidentialité.

9. Comment sécurisons-nous le traitement vos données ?
Nous mettons en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du transfert de vos données.
Nos infrastructures sont protégées contre les logiciels malveillants (virus, spyware, …). L’accès physique et distant aux serveurs hébergeant les données est contrôlé. Des tests d’intrusion sont réalisés, ainsi que des sauvegardes régulières avec des tests de restauration. La sécurité de votre terminal, à partir duquel vous vous connectez à notre Site, relève de votre responsabilité.
Dans le cas où nous serions susceptibles de faire appel à des prestataires agissant en qualité de sous-traitants pour traiter tout ou partie de vos données, nous nous engageons à vérifier qu’ils présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées et à leur faire signer des clauses conformes à l’article 28 du RGPD.
Lorsque nous faisons appel à des prestataires partenaires agissant en qualité de Responsables de Traitement conjoints, nous nous engageons à conclure des accords conformes aux dispositions de l’article 26 du RGPD et à mettre les grandes lignes dudit accord à la disposition des personnes concernées par le biais de la présente Politique de Confidentialité.
En cas de violation de données à caractère personnel, c’est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, nous nous engageons à respecter les obligations suivantes :

Le « registre des violations » contient les éléments suivants :
• la nature de la violation ;
• les catégories et le nombre approximatif des personnes concernées ;
• les catégories et le nombre approximatif de fichiers concernés ;
• les conséquences probables de la violation ;
• les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
• le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.
Pour autant, et conformément à la réglementation en vigueur, nous ne sommes pas tenus de vous informer d’une violation dans les cas suivants :
• vos données à caractère personnel sont protégées par des mesures les rendant incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès ;
• des mesures ont été prises afin que le risque ne soit plus susceptible de se matérialiser ;
• cette communication exige pour nous des efforts disproportionnés, notamment lorsque nous ne disposons d’aucun élément permettant de vous contacter pour vous en informer.