Recrutement : algorithmes et IA, entre le Code du travail, le RGPD et prochainement le RIA

Le recrutement est un processus d’identification des compétences des candidats à un emploi visant à réduire l’incertitude lors de la prise de décision d’embaucher.

Dans ce processus, ce sont d’abord les compétences techniques ou « Hard Skills » (diplômes, formations et expériences) qui vont devoir être identifiées.

L’identification des « Hard Skills » est d’autant plus importante que la jurisprudence décide que la mention sur le CV d’un salarié d'une indication erronée relative à une expérience professionnelle n’est pas une cause de nullité du contrat de travail sauf si elle est constitutive d’une manœuvre dolosive (Cass. Soc. 16 février 1999, 96-45.565). Elle admet toutefois le licenciement en cas de mention d’une expérience professionnelle antérieure mensongère si elle été déterminante pour l'employeur (Cass. Soc., 25 novembre 2015, 14-21.521).

Ce sont ensuite les compétences dites transversales (= socio-cognitives) ou « Soft Skills » que le recruteur va vouloir identifier. Il s’agit des facultés de communication, de collaboration, d’influence, de gestion d’équipe, de transmission, d’anticipation, de pensée logique, d’approche systémique, de créativité, de développement de soi etc. Une norme Afnor sur ces compétences transversales est en cours d’élaboration qui devrait être publiée fin 2023. Ces « soft skills » sont d’autant plus importantes à identifier que le futur salarié va devoir évoluer dans une entreprise qui a une raison d’être, des valeurs, une éthique et des buts plus ou moins « monumentaux » auxquels le futur salarié va devoir adhérer.

On ne s’étonnera donc pas que, de la recherche des CV à leur sélection en passant par leur tri, des tests d’aptitudes professionnelles à l’identification des « Soft Skills », de la tenue des entretiens au choix définitif, les recruteurs ont désormais recours à de nombreux outils numériques à base d’algorithmes et d’IA pour le suivi des candidatures ou OCS (Applicant Tracking System), le « matching », la « gamification » (« escapes games », « serious game », hackatons, jeux vidéo, jeux d’habileté, jeux cognitifs), les discussions (« chatbots »), l’analyse des expressions faciales du candidat, du ton employé, de son champ lexical, etc.

À ce jour, les tendances du marché des outils technologiques d’aide au recrutement sont :

  • la présélection ou le recrutement sans CV : la recherche directe à base d’IA de profils sur le web à partir d’un brief ;
  • les entretiens : la cartographie émotionnelle au moyen d’outils de reconnaissance des émotions faciales lors d’un « chatbot ».

Ces outils très prometteurs sont aussi très intrusifs et bien souvent fondés sur des algorithmes et une IA dont l’utilisateur ne connaît pas le fonctionnement profond. Il existe donc un risque important d’atteintes graves aux droits et libertés des personnes (atteinte à la vie privée, profilage discriminatoire, décision automatisée sans intervention humaine, etc.) dont l’entreprise utilisatrice est pleinement responsable.

L’entreprise utilisatrice en est responsable bien évidemment en tant que recruteur au regard du Code du travail mais elle peut l’être aussi en tant que responsable de traitement au regard du RGPD lorsqu’elle détermine les finalités et les moyens du traitement (question qui doit être analysée précisément).

En tant que recruteur, l’entreprise utilisatrice de ces outils numériques est pleinement soumise aux dispositions du Code du travail qui, en cette matière, sont anciennes (issues de la Loi n° 92-1446 du 31 décembre 1992) et bien connues des entreprises :

  • information individuelle ;
  • information collective ;
  • principe de finalité ;
  • pertinence, lien direct et nécessaire ;
  • non-discrimination.

Précisons à cet égard que la CNIL peut prendre en compte les dispositions applicables en droit du travail pour évaluer la conformité d’un traitement au regard du RGPD.

Mais le respect des obligations issues du Code du travail qui rappellent pour certaines d’entre elles des notions issues de la législation sur la protection des données (finalité, pertinence, information préalable etc.) ne dispense pas du respect des obligations auxquelles sont soumis les responsables de traitement au regard du RGPD.

En tant que responsable de traitement (lorsqu’il apparaît après examen que l’entreprise utilisatrice détermine les finalités et les moyens du traitement), l’entreprise utilisatrice de ces outils numériques devra mettre en œuvre les règles classiques en matière de protection des données déterminant :

  • les finalités poursuivies par les traitements concernés ;
  • les bases légales de chaque finalité ;
  • les données personnelles concernées ;
  • les destinataires des données ;
  • les durées de conservation des données ;
  • les moyens d’information des personnes sur le traitement selon que les données sont collectées directement ou indirectement, ses caractéristiques et ses droits ;
  • les droits des personnes (accès, rectification, limitation, le cas échéant, effacement, opposition, portabilité) ;
  • les moyens assurant la sécurité physique et organisationnelle des données.

Pour ce qui concerne le traitement des candidatures (CV et lettre de motivation) et la gestion des entretiens ou la constitution d’une CVthèque il conviendra de consulter le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel adopté par la CNIL le 21 novembre 2019.

Mais ce référentiel ne couvre pas les traitements de gestion RH impliquant le recours à des outils numériques innovants tels que la psychométrie (i.e. les techniques de quantifications des aspects de personnalité), les traitements algorithmiques ou à base d’IA à des fins notamment de profilage, ou encore les traitements dits de « Big Data ».

En effet, d’une manière générale tous ces traitements sont soumis :

  • à l’obligation d’établir une analyse d’impact sur la protection des données ;
  • aux règles applicables en matière de profilage et de décision individuelle automatisée.

Le projet de règlement européen en matière d’IA (RIA) qui devrait être adopté en 2023 classe dans la catégorie des systèmes d’IA à haut risque visés à l’article 6 § 2 du RIA, les systèmes destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour la diffusion des offres d’emploi, la présélection ou le filtrage des candidatures, et l’évaluation des candidats au cours d’entretiens ou d’épreuves.

En attendant le RIA, il convient de se reporter au Guide concernant le recrutement qui est en cours de préparation par la CNIL dont le projet a été soumis à une consultation publique de septembre à novembre 2021 ; la date de publication du référentiel dans sa version définitive n’est pas encore arrêtée mais sa consultation sera très aux services RH et aux DPO des entreprises qui utilisent ce type de solution d’aide au recrutement.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
FOCUS DDG
Métavers & IP :
Quelle stratégie juridique pour votre entreprise ?
DÉcouvrir
DDG utilise des cookies dans le but de vous proposer des services fonctionnels, dans le respect de notre politique de confidentialité et notre gestion des cookies (en savoir plus). Si vous acceptez les cookies, cliquer ici.