Le traitement des données personnelles issues du domaine des ressources humaines est un sujet de préoccupation important face aux exigences du Règlement général sur la protection des données (RGPD), les organisations collectent et stockent des données toujours plus intrusives chez leurs employés mais aussi sur les candidats des processus de recrutement.
Face aux risques importants sur la vie privée et sur les droits des personnes concernées se placent des organismes où l’efficience est souveraine, peu importe les méthodes employées. Le RGPD impose depuis 2018 des obligations pour tenter de mettre en place un cadre d’utilisation des données respectueux pour toutes les parties mais, même cinq ans après son entrée en application, certains organismes peinent à s’y conformer.
L’évolution des pratiques de recrutement va de pair avec l’évolution des outils informatiques, le développement de l’intelligence artificielle rend progressivement son utilisation de plus en plus attrayante dans tous les secteurs et le recrutement ne fait pas exception à cette tendance.
Un algorithme qui choisit automatiquement le candidat idéal pour un poste parmi des milliers de candidatures se présente comme un gain de temps et d’argent pour les recruteurs mais en pratique l’enjeux de la protection des données des candidats doit être mis au premier plan. L’utilisation de l’IA présente aujourd’hui un nombre important de risques dont les candidats et recruteurs n’ont parfois pas idée : biais algorithmiques et discriminations involontaires peuvent entraver les droits et libertés des candidats. Si l’intelligence artificielle peut éliminer certains préjugés humains et faire preuve d’un pragmatisme exacerbé elle peut aussi être altérée par un entrainement basé sur des données biaisées.
Dans le cadre du recrutement, les logiciels peuvent analyser les éléments qui sont intégrées dans un CV, les compétences techniques appelées « Hard Skills » tels que les diplômes, les expériences professionnelles ou les formations qui peuvent facilement être entrecoupées avec les besoins pour le poste vacant.
Les possibilités actuelles de l’intelligence artificielle permettent cependant des analyses plus intrusives lors de l’analyse des « Soft Skills » ou « Compétences douces » qui représentent les capacités d’adaptation, de communication, de créativité ou de réaction au stress du candidat.
L’analyse des compétences douces peut ainsi passer par des procédés d’analyse de l’expression faciale du candidat pendant un entretien en visioconférence, de la diversité de son champs lexical ou de son intonation en temps réel. L’analyse automatique de ces caractéristiques renforce le risque en matière de discrimination, de biais algorithmiques et d’atteinte à la vie privée dans son ensemble lorsque parfois ni le recruteur ni le candidat n’a conscience du fonctionnement du logiciel.
Aujourd’hui, il existe une variété d’outils permettant de simplifier toutes les étapes du processus de recrutement.
Dès la pré-sélection des candidats l’intelligence artificielle est capable d’analyser des CV, d’interagir au moyen de chatbots qui envoient des messages par mail, sms ou via les réseaux sociaux afin de déterminer si les compétences de base de l’interlocuteur correspondent aux besoins du poste. Cette présélection automatique est un gain de temps colossal pour les recruteurs étant donné que ces agents automatisés effectuent des interactions en simultanée avec des centaines de candidats et sont disponibles en permanence.
Lors de la pré-sélection, il existe aussi des outils pour mettre les candidats dans une simulation de situation rencontrées par l’entreprise, ces jeux interactifs permettent de collecter des informations sur les « soft skills » du candidat, voir comment celui-ci réagit en situation de crise et sa capacité à prendre des décisions, tout autant de traitements qui doivent être en conformité avec les exigences du RGPD.
La phase d’entretien avec le candidat peut aussi être assistée par l’intelligence artificielle, l’utilisation du logiciel américain HireVue se répand progressivement dans les entreprises de grande taille, l’outil est capable d’analyser le choix des mots du candidat, les gestes, la posture, les micro-expressions pour parfois aller jusqu’à détecter s’il ment. Cette analyse peut être réalisée pendant un entretien en visioconférence avec le recruteur ou à la suite de l’enregistrement d’une vidéo par le candidat qui est traitée à posteriori.
Il existe des méthodes qui sont encore plus floues pour les candidats, où le droit à l’information n’est que très rarement respecté, c’est par exemple le cas du web scrapping autrement dit la collecte de données personnelles via les réseaux sociaux du candidat. Cette méthode assez courante permet à un algorithme d’étudier l’activité en ligne des candidats pour extraire les données qui paraissent importantes pour le poste vacant. Cette méthodologie représente évidemment un modèle bien trop invasif étant donné qu’il peut s’appuyer sur les activités personnelles et sur des données qui peuvent être mal interprétées. Ce traitement est très rarement précédé de l’information ce qui constitue une atteinte aux principes du RGPD.
Il est donc nécessaire de distinguer les méthodes qui sont respectueuses de la vie privée des candidats et d’identifier les engagements à privilégier.
Il faut tout d’abord comprendre que ces intelligences artificielles fonctionnent grâce au profilage des candidats. Le profilage est un traitement qui vise à utiliser les données personnelles d’une personne pour prédire ses comportements et dans le cadre du recrutement à prédire sa capacité à performer dans le poste en question.
Le profilage est tout autant encadré par le RGPD que la prise de décision automatisée ce qui explique les difficultés pour permettre un tel traitement tout en respectant les droits et libertés des personnes concernées.
Une prise de décision entièrement automatisée est décrite par le RGPD comme une décision prise à l’égard d’une personne à la suite d’un traitement algorithmique au cours duquel aucun humain n’est intervenu. Le Règlement général sur la protection des données accorde une attention particulière à cette pratique puisqu’elle très encadrée lorsqu’elle « produit des effets juridiques » sur la personne concernée ou « l’affecte de manière significative ».
Le processus de recrutement rentre dans cette éventualité étant donné l’impact que peut avoir l’évincement d’un candidat, l’utilisation de ces algorithmes n’est pour autant pas strictement interdite.
Il faut donc commencer par distinguer les intelligences artificielles qui sont une aide de prise à la décision du recruteur et celles qui prennent automatiquement une décision sans intervention humaine.
En effet, une intelligence artificielle est aujourd’hui capable de choisir seule un candidat qui serait selon elle le plus adapté pour un poste. Cependant en agissant sans intervention humaine il existe des risques d’analyse et de prédiction inexacte susceptibles d’évincer certains candidats de la sélection en raison de stéréotypes dus à la conception même de l’IA. Il pèse sur les concepteurs de ces outils informatiques de lourdes responsabilités en termes de qualité des données utilisées pour alimenter leurs créations, si celles-ci sont biaisées ou ne respectent pas certaines exigences éthiques elles pourront créer un disfonctionnement au sein du logiciel entrainant des discriminations.
Il est possible de citer l’exemple de l’intelligence artificielle utilisée pour le recrutement chez Amazon qui discriminait les femmes en raison d’un entrainement basé sur une population composée majoritairement d’hommes.
La seule base légale ayant la possibilité de justifier le recours à une décision entièrement automatisée dans le cadre du recrutement est la conclusion d’un contrat de travail, une analyse doit nécessairement être effectuée au cas par cas. Cette exception doit être appréciée de manière très stricte, dans le cadre du recrutement seul un nombre de candidatures exceptionnellement élevé pourra être considéré comme un cadre d’utilisation valable de ce type d’algorithme.
Il est ainsi nécessaire pour le recruteur de documenter ce choix et de le justifier sans quoi le traitement de données sera illégal.
La CNIL recommande dans tous les cas de ne pas utiliser ces outils mais peut apprécier la nécessité de cette méthode lorsque des centaines de candidatures sont adressées à un recruteur. Pèse malgré tout sur celui-ci un devoir d’information renforcé à l’égard des personnes concernées en ce qui concerne le fonctionnement de l’algorithme. Cela induit donc que le recruteur doit connaitre et comprendre le fonctionnement de l’outil qu’il utilise, il lui revient de documenter son choix de logiciel ainsi que d’effectuer une analyse d’impact sur la protection des données (AIPD) qui permettra d’évaluer les risques du traitement et les mesures de sécurité à mettre en place.
Les personnes doivent évidemment être informées en amont que leurs données seront traitées de manière automatisée et informées de leurs droits issus du Règlement général sur la protection des données.
Aux droits habituellement accordés lors d’un traitement de données doit être ajouté le droit à l’intervention humaine, tout candidat a droit au réexamen de son dossier par un opérateur humain s’il en fait la demande afin d’obtenir une explication sur la décision prise par l’algorithme. Ce droit doit pouvoir être exercé auprès de l’organisme recruteur, en contactant son DPO par exemple, avant la fin du processus de recrutement afin que le candidat ne soit pas privé d’une opportunité. Cela implique un devoir d’information important par le recruteur sur les processus mis en place et les dates auxquelles les candidats pourront être considérés comme écartés de la phase de recrutement.
L’arrivée prochaine du Règlement européen sur l’intelligence artificielle (AI Act), l’un des prochains règlements européens qui viendront épauler le RGPD, vise à réguler son utilisation et à évaluer ses différents niveaux de risque. Celui-ci va permettre une délimitation plus précise des usages effectués dans le processus de recrutement.
Dans cette proposition de règlement, qui pourrait être voté au cours de l’année 2023 par le Conseil de l’Union européenne, l’intelligence artificielle est divisée en quatre catégories : les systèmes interdits, les systèmes à haut risque, les systèmes à risque limité et les systèmes non dangereux. L’utilisation de l’IA dans le processus de recrutement est considérée par le Règlement comme un système à haut risque, cela signifie que des exigences de sécurité importantes devront être mises en place par les organismes qui souhaitent les utiliser.
Le Règlement impose également pour ce niveau de risque des évaluations de conformité récurrentes et le maintien de registres d’utilisations des systèmes d’IA. La transparence et la responsabilité des entreprises qui utilisent l’IA dans le processus de recrutement sera mise au premier plan, l’obligation de fournir des informations claires et compréhensibles sur le fonctionnement de ces outils et sur les données personnelles traitées sera primordiale. Ce sont ici les principes mêmes du RGPD qui sont transposés dans le AI Act.
La Commission a souhaité aller encore plus loin en interdisant certains types d’intelligence artificielle au sein du processus de recrutement, à l’image de ceux qui utilisent des technologies de reconnaissance faciale des candidats. Cette technologie est en effet parfois sujette à des biais algorithmiques qui résultent à la discrimination de candidats en raison de leur apparence physique.
Le AI Act ne vise pas à interdire l’utilisation de l’intelligence artificielle mais à concilier son utilisation et le respect des droits et libertés des personnes. L’utilisation de cette technologie au cours du processus de recrutement doit être effectuée de manière responsable par les organismes de sorte à assurer la protection des données personnelles des personnes concernées.
Lou GOMEZ-REY
Privacy consultant chez DPO Consulting Occitanie