IA et données personnelles : quels droits pour les demandeurs d'emploi ?

Que deviennent vos données lorsque vous postulez à un emploi ? Avec l’arrivée de l’IA dans les processus de recrutement, un avis de la CNIL concernant la gestion des données personnelles des candidat·es met le doigt sur des problématiques de transparence et d’éthique.

Quelles types de données les entreprises ont-elles le droit de collecter sur les candidat·es ?

Par définition, les données personnelles sont des informations permettant de vous identifier directement ou indirectement en tant qu’individu.

La CNIL (Commission nationale de l'informatique et des libertés) veille à ce que l'informatique reste bénéfique aux citoyen·nes français·es. Dans le cadre d'un recrutement, elle autorise la récupération de ces données uniquement si elles se révèlent pertinentes. Par exemple ce qui permettent d’identifier, de vérifier les compétences et d’évaluer les aptitudes professionnelles du candidat. Elle recommande de minimiser le nombre de données recueillies en appuyant sur le fait qu’elles soient légitimes, explicites et limitées.

Dans le cadre d’un recrutement, l’entreprise récolte vos données directement lorsque vous lui envoyez votre CV et votre lettre de motivation. La collecte s'effectue également de manière indirecte, lorsqu'un·e recruteur·se contacte vos ancien·nes employeurs·ses ou consulte vos activités sur le web. Enfin lors d’un entretien en visio, il se peut que le·la recruteur·se veuille enregistrer cet échange, ou faire appel à une solution analysant vos micro-expressions faciales et évaluant vos savoir-être. Cette démarche doit être expliquée aux candidat·es, qui doivent (en principe) aussi consentir à ce que l’on consulte leur profil Linkedin ou leurs références. Ils·elles doivent également donner leur accord si on les filme pendant un entretien.

Dans le cas où l’entreprise utilise une plateforme avec un algorithme qui pratique la collecte de données pour réaliser la présélection des candidatures, le·la candidat·e doit impérativement en être informé·e lors du dépôt de sa candidature.

Un mail reçu automatiquement : nous accusons réception de votre candidature... Nous allons procéder à l'examen de votre dossier. Si toutefois, dans un délai de trois semaine, vous restiez sans nouvelles de notre part, nous vous invitons alors à privilégier une autre opportunité. — Dans le cadre d'un mail automatisé, le message accusant réception vous informe du délai nécessaire pour qu'un tri soit effectué - et éventuellement que votre candidature soit présélectionnée.

En cas de refus d’une candidature, que faire ?

Si votre candidature a été refusée par un robot, vous pouvez contacter directement la responsable du recrutement de l’entreprise. Vous avez le droit de réclamer une copie de vos données, et d'avoir accès aux informations sur lesquelles le·la recruteur·se s’est fondé·e pour prendre une décision. Le but étant qu’une personne vérifie que l’algorithme vous a rejeté sur des critères liés au poste, et non en raison de biais discriminatoires.

C'est notamment le risque lorsqu'un algorithme a été entraîné à recevoir des profils de candidatures avec des caractéristiques physiques et morales identiques : il est susceptible de sélectionner le même type de candidat·es lors de la présélection.

Ainsi en 2014, le géant de l'e-commerce Amazon a tenté d'automatiser son processus de recrutement en France pour des postes techniques. Sauf que le programme a appris involontairement que le candidat idéal était un homme... du fait des candidatures reçues durant une décennie. L'outil avait donc tendance à attribuer une meilleure note aux candidatures masculines, quitte à refuser de très bons profils féminins. Malgré de multiples corrections de la part de l'équipe IT, le programme n'a jamais réussi à être impartial et l'entreprise a dû renoncer à son logiciel.

En cas de réclamation, le·la responsable réexamine le dossier et donne une décision définitive. Le·la candidat·e doit alors avoir le temps de faire une demande pour qu’on lui explique les raisons de ce rejet avant que le processus de recrutement ne soit clos.

Si le refus de la candidature est lié aux tests effectués lors du processus, il·elle doit pouvoir réclamer les résultats de son test avec des éléments permettant de les interpréter.

Combien de temps vos données peuvent-elles être conservées ?

3 mois

c'est la durée préconisée par la CNIL pour la conservation des données personnelles des candidat·es non retenu·es.

Pour nourrir le vivier de candidatures, vos données personnelles peuvent être conservées jusqu’à deux ans si vous l’acceptez tacitement. Si l’accord n’est pas renouvelé, les logiciels RH permettent de supprimer automatiquement ces données.

Tout au long du processus de recrutement, le·la candidat·e peut à tout moment demander le retrait ou la rectification de ses données personnelles dans les bases des données des entreprises.

Un mail indiquant que les données personnelles récoltées seront supprimées automatiquement au bout de 30 jours sans demande de renouvellement

Une longue procédure de réclamation

Au fil des 5 dernières années, on constate que les données personnelles des demandeurs·ses d'emploi sont de mieux en mieux protégées - lorsque les logiciels de recrutement dotés d'un algorithme sélectif sont européens. Actuellement, le parlement européen continue à négocier avec (voire à sanctionner) les logiciels qui ne respectent pas le RGPD. En cas de non respect de la réglementation, l'entreprise peut écoper d'une amende représentant 4% de son chiffre d'affaire.

Dans les faits, il peut s’avérer difficile de contacter un·e responsable... notamment lorsqu'on reçoit une réponse automatique avec le fameux "no-reply". Mais d'ailleurs qui est responsable de la collecte de données : est-ce le·la recruteur·se interne à l'entreprise ? Le·la concepteur·rice du logiciel de présélection ? L'agence de recrutement mandatée par l'entreprise ? Quelques éléments de réponse :