Quand l'IA sélectionne les candidats, la CNIL rappelle quelques limites

Face au nombre exponentiel de candidatures pour un même poste, les recruteurs·ses se tournent de plus en plus vers l'intelligence artificielle. La sélection automatisée des candidatures les plus pertinentes est l’une des garanties de cette technologie. Dans ce cadre, jusqu'où ces professionnel·les peuvent-ils déléguer leurs responsabilités ?

Sous quelles conditions les algorithmes de sélection peuvent-ils être utilisés ?

Si le nombre de solutions RH destinées au recrutement augmente chaque année, les logiciels n'abritent pas tous des algorithmes de sélection. Pour savoir si c'est une IA qui prend la décision d'éliminer un·e candidat·e, il faut s'entendre sur la notion d'une décision entièrement automatisée : par le biais de traitements algorithmiques, aucune intervention humaine n’intervient dans le processus... au point où le·la responsable de traitement n’est pas en mesure de justifier les motifs de la décision proposée.

Au moment où une entreprise fait appel à un logiciel incluant une IA triant les candidatures, elle doit justifier son usage auprès de la CNIL (Commission nationale de l'informatique et des libertés) par un nombre de candidatures exceptionnellement élevées sur un seul poste. Pour cela, l'entreprise a pour obligation de fournir à l'organisme public une analyse de l'impact relatif à la protection des données (AIPD). D'après le guide de la CNIL sur la protection de données en matière de recrutement, les éditeurs de logiciels ont l’obligation d’expliquer clairement son fonctionnement et ses limites, donnant ainsi aux recruteurs·ses la liberté de s’assurer de la pertinence du logiciel.

Le traitement de données constitué aux fins de recrutement figure sur la liste des types d’opérations pour lesquelles la CNIL a estimé obligatoire de réaliser une AIPD Traitements établissant des profils de personnes physiques, notamment grâce à un algorithme de sélection. Pour plus d’informations, voir les fiches n° 11 et 13 du guide. — Source : CNIL

Il faut noter que la récolte de données personnelles se fait lors de la première phase de sélection. Lors de la recherche de candidat·es, l'entreprise a l'interdiction de leur réclamer des données personnelles financières (RIB), papiers d'identité (carte d'identité, de séjour, passeport) ou carte vitale. Ce n'est qu'une fois la promesse d'embauche réalisée que l'employeur peut réclamer ces informations pour formaliser le contrat.

Qui est responsable de vos données ?

Pour départager la responsabilité, la CNIL désigne comme responsable du traitement l’organisme ou la personne chargée de définir les finalités et les moyens de ce traitement. Si une agence de recrutement répond simplement au cahier des charges de ses entreprises clientes, alors elle ne peut être tenue responsable du traitement des données. En revanche, si elle participe à la définition du processus (avec un tri des candidatures, ou la mise en place d’un système d’évaluation), l’agence sera responsable. Toutefois, au moment où l’agence transmet les données personnelles à l’entreprise pour qu’elle poursuive le processus, la société cliente en devient responsable.

Concernant les logiciels de tri, d’évaluation et de sélection utilisés, la responsabilité revient aux recruteurs·ses. D'après la CNIL, les chargé·es de recrutement doivent ainsi s’assurer que :

les données implémentées dans le système de gestion soient pertinentes et permettent d'entraîner l’algorithme de façon éthique,
les choix de la pré-sélection ne soient pas fondées sur des critères discriminatoires tels que l’âge, le genre, la couleur de peau...
Les outils d’évaluation, comme ceux qui permettent de déterminer les micro-expressions et la personnalité du candidat, soient scientifiquement validés.

Ne peuvent pas être considérées comme possédant un lien direct et nécessaire avec la finalité de recrutement (...) des techniques prétendant déduire certaines qualités de candidats à partir de leurs traits de visage (psychomorphologie), de leur signe astrologique, de leur date de naissance (numérologie), et autres méthodes dont la validité scientifique est contestée dans le monde académique
CNIL, Guide de recrutement : Les fondamentaux en matière de protection des données personnelles (page 61)

Protéger les données personnelles pour éviter les dérives technologiques

Partant du principe qu'une intelligence artificielle a besoin d'être nourrie par un panel conséquent de candidatures pour être efficace (et réellement sélectionner les talents), elle n'a pas à être utilisée pour des postes attirant peu de candidat·es. A ce titre, la responsabilité des recruteurs·ses peut poser question, dans la mesure où leur métier réclame désormais des compétences en informatique assez solides. En effet, comprendre comment fonctionne un algorithme et une IA devrait petit à petit s'inscrire lors de leur cursus universitaire ou en formation continue .

Un apprentissage désormais indispensable, d'autant plus que de faux positifs en matière de présélection peuvent entraver les chances des participant·es : le programme peut présenter un·e candidat·e qui, selon lui, répond aux attentes du·de la recruteur·se... sauf que ce n'est pas le cas.