Le recrutement implique le traitement d’un grand volume de données à caractère personnel. Le RGPD impose des règles précises aux employeurs, cabinets de recrutement et services RH, tant sur la collecte que sur la conservation et l’utilisation des informations. Le guide publié par la CNIL (équivalent français de l’Autorité de protection des données belge) fournit un cadre opérationnel complet pour encadrer les pratiques de recrutement, tout en respectant les droits des candidats et les principes de minimisation, de transparence et de sécurité des données.
Depuis l’entrée en application du Règlement sur l’intelligence artificielle (RIA ou AI Act), les outils de tri, d’évaluation ou de sélection automatisés utilisés dans le cadre d’un recrutement sont soumis à un encadrement renforcé, car ils sont classés parmi les systèmes à risque élevé. Cela ajoute un niveau de vigilance supplémentaire pour les employeurs.
Données collectées
Le RGPD impose de ne collecter que des données pertinentes et nécessaires. Lors de la phase de sélection, seules les informations directement liées à l’évaluation du candidat peuvent être demandées, comme le CV, les diplômes, les expériences professionnelles et les résultats de tests adaptés au poste. Les informations sensibles ou sans lien direct avec l’emploi, telles que la situation familiale, les convictions ou l’état de santé, sont à proscrire. Une fois la sélection terminée et le contrat en préparation, des données administratives ou fiscales peuvent être collectées dans la seule mesure où elles sont nécessaires pour remplir des obligations légales.
Durée de conservation
Les données ne peuvent pas être conservées indéfiniment. Le guide CNIL recommande de distinguer les durées selon les cas.
- Pour un candidat retenu, les données utiles sont conservées pendant toute la relation contractuelle, puis archivées jusqu’à 5 ans à des fins probatoires.
- Pour un candidat non retenu, les données peuvent être conservées pendant une durée maximale de 2 ans après le dernier contact, sous réserve du consentement du candidat. Passé ce délai, elles doivent être supprimées ou anonymisées.
Information des candidats
Le recruteur doit informer les candidats dès la collecte des données. Cette information doit indiquer l’identité du responsable du traitement, les finalités poursuivies, la base juridique (souvent l’intérêt légitime), la durée de conservation et les droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité). Si un outil automatisé ou d’IA intervient dans le processus, l’information doit préciser l’existence d’un tel système et le droit du candidat à demander un réexamen humain.
Outils automatisés et Règlement IA
Le RIA encadre spécifiquement les systèmes d’intelligence artificielle utilisés pour le recrutement, considérés comme à risque élevé. Les employeurs qui utilisent un logiciel de tri automatisé ou de présélection doivent respecter plusieurs obligations supplémentaires : vérifier la conformité de l’outil aux exigences du RIA (fiabilité, sécurité, gestion des biais), disposer d’une documentation technique détaillant les algorithmes, les données d’entraînement et les performances, informer les candidats sur le rôle de l’IA dans le processus et sur les limites de cet outil, garantir une supervision humaine en toutes circonstances, effectuer des audits réguliers pour détecter les biais et signaler les incidents graves aux autorités compétentes. Ces obligations complètent celles prévues par le RGPD.
Rôles et responsabilités
Le guide rappelle la distinction entre le responsable du traitement, qui définit les finalités et moyens, et le sous-traitant, qui agit sur instructions. Dans le cadre du RIA, l’éditeur de l’outil d’IA doit fournir les informations nécessaires à la conformité, mais la responsabilité finale demeure sur l’entreprise utilisatrice.
Analyses d’impact
Une analyse d’impact est requise dès lors que le traitement présente un risque élevé pour les droits et libertés des candidats, par exemple lorsqu’un outil automatisé intervient dans l’évaluation. Cette analyse permet d’identifier les risques, de prévoir les mesures correctives et de documenter la conformité.
Sécurité et incidents
Les données doivent être protégées par des mesures techniques et organisationnelles appropriées, incluant le contrôle des accès, le chiffrement et la journalisation. En cas de violation, l’entreprise doit informer l’Autorité de protection des données dans un délai de 72 heures et, si nécessaire, les candidats concernés.
Droits des candidats
Le RGPD accorde aux candidats le droit d’accéder à leurs données, de les rectifier, de demander leur suppression, de limiter ou de s’opposer au traitement, et de bénéficier d’un examen humain en cas de décision automatisée. Le RIA renforce ces droits en imposant des obligations de transparence sur le fonctionnement des outils d’IA, leur logique et leurs impacts, ainsi que la possibilité d’un recours humain systématique.
Notre conseil :
Il est essentiel d’impliquer le DPO dès la mise en place d’un processus de recrutement, de réaliser un PIA pour tout traitement automatisé, de vérifier la conformité des outils aux normes RGPD et RIA, de former les équipes RH à l’interprétation critique des résultats fournis par les systèmes automatisés, et de documenter chaque étape du processus.
L’IA doit rester un outil d’aide à la décision, et non un substitut au jugement humain.
