Recrutement et intelligence artificielle: quid de la protection des données?
Depuis l'entrée en vigueur de la nouvelle version de la loi fédérale sur la protection des données, le 1er septembre 2023, l'employeur est tenu d'informer les candidats en cas de décision individuelle automatisée. Explications, analyse et recommandations.
Illustration: DR
L’art. 328b CO stipule que l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale sur la protection des données sont applicables.
Ainsi, dans le cadre d’une procédure de sélection de candidats, en particulier lors de l’entretien d’embauche, l’employeur ne peut demander que les indications dont il a besoin pour déterminer si le candidat satisfait aux exigences du poste.
Un dossier de candidature peut donc contenir tous les renseignements utiles sur les qualifications professionnelles du postulant, tels que curriculum vitæ, copies de diplômes, certificats, attestations diverses ou références. Dans le contexte d’un recrutement, sont en outre admissibles les questions relatives à la formation, aux études suivies, aux diplômes obtenus, ainsi qu’à l’existence d’une éventuelle clause de prohibition de concurrence. En revanche et en principe, ne sont pas admissibles les questions relatives aux revenus et à la fortune personnels du candidat, ou à son éventuel endettement.
Dans ce contexte, l’usage d’outils mettant en œuvre l’intelligence artificielle (ci-après: «IA») permet aux entreprises un gain de temps précieux. Citons à titre d’exemple certains logiciels permettant de trier les dossiers de candidatures, facilitant la recherche de candidats pertinents pour le poste à pourvoir.
Attention toutefois, car le 1er septembre 2023 est entrée en vigueur la nouvelle version de la loi fédérale sur la protection des données (ci-après «LPD»). Et parmi les changements intervenus figure en particulier le devoir d’informer en cas de décision individuelle automatisée.
Qu'est-ce qu'une «décision individuelle automatisée»?
Il s’agit d’une décision exclusivement prise par une machine disposant d’un pouvoir d’appréciation, c’est-à-dire, requérant une interprétation de la situation (1). Cela implique qu’aucune personne physique n’intervienne dans le processus de décision en y apportant son évaluation concrète de la situation. Le fait que la décision automatisée soit communiquée par une personne physique ne change rien au fait qu’elle soit considérée comme prise exclusivement par une machine.
Cette décision automatisée doit produire des effets juridiques sur la personne concernée, ou ces effets juridiques doivent affecter la personne concernée de manière significative. Parmi les exemples applicables au domaine du recrutement d’employés, il y a lieu de citer les algorithmes de tri ou encore les tests de personnalité permettant une sélection des candidatures correspondant le plus au poste à pourvoir.
Mesures imposées par la LPD en cas de décision individuelle automatisée
Selon l’article 21 alinéa 1 LPD: «Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée)». L’alinéa 2 de cette disposition stipule que: «Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique.»
Il s’agit donc d’un droit à être informé de la personne concernée, ainsi qu’un droit à faire valoir son point de vue sur le résultat de la décision ou de demander sur quels critères elle repose (art. 25 al.2 let. f LPD) (2). Il ne s’agit pas d’un droit à obtenir une modification de la décision initialement prise par la machine, mais d’un droit à un réexamen de la décision par une personne physique habilitée à l’annuler (3). L’objectif est en particulier d’éviter que le traitement de données soit effectué sur la base de données incomplètes, dépassées ou non pertinentes (4).
À noter que le devoir d’information du responsable de traitement des données peut être exercé tant au moment de la notification de la décision automatisée, qu’avant celle-ci, par le biais d’une déclaration d’acceptation du traitement des données, voire de la renonciation à faire valoir son point de vue (5). Selon notre appréciation, cette renonciation par le candidat peut intervenir également préalablement au processus conduisant à la décision de l’AI.
Exceptions au devoir d'informer
Selon l’article 21 alinéa 3 LPD, le devoir d’informer, de faire valoir son point de vue, mais surtout de faire revoir la décision individuelle automatisée par une personne physique, n’existent pas dans deux hypothèses.
Premièrement, si la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement des données et la personne concernée et que la demande de cette dernière est satisfaite (let. a). Les exemples de décisions individuelles automatisées en matière de recrutement sont assurément en relation directe avec la conclusion d’un contrat de travail. Toutefois et selon notre appréciation, la demande des candidats ne doit pas être considérée comme étant la conclusion d’un contrat de travail, mais bien l’obtention d’un entretien d’embauche permettant d’évaluer l’intérêt de chacune des parties à une collaboration commune. Ainsi, si suite au premier tri opéré par l’IA., les candidats n’ont pas obtenu d’entretien d’embauche, leur demande doit être considérée comme non-satisfaite. En revanche, les candidats qui ont décroché un tel entretien doivent être considérés comme ayant reçu une réponse favorable à leur demande.
Deuxièmement, si «la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée» (let.b). Dans le contexte d’un recrutement, afin qu’un consentement éclairé puisse être donné, les candidats devront être informés de manière suffisamment précise de ce à quoi ils renoncent, soit, en particulier et le cas échéant, au réexamen de la décision automatisée par une personne physique (6).
Conseil et conclusion
Selon nous, de la même manière que le devoir d’information prévu par l’article 21 alinéa 1 LPD peut être exercé préalablement à la prise de décision automatisée (7), le consentement éclairé des candidats visant à accepter une décision automatisée les concernant peut également être obtenu par le biais d’une déclaration préalable à la candidature. Cette solution offre notamment l’avantage de devoir faire face à une déferlante de demandes de réexamens par une personne physique de la décision prise par l’IA. Les buts de cette technologie au service des recruteurs, soit un gain de temps et un meilleur ciblage des profils, s’en trouveront ainsi préservés.
1 David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in: Jusletter 16 novembre 2020, §§ 107 et 108.
2 Message du Conseil fédéral, FF 2017 6565, 6675.
3 David Rosenthal, op. cit., § 113
4 Message du Conseil fédéral, FF 2017 6565, 6675.
5 David Rosenthal, op. cit., § 112
6 David Rosenthal, op. cit., § 114
7 David Rosenthal, op. cit., § 112