Le recrutement par l’intelligence artificielle (IA)

Photo de Burst sur Pexels.com

Il est peu fréquent que la presse généraliste se penche sur les RH Tech modernes, i.e. sur les outils d’aide automatisée aux RH utilisant peu ou prou l’intelligence artificielle. La presse dominicale s’y est risquée en évoquant le recrutement par l’IA, où le soin de faire un premier (voire un second) tri dans des campagnes de recrutement de masse est laissé à un algorithme.  L’article évoque les principaux prestataires de service dans ce domaine et spécule sur les sociétés qui, en Suisse, utiliseraient ou non ce genre d’outils (cf.https://www.20min.ch/fr/story/emploi-toujours-plus-de-robots-pour-selectionner-les-bons-cv-320177813660).

Mais comme souvent, la presse ne fait que la moitié du travail. En effet, elle omet de mentionner que l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) au 1er septembre 2023 va considérablement modifier la pratique du recrutement par l’IA (cf. https://www.fedlex.admin.ch/eli/fga/2020/1998/fr pour le texte de la nouvelle loi).

En effet, le recrutement par l’IA constitue un traitement de données au sens de l’art. 5 let. d nLPD, soit toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données. Le responsable de traitement est ici l’employeur, i.e. la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles ; il peut à cet effet avoir recours à un sous-traitant, qui peut être l’entreprise qui exploite ou met à disposition les logiciels ou les applications et/ou qui effectue le traitement pour le responsable (art. 5 let. j et k nLPD).

Le traitement, en lui-même, est une décision individuelle automatisée (DIA) soumise à un devoir d’information qualifié (art. 21 nLPD), lequel s’applique dès la récolte des données (art. 19 nLPD). Le responsable du traitement informe ainsi la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée). Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique. Ce devoir d’information qualifié ne s’applique pas dans certaines circonstances, dont celle du consentement express préalable à ce que la décision soit prise exclusivement de manière automatisée (art. 21 al. 3 let. b nLPD).

La personne concernée doit par ailleurs recevoir les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la nLPD et que la transparence du traitement soit garantie ; cela inclut l’existence d’une décision individuelle informatisée ainsi que la logique sur laquelle se base cette décision (art. 25 al. 2 let. f nLPD). Cette dernière notion n’entraîne pas qu’il faille révéler les algorithmes utilisés, qui sont couverts par le secret d’affaire, mais bien les hypothèses de base qui sous-tendent la logique algorithmiques sur laquelle repose la décision individuelle automatisée (FF 2017 6684).

La personne concernée ne peut pas renoncer à l’avance aux droits que lui ouvrent un recrutement par l’IA qui procède à des décisions individuelles automatisées. En effet, le consentement n’est valable que si la personne exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (art. 6 al. 6 nLPD). Eu égard à l’inégalité des parties lors du processus de recrutement et, plus généralement, dans le contrat de travail, on peut fortement douter qu’un consentement serait librement exprimé dans ce contexte.

On relèvera pour finir que la violation des art. 19 et 21 nLPD peut faire l’objet de sanctions pénales (art. 60 nLPD). Le Préposé fédéral à la protection des données personnelles et à la transparence peut aussi ouvrir une enquête administrative d’office ou sur dénonciation en cas de traitements de données ne respectant pas la loi (art. 49 al. 1 nLPD), ce qui lui permet d’exercer les pouvoirs de l’art. 50 nLPD dans le cadre d’une enquête, puis de prendre les mesures de l’art. 51 nLPD. L’insoumission à une décision du Préposé peut aussi être réprimée pénalement.

Les employeurs qui utilisent les logiciels de recrutement par l’AI feraient donc bien de se mettre à jour avant le 1er septembre 2023.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection des données, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s