A propos de ICO, Recruitment rewired: an update on the ICO’s work on the fair and responsible use of automation in recruitment, https://ico.org.uk/about-the-ico/what-we-do/recruitment-rewired/, 31 mars 2026 ; voir aussi le communiqué de presse : https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/03/automated-decisions-can-streamline-the-hiring-process-with-the-right-safeguards-in-place/:

Le rapport du régulateur britannique de la protection des données, l’ICO, examine l’usage de l’automatisation dans le recrutement. Il repose sur des échanges volontaires avec plus de 30 employeurs entre mars 2025 et janvier 2026, après contact avec 37 organisations. L’ICO ne nomme ni les entreprises ni les outils, et ne décrit pas des cas concrets de préjudice subi par des candidats ; il analyse surtout les pratiques, les risques potentiels et les attentes du régulateur. Son constat général est que l’automatisation peut apporter des avantages réels, notamment en traitant rapidement de gros volumes de candidatures, mais que beaucoup d’employeurs n’appliquent pas correctement les garanties prévues par le droit de la protection des données.

Le rapport montre que ces outils sont surtout utilisés en début de procédure, avant tout échange direct avec un recruteur. Ils servent notamment à noter et classer des CV et des réponses écrites, à évaluer des compétences ou un « potentiel » au moyen de tests comportementaux ou psychométriques, à analyser des réponses à des questions d’entretien, y compris à partir de transcriptions, et parfois à tirer des inférences sur la personnalité à partir du langage employé lors d’entretiens vidéo. En revanche, l’ICO indique ne pas avoir observé, dans son échantillon, d’usage de l’IA pour traiter des données biométriques comme la détection des émotions. Le rapport distingue aussi les questions binaires de présélection, par exemple sur le droit de travailler au Royaume-Uni ou sur une qualification indispensable : pour l’ICO, ces filtres automatiques appliquant une règle fixe ne constituent pas, en eux-mêmes, une « décision automatisée » au sens juridique étudié dans le rapport.

Le point central du document est que de nombreux employeurs pensent utiliser des outils d’aide à la décision, alors qu’en pratique ils prennent probablement des décisions entièrement automatisées. Il y a décision automatisée lorsqu’une décision importante pour la personne est prise uniquement par traitement automatisé, sans intervention humaine réelle. Dans le recrutement, refuser ou faire progresser un candidat entre normalement dans cette catégorie, car cela affecte de manière significative ses perspectives d’emploi. L’ICO estime que beaucoup d’employeurs surestiment la place du recruteur dans le processus. Le fait qu’un manager puisse consulter un tableau de bord ou cliquer sur une option ne suffit pas si, dans les faits, il suit mécaniquement le score produit par l’outil, surtout pour éliminer les candidats les moins bien classés. Une véritable intervention humaine suppose un pouvoir réel d’examen, de correction et de modification, exercé pour chaque candidat et à chaque étape pertinente.

Le rapport insiste ensuite sur les exigences de transparence. Selon l’ICO, les candidats sont souvent informés de manière trop vague. Les notices de confidentialité décrivent les outils de façon générale, renvoient parfois à la politique de confidentialité d’un prestataire tiers, mais n’expliquent pas clairement qu’une décision automatisée est prise, ni la logique générale utilisée, ni les conséquences probables pour la personne. Comme beaucoup d’employeurs ne reconnaissent pas qu’ils font réellement de la décision automatisée, ils ne mettent pas non plus en place les garanties correspondantes. Or ces garanties doivent permettre au candidat d’être informé, de demander une intervention humaine, de présenter ses observations et de contester la décision. L’ICO considère que nombre d’organisations ont déjà des procédures de recours internes, mais qu’elles doivent les adapter pour répondre expressément à ce cadre.

Le rapport relève aussi de fortes lacunes en matière d’équité, de biais et de discrimination. Beaucoup d’employeurs n’avaient pas réellement vérifié si leurs outils produisaient des résultats inéquitables ou défavorisaient certains groupes. L’ICO rappelle qu’un employeur reste responsable, même lorsqu’il utilise un outil fourni par un tiers. Il devrait donc demander au fournisseur des informations sur les données d’entraînement, sur les biais connus ou possibles et sur les tests déjà réalisés, puis effectuer ses propres vérifications. Le rapport recommande une surveillance régulière des résultats, de préférence sur des données agrégées, afin d’identifier d’éventuelles disparités entre groupes. Il souligne aussi que le public accepte plus facilement les usages simples, comme le tri de CV, que les dispositifs plus intrusifs fondés sur le profilage, comme certaines évaluations comportementales en ligne.

Sur l’analyse d’impact relative à la protection des données, le constat est également critique. Plusieurs employeurs n’avaient pas réalisé d’analyse complète avant de traiter les données personnelles, alors même que ce type de traitement présente souvent un risque élevé. Parmi les analyses d’impact examinées, beaucoup étaient incomplètes, anciennes, vagues ou purement formelles. Certaines ne décrivaient pas suffisamment le fonctionnement de l’outil, les données utilisées, les étapes concernées, les marges d’erreur, les risques pour les personnes ni les mesures prévues pour les réduire. Le rapport note aussi que, dans plusieurs cas, l’avis du délégué à la protection des données n’était pas documenté, ou que des analyses identifiant des risques élevés avaient été validées sans mesures correctrices adéquates. Pour l’ICO, une analyse d’impact solide est un document de base, à préparer tôt, notamment au stade de l’achat de l’outil.

Le rapport comporte aussi un volet important sur la base juridique du traitement. Il rappelle qu’au Royaume-Uni, la loi a changé avec le Data (Use and Access) Act 2025, applicable sur ce point à partir du 5 février 2026. L’ancien système reposait sur une interdiction de principe de certaines décisions entièrement automatisées, avec quelques exceptions. Le nouveau cadre repose davantage sur un droit de contestation assorti de garanties. En pratique, cela facilite l’usage de la décision automatisée lorsqu’aucune donnée sensible n’est utilisée. En revanche, si des données sensibles sont traitées, des conditions supplémentaires demeurent.

Dans ce contexte, l’ICO estime que beaucoup d’employeurs se trompent encore de base juridique. Le consentement est, selon lui, généralement inadapté en recrutement, car le candidat n’est pas en position de choisir librement. La nécessité contractuelle est elle aussi, en principe, mal adaptée au tri, aux tests et aux entretiens, puisqu’il n’existe pas encore de contrat avec la plupart des candidats. Après la réforme, l’ICO considère que l’intérêt légitime sera souvent la base juridique la plus appropriée, à condition d’effectuer une véritable mise en balance des intérêts en présence.

Au total, le message du rapport est double. D’un côté, l’ICO ne rejette pas l’automatisation du recrutement et reconnaît qu’elle peut améliorer l’efficacité, la cohérence des traitements et parfois même réduire certains biais humains. De l’autre, il estime que la pratique actuelle est souvent juridiquement mal qualifiée et insuffisamment encadrée. L’enjeu, pour les employeurs, n’est donc pas seulement d’acheter des outils performants, mais de décider clairement s’ils veulent conserver un contrôle humain réel sur chaque décision ou assumer qu’ils recourent à une décision entièrement automatisée, avec toutes les garanties que cela implique. Le rapport se présente ainsi comme un avertissement et un guide : transparence renforcée, intervention humaine réelle et constante si l’on veut sortir du régime de la décision automatisée, contrôle des biais, analyses d’impact sérieuses, choix correct de la base juridique et mécanismes effectifs de contestation. L’ICO précise enfin que les 16 employeurs qu’il a identifiés comme utilisant probablement de telles décisions ont accepté de travailler avec lui pour corriger leurs pratiques, mais il indique aussi qu’il pourra aller plus loin en cas de non-conformité persistante.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence artificielle, CAS en Protection des données – Entreprise et administration