Quelles données peuvent être collectées par un recruteur ? avec Eric Delisle, Chef du Service des affaires sociales, CNIL.
Catégorie
🗞
NewsTranscription
00:00On commence tout de suite ce Lex Inside. Quelles données peuvent être collectées par un recruteur ?
00:15On en parle tout de suite avec mon invité Eric Delisle, chef des affaires sociales à la CNIL.
00:21Eric Delisle, bonjour. Bonjour Arnaud.
00:23Le processus de recrutement est devenu de plus en plus sophistiqué en s'appuyant largement sur
00:29la collecte et l'analyse des données. Quel est le cadre juridique général qui encadre la
00:35collecte de données lors d'un recrutement ? Le cadre juridique est double, ce qui n'est
00:39jamais forcément une bonne nouvelle, mais il est cohérent. Le code du travail d'une part,
00:43qui encadre les usages au travail des données qui peuvent être collectées, avec une finalité,
00:48un objectif de collecte, apprécier la valeur du candidat, et des données, limiter les données
00:53qui peuvent être collectées, également des objectifs de transparence. L'autre cadre juridique,
00:57le RGPD, la protection des données, qui cette fois va avoir un champ un peu plus large et qui va
01:02traiter l'ensemble des données collectées par le recruteur. Il va mettre des principes qui sont,
01:07bonne nouvelle, exactement les mêmes que ceux du code du travail, de transparence, de minimisation,
01:11avec une finalité poursuivie qui doit être en lien avec le recrutement. Un cadre juridique double,
01:17mais simple à comprendre. C'est des contraintes qui sont doubles pour les recruteurs.
01:22Elles sont doubles, mais finalement, comme elles sont exactement dans le même sens,
01:25elles vont exactement dans le même sens. Alors, il n'y a pas de difficulté, il n'y a pas une
01:29complexité à intégrer ces deux cadres juridiques. Est-ce qu'il y a des données qui sont spécifiquement
01:35interdites lors d'un processus de recrutement ? Oui. Alors, le principe, déjà, c'est que les
01:40données qui peuvent être collectées sont des données qui sont strictement en lien avec
01:43l'appréciation du candidat, de ses qualités, pour directement vérifier et pouvoir s'assurer si,
01:49oui ou non, il répond au poste qui lui est proposé. Donc ça, c'est le principe. De là,
01:54on en décline, évidemment, des interdictions, toutes les données qui ne sont pas en lien
01:58direct avec ces éléments. Donc, on va prendre des exemples qui sont assez courants. Le numéro de
02:03sécurité sociale est souvent demandé parce qu'il est nécessaire lorsque vous êtes embauché,
02:06lorsque vous intégrez l'entreprise, mais pas au stade du recrutement. Les coordonnées bancaires,
02:09des exemples également qui, force est de constater qu'ils continuent à être posés,
02:12des désirs d'enfant, par exemple, ou des entourages familiaux que font vos parents.
02:16Tout ça est peut-être très intéressant, mais néanmoins, n'a rien à faire dans le cadre
02:19d'une appréciation d'un candidat et de ses compétences. Vous avez également un point
02:25d'intention majeur à porter sur les données, ce qu'on appelle sensibles, d'un point de vue
02:29protection des données. Quelles sont ces données ? Alors, ces données touchent à tout ce qui touche
02:32la santé, les opinions philosophiques, religieuses, politiques. Voilà, donc tout ce qui touche un peu
02:38à l'intimité du candidat. Et ces données-là ne peuvent pas et ne doivent pas être demandées.
02:43L'un des exemples topiques, c'est la reconnaissance de la qualité de travail
02:47handicapé. C'est une donnée qui touche à la santé du candidat, qui peut vous être communiqué,
02:52vous recruteur, à la volonté du candidat. S'il ne souhaite pas vous le donner, il n'a pas à vous
02:57le communiquer. Et enfin, peut-être un autre exemple qui est un petit peu à cheval sur ces
03:02interdictions, ce sont certains postes particuliers. Typiquement, je vais vous prendre un exemple de
03:06mannequin. Lorsqu'on est mannequin, on peut, dans une certaine mesure, traiter des informations qui,
03:11dans un cadre général, ne pourraient pas être traitées. Typiquement, la taille, le poids,
03:16les mensurations, dans une certaine mesure, lorsque c'est justifié par la nature du poste,
03:20alors ça peut être. Mais le cas général, c'est que vous ne traitez pas ce type d'informations.
03:23Alors, un autre sujet, c'est le casier judiciaire. Est-ce qu'un recruteur peut
03:29demander un extrait du casier judiciaire ? Alors, de plus en plus, on assiste aujourd'hui
03:35avec les affaires de maltraitance potentiellement, soit sur des personnes vulnérables, donc personnes
03:39mineures ou personnes âgées. Vous avez une volonté des recruteurs de vérifier les antécédents
03:44judiciaires des candidats. Alors, il faut savoir que c'est possible lorsque le droit le prévoit. Ce
03:48sont des données qui sont particulièrement protégées, d'un point de vue protection des
03:51données, dès lors qu'elles touchent, encore une fois, à l'intimité du candidat, qui est son
03:55passé judiciaire. Le passé judiciaire est encadré par le RGPD, mais aussi par le code de procédure
04:00pénale, enfin bref, des textes, qui limitent l'usage de ces données. Pour un recruteur,
04:04vous avez de plus en plus de cas dans lesquels le législateur demande à ce que le recruteur
04:10vérifie les antécédents. Lorsque vous allez travailler, par exemple, pour la fonction publique,
04:13vous avez une vérification des antécédents judiciaires. Lorsque vous allez travailler
04:16dans le secteur bancaire, vous avez également des vérifications d'antécédents judiciaires,
04:20en lien évidemment avec le poste. Bien sûr. Donc, d'une manière générale, vous ne pouvez
04:25pas le faire si le droit ne le prévoit pas. C'est ce qu'il faut retenir, mais le droit prévoit de
04:29plus en plus de cas dans lesquels le casier peut être demandé. Alors, un autre aspect intéressant,
04:34c'est que de plus en plus de candidats diffusent des informations sur Internet, sur les plateformes.
04:41Est-ce qu'un recruteur peut utiliser ces informations dans le cadre d'un processus
04:47de recrutement ? Alors, c'est un peu contre-nature, mais il faut bien avoir en tête que les données
04:51qui sont diffusées sur Internet ne sont pas libres d'accès, libres de réutilisation. Et ça,
04:57c'est quelque chose qui est assez difficile à expliquer. Ce n'est pas parce qu'un candidat
05:00a publié des informations qui concernent sa vie privée, ses loisirs, ses activités associatives,
05:06que le recruteur peut librement aller farfouiller sur Internet et réutiliser ces informations-là.
05:09Ces informations sont toujours couvertes par les règles du RGPD dans le cadre du recrutement. Et
05:15donc, le principe est encore une fois assez simple, même si mettre en œuvre, on sait très bien que
05:19c'est un peu plus compliqué. Utilisez uniquement les informations qui sont en lien avec l'activité
05:24professionnelle du candidat. Typiquement, le réseau professionnel, par exemple LinkedIn,
05:28pour ne pas le citer. Mais vous allez vous abstenir d'aller vérifier d'autres réseaux sociaux,
05:33à moins que, et ça c'est important et c'est de plus en plus dans les pratiques, les candidats
05:37eux-mêmes vous fournissent les réseaux sociaux qu'ils souhaitent vous montrer. Typiquement,
05:41vous êtes, je ne sais pas moi, un maquetteur, vous faites du graphisme, vous avez envie de
05:45montrer votre bloc personnel au recruteur, vous allez l'indiquer dans le dossier de candidature.
05:50D'accord. Si vous avez choisi de le montrer au recruteur à ce moment-là, il peut s'en servir
05:54pour sélectionner le candidat. Et il y a des risques également, à ne pas avoir justement
05:59cette étape préalable, il y a des risques d'homonymie. Et donc, vous pourriez tout à fait,
06:02parce que vous n'avez pas forcément de photos sur le CV, vous pourriez tout à fait partir sur
06:06une appréciation qui serait totalement erronée sur un candidat, qui serait, en tout cas qui aura
06:11des activités qui vous déplairaient, dans le cadre de son activité personnelle, pardon,
06:15et que vous porteriez un jugement sur ce candidat qui serait totalement faux.
06:20Alors, on va venir sur un sujet qui est de plus en plus au cœur du monde professionnel,
06:27c'est l'utilisation de l'intelligence artificielle dans le cadre du processus de recrutement. Quel
06:32est le cadre juridique ? Alors, le cadre juridique, il n'est pas double, il est triple. C'est-à-dire
06:37que vous avez toujours ce socle droit du travail RGPD, mais ça c'est assez classique, et vous
06:43allez avoir une surcouche de droits qui va, encore une fois je vous rassure, à peu près dans le même
06:47sens, qui est le nouveau règlement sur l'intelligence artificielle, qui a été publié en mai 2024,
06:53adopté en mai 2024, et qui va rentrer en application de manière échelonnée. Et en matière travail,
06:58le règlement, donc notamment l'utilisation des algorithmes d'intelligence artificielle dans
07:03une finalité de recrutement, sont particulièrement encadrés et sont ce qu'on appelle des
07:07intelligences artificielles à haut risque, et qui donc engendrent un certain nombre de garanties
07:13supplémentaires à apporter au traitement, notamment des garanties de transparence de
07:17l'algorithme et de vérification que la machine puisse avoir une supervision humaine. Et je vous
07:24disais que cet encadrement était cohérent avec le RGPD, parce que le RGPD lui-même, qui a été
07:29créé dans une optique de vérifier que les traitements mis en oeuvre par une machine ne portent
07:33pas atteinte aux libertés fondamentales, prévoit typiquement une interdiction de traitement des
07:38données qui prennent des décisions entièrement automatisées. Interdiction, il aime bien ça, avec
07:43des exceptions bien sûr toujours, et lorsque ces exceptions sont satisfaites, vous avez également
07:47les mêmes garanties qui doivent toujours s'appliquer. Donc lorsqu'une IA traite des informations sur un
07:51candidat, vous allez avoir une transparence, vous allez avoir une possibilité de réexamen par un
07:57humain de la candidature, et encore une fois il faut bien avoir en tête que beaucoup de cas dont
08:03on entend parler, peut-être outre-Atlantique, sur la gestion des émotions, la détection des émotions,
08:06tout ça géré par une intelligence artificielle, en France on aurait du mal à le mettre en oeuvre
08:11par rapport au cadre réglementaire. Pour terminer, rapidement, quelles sont les bonnes pratiques à
08:16avoir en tête pour les recruteurs dans la collecte des données ? Alors si je ne devais en citer qu'une,
08:23ce serait la transparence, et on constate aussi avec les générations, les nouvelles générations
08:30en tout cas, qui interviennent dans le processus de recrutement en tant que candidat, ils ont un
08:34soin tout particulier, ils portent une attention au traitement, au traitement tout simplement humain
08:39que leur apportent les entreprises dans lesquelles ils candidatent, sur la manière dont sont gérées
08:44leurs données, et également tout simplement sur la considération qu'ils leur portent, et il est vrai
08:48que ne passer que par une machine dans le cadre d'un recrutement, ce n'est pas forcément ça qui
08:52témoigne d'une plus grande considération à l'égard des candidats. On va conclure là-dessus, merci Eric
08:57Delisle d'être venu sur notre plateau, je rappelle que vous êtes chef de service des affaires sociales
09:01au sein de l'ACNIL. Merci. Tout de suite l'émission continue, on va parler des juristes de la tech.