IA et recrutement, de nombreux risques juridiques
Le RGPD octroie déjà aux candidats le droit d'obtenir une intervention humaine dans le processus de recrutement, et l'AI Act imposera de nombreuses obligations tant aux fournisseurs de solution d'IA utilisées dans le recrutement qu'aux recruteurs eux-mêmes. Mieux vaut anticiper son application dès à présent, et réfléchir à l'impact du déploiement de l'IA sur le recrutement.
PublicitéL'intelligence artificielle bouleverse les méthodes traditionnelles de recrutement. Elle s'invite presque partout dans le processus tant au stade de la rédaction d'offres d'emploi, de l'analyse des CV, de la pré-sélection des candidats, de l'analyse des entretiens en visio, que de la prise de décision. L'immersion de l'IA est telle que certains imaginent même des recrutements intégralement orchestrés par cette technologie. Mais juridiquement, est-il vraiment possible de se passer de recruteurs humains ?
Par principe, le règlement général sur la protection des données (RGPD) prohibe les décisions fondées exclusivement sur un traitement automatisé. Un traitement de données personnelles ne peut pas être mis en oeuvre en l'absence d'intervention humaine dans le processus décisionnel si ce traitement produit des effets juridiques ou impacte significativement la situation des personnes concernées.
Il ne fait pas débat que la décision de recruter ou de ne pas recruter tel ou tel autre candidat affecte les candidats. En revanche, la question de l'intervention humaine est plus discutable, notamment si un recruteur humain est ajouté en bout de chaine, en simple validateur formel du candidat proposé par l'IA. Si l'intervention d'un recruteur humain dans le processus de recrutement peut permettre d'échapper à l'interdiction des prises de décisions automatisées, il ne doit pas systématiquement aller dans le sens de l'IA. La CNIL a pu préciser que si celui-ci n'est qu'un validateur formel, la décision peut être regardée comme ayant été prise sans intervention humaine.
Le droit des candidats à ne pas faire l'objet d'un refus de candidature par l'IA
En cas de décision fondée exclusivement sur un traitement automatisé, le recruteur doit informer les personnes concernées de leurs droits et notamment celui d'obtenir une intervention humaine dans le processus de recrutement. Cela signifie concrètement qu'un candidat a le droit à ce qu'un recruteur humain analyse sa candidature et décide des suites à lui donner. Si ce n'est pas respecté, le recruteur est en violation du RGPD.
Par ailleurs, le déploiement d'une solution d'IA au sein des services RH nécessite généralement de réaliser une analyse d'impact sur la protection des données (AIPD) en tenant compte des risques spécifiques à cette solution. En effet, les traitements de données personnelles inhérents au développement et au déploiement d'une telle solution sont susceptibles de présenter un risque élevé pour les droits et libertés des candidats. La Commission nationale de l'informatique et des libertés (CNIL) mentionne d'ailleurs explicitement que le traitement algorithmique pour la sélection des candidats nécessite obligatoirement une AIPD.
Anticiper la mise en conformité avec l'AI Act
PublicitéOutre les questions relatives à la protection des données, l'UE a récemment adopté un règlement n°2024/1689 du 13 juin 2024 sur l'intelligence artificielle (AI Act). L'entrée en vigueur de ce règlement est fixée au 1er aout 2024, et il sera pleinement applicable à partir du 2 août 2026, à l'exception de certaines dispositions relatives aux pratiques interdites (applicables à partir du 2 février 2025), aux règles concernant l'IA à usage général, notamment la gouvernance (applicables à partir du 2 août 2025), et aux obligations pour les systèmes d'IA à haut risque (applicables à partir du 2 août 2027). Ce règlement impactera tant les fournisseurs de solutions d'IA que les recruteurs utilisateurs de ces dernières.
L'AI Act a notamment pour objectif de réduire le risque de décisions erronées ou biaisées assistées par l'IA dans des domaines cruciaux tels que l'emploi. Pour ce faire, l'annexe 3 de l'AI Act considère à haut risque les « systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats ».
Selon le considérant 36 de l'AI Act, « les systèmes d'IA utilisés dans le recrutement, la gestion de la main d'oeuvre et l'accès à l'emploi indépendant devraient être classés comme à haut risque. Ils ont un impact significatif sur les perspectives de carrière et les moyens de subsistance des individus. Ces systèmes peuvent perpétuer des schémas de discrimination historique, tels que ceux liés au genre, à l'âge, au handicap, à l'origine ethnique ou à l'orientation sexuelle. De plus, ils peuvent affecter les droits à la protection des données et à la vie privée. »
Une évaluation préalable des risques
Avant même d'être déployées, les solutions d'IA utilisées dans le recrutement devront évaluer préalablement les risques, et respecter certaines obligations. Les fournisseurs de ces solutions devront concevoir leur solution d'IA de façon à atteindre des niveaux appropriés de précision, de robustesse et de cybersécurité. Ils devront notamment démontrer la conformité de leur solution aux normes prévues, gérer et évaluer les risques, lutter contre les biais, fournir une documentation technique précise, tracer de nombreux événements, fournir une information transparente aux utilisateurs, garantir une surveillance humaine appropriée et coopérer avec les autorités compétentes.
Il est recommandé que ces fournisseurs documentent le fonctionnement de leur système dès à présent, et commencent l'exercice d'audit de leur solution en vue de la mise en conformité avec l'AI Act, qui constituera un travail conséquent.
Mais les recruteurs, en tant qu'utilisateurs, auront eux aussi des obligations. Ils devront notamment respecter les instructions d'utilisation du fournisseur de la solution, veiller à ce que les données d'entrée soient pertinentes et suffisamment représentatives, conserver les événements, suspendre l'utilisation de la solution et informer les autorités compétentes en cas de doute sur la conformité de la solution.
Les recruteurs devront informer les instances représentatives du personnel avant le déploiement de telles solutions. De plus, le code du travail français interdit à tout recruteur de discriminer les candidats à l'emploi, quels qu'en soient le motif et le domaine. A défaut, le recruteur s'expose à des sanctions civiles et pénales. Il a ainsi tout intérêt à s'assurer de l'absence de discrimination qui pourrait être engendrée par l'IA.
S'interroger sur la pertinence de l'IA pour recruter
En fin de compte, les fournisseurs de solutions d'IA utilisées dans le recrutement et les recruteurs, en tant qu'utilisateurs de ces solutions, seront soumis à de nombreuses obligations réglementaires. Avant tout déploiement, il est vivement recommandé de vérifier les conditions contractuelles de ces fournisseurs, et au besoin, de négocier et d'aménager les risques contractuels entre les fournisseurs et les utilisateurs.
Au-delà du cadre purement juridique, chaque recruteur sera amené à s'interroger sur la pertinence et l'opportunité d'utiliser l'IA pour recruter son personnel. L'IA peut par exemple être privilégiée pour certains postes (tels que ceux où une compétence technique est attendue), et un recrutement « classique » peut être préféré pour d'autres postes (tels que ceux impliquant un contact humain ou une bonne pédagogie). Le recruteur humain devra définir des critères d'utilisation cohérents pour son entreprise et prendre compte des risques identifiés propres à la solution d'IA utilisée. Si un employeur a recours à un prestataire externe, il ne faut pas hésiter à le questionner pour savoir dans quelle mesure et selon quelles garanties lui-même utilisera l'IA. La gouvernance de l'IA, elle, restera entre les mains des recruteurs humains, du moins dans un futur proche.
Article rédigé par
Benjamin Greze, Avocat à la cour, associate Pinsent Masons France LLP
Benjamin Greze est titulaire d'un master 2 de l'université de Toulouse Capitole et d'une spécialisation "LLM in intellectual property and information law" du King's college de Londres. Il assiste les entreprises françaises dans toutes leurs problématiques transactionnelles, précontentieuses et contentieuses relatives à l’IT sur un large éventail de sujets tels qu'internet, le commerce en ligne, le secteur des jeux et des paris, les données personnelles, la cybersécurité, le droit de la consommation, ainsi que les contrats IT et le droit commercial.
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire