Examen réglementaire des outils de recrutement par l'IA : Obligations des cabinets de recrutement

intelligence artificielle
Written By Nathalie Pouderoux

Alors que l'intelligence artificielle (IA) continue de révolutionner le recrutement, en proposant des outils de sourcing, de sélection et de choix des candidats, elle entraîne également un examen plus approfondi de la protection des données. Les outils de recrutement alimentés par l'IA peuvent grandement améliorer l'efficacité, l'évolutivité et la cohérence, mais ils présentent également des risques importants en matière de protection de la vie privée. Les cabinets de recrutement qui utilisent ou développent des outils d'IA doivent veiller à respecter les lois sur la protection des données afin d'atténuer ces risques et de créer un climat de confiance avec les candidats et les clients.

Outils d'IA pour les recruteurs

Les outils d'IA pour les recruteurs ont transformé le processus d'embauche en rationalisant des tâches telles que le sourcing, la présélection et la sélection. Par exemple, des outils de sourcing comme HireVue et Pymetrics utilisent l'IA pour analyser les profils des candidats et recommander les personnes qui correspondent le mieux à la description d'un poste, en tenant souvent compte des compétences, de l'expérience et des prédictions d'adéquation.

Les outils de présélection, tels que XOR ou Hireology, peuvent évaluer les réponses des candidats aux questions d'entretien et classer automatiquement les candidats en fonction de leurs qualifications et de leurs chances de réussite. En outre, les outils de sélection pilotés par l'IA, tels que Codility ou HackerRank, évaluent les capacités techniques des candidats à l'aide de défis de codage ou d'évaluations psychométriques, fournissant aux recruteurs un aperçu objectif de leurs compétences.

Ces outils d'IA améliorent l'efficacité en réduisant le temps passé à trier manuellement les CV et à mener les entretiens initiaux, ce qui permet aux recruteurs de se concentrer sur des tâches à forte valeur ajoutée telles que l'engagement des candidats et l'adéquation culturelle, tout en contribuant à réduire les préjugés et à accroître la cohérence des décisions d'embauche.

Obligations des recruteurs

La loi britannique sur la protection des données, plus précisément le Règlement général sur la protection des données (RGPD), définit des exigences strictes sur la manière dont les données personnelles doivent être traitées, en particulier dans le contexte de l'IA. Les cabinets de recrutement doivent comprendre leurs obligations et intégrer des recommandations clés pour s'assurer que les outils d'IA sont utilisés de manière éthique et légale. Voici les étapes essentielles que les recruteurs doivent suivre pour rester en conformité et protéger les données des candidats.

1. Garantir la loyauté dans le traitement de l'IA

L'un des principes fondamentaux de la législation sur la protection des données est la loyauté, qui s'étend à la manière dont les outils d'IA traitent les données à caractère personnel. Les cabinets de recrutement doivent régulièrement évaluer la loyauté des algorithmes d'IA qu'ils utilisent. Il s'agit notamment de surveiller les biais, les inexactitudes ou les prises de décision injustes dans les résultats de l'IA. En particulier, les données de catégories spéciales telles que le sexe, l'âge ou l'origine ethnique, utilisées pour contrôler la diversité, doivent être traitées avec soin et précision.

Les outils d'IA ne doivent pas s'appuyer sur des données déduites ou estimées pour prendre des décisions, car celles-ci risquent de ne pas être suffisamment précises pour satisfaire aux normes de protection des données. Les recruteurs doivent également intervenir activement lorsque les outils d'IA montrent des signes de partialité, afin de s'assurer que les décisions restent équitables et conformes à la loi.

2. Transparence et explicabilité

La transparence est essentielle pour maintenir la confiance des candidats. Les recruteurs doivent fournir des informations claires et détaillées sur la manière dont les outils d'IA traitent les données à caractère personnel. Ces informations doivent comprendre

  • Quelles sont les données traitées ? Les candidats doivent être informés des données à caractère personnel que les outils d'IA traiteront et de la manière dont ils le feront.

  • La logique qui sous-tend les prédictions de l'IA : Les candidats doivent comprendre comment l'IA fait des prédictions ou génère des résultats sur leur aptitude à occuper un emploi.

  • L'utilisation des données personnelles pour le développement de l'IA : Les recruteurs doivent indiquer comment les données personnelles peuvent être utilisées pour former ou améliorer les modèles d'IA.

Les fournisseurs d'IA doivent également soutenir cette transparence en fournissant des détails techniques pertinents et la logique de leurs outils afin de garantir que les recruteurs puissent fournir aux candidats des informations précises.

3. Minimisation des données et limitation des finalités

Les recruteurs ne doivent collecter que le minimum de données à caractère personnel nécessaires à chaque étape du processus de recrutement. Ce principe, connu sous le nom de minimisation des données, garantit que les données à caractère personnel inutiles ne sont pas traitées. En outre, celles-ci ne doivent être utilisées qu'aux fins pour lesquelles elles ont été collectées à l'origine, par exemple pour évaluer les candidats à un poste spécifique, et non à d'autres fins sans rapport avec le poste en question.

Les fournisseurs d'IA devraient procéder à des évaluations complètes pour s'assurer que seules les données essentielles sont utilisées, et les recruteurs devraient vérifier que ce principe est respecté tout au long du processus.


4. Analyses d'impact sur la protection des données (DPIA)

Avant d'utiliser des outils d'IA dans le cadre du recrutement, les recruteurs et les fournisseurs d'IA doivent réaliser une analyse d'impact sur la protection des données (DPIA). Cette démarche permet d'identifier les risques potentiels pour la vie privée des candidats et de définir des stratégies pour atténuer ces risques. Le DPIA doit être mise à jour régulièrement pour tenir compte de tout changement dans la manière dont l'IA est utilisée ou lorsque de nouvelles données sont traitées.

Dans les cas où des outils d'IA sont développés ou modifiés, le DPIA constitue une garantie essentielle, assurant que les risques pour la vie privée sont gérés de manière proactive. Même si les fournisseurs d'IA agissent uniquement en tant que sous-traitants, ils devraient toujours envisager de mener des DPIA afin d'évaluer et de réduire les risques en matière de protection de la vie privée.

5. Définition claire des rôles en matière de données

Il est essentiel que les recruteurs et les fournisseurs d'IA clarifient leurs rôles dans la relation de traitement des données. Le fait que le fournisseur d'IA agisse en tant que responsable du traitement, co-responsable du traitement ou sous-traitant doit être explicitement défini dans les contrats et les avis de confidentialité. Cette clarté garantit que chaque partie comprend ses responsabilités en matière de protection des données à caractère personnel et de conformité au RGPD.

Les recruteurs doivent veiller à ce que leurs contrats avec les fournisseurs d'IA décrivent clairement les modalités de traitement des données, y compris la responsabilité de fournir des informations sur la protection de la vie privée aux candidats.

6. Instructions explicites pour le traitement des données

Les recruteurs doivent donner des instructions détaillées aux fournisseurs d'IA concernant le traitement des données à caractère personnel. Ces instructions doivent préciser

  • les champs de données nécessaires au traitement

  • les finalités pour lesquelles les données seront utilisées

  • les résultats attendus de l'outil d'IA

  • les mesures de protection des données à caractère personnel.

Les recruteurs doivent régulièrement contrôler les fournisseurs d'outils d'IA pour s'assurer qu'ils respectent ces instructions et qu'ils ne traitent pas les données au-delà des conditions convenues.

7. Base légale du traitement des données

Enfin, les recruteurs et les fournisseurs d'IA doivent établir une base légale pour le traitement des données à caractère personnel. Qu'elle repose sur des intérêts légitimes ou sur le consentement, la base légale doit être clairement documentée et communiquée aux candidats. Si des données de catégorie spéciale (telles que des informations raciales ou ethniques) sont traitées, une condition supplémentaire de traitement doit être identifiée.

Lorsqu'ils s'appuient sur des intérêts légitimes, les recruteurs doivent procéder à une évaluation des intérêts légitimes (outil appelé “balancing test” ou “legitimate interests assessment” (LIA) en anglais) pour s'assurer que le traitement est justifié. S'ils s'appuient sur le consentement, celui-ci doit être explicite, éclairé et facile à retirer pour les candidats.

Alors que les outils d'IA deviennent partie intégrante du recrutement, les recruteurs doivent être vigilants dans la gestion des risques pour la vie privée associés à ces technologies. En adhérant aux recommandations ci-dessus garantissant l'équité, la transparence, la minimisation des données et le traitement licite, les cabinets de recrutement peuvent protéger les données des candidats tout en maximisant les avantages de l'IA dans leurs processus d'embauche. En adoptant une approche proactive de la conformité en matière de protection des données, les recruteurs protègent non seulement la vie privée, mais instaurent également la confiance avec les candidats et garantissent une utilisation responsable et éthique de l'IA dans le recrutement.

Comment Gerrish Legal peut vous aider ?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal


Nathalie Pouderoux
Next

Clauses essentielles à inclure dans tout contrat