Successivement, la CNIL vient de remonter les bretelles de Carrefour puis de Google et Amazon pour non-respect du Règlement Général sur la Protection des données personnelles (RGPD). En cause, la manipulation des données de consommateurs sans leur avoir demandé leur avis. Les amendes, salées, ont d'ailleurs alerté tout le marché et provoquent actuellement des changements en catastrophe au sein des directions marketing pour ne pas subir le courroux du gardien des données personnelles.

Mais les applications du RGPD sont en réalité beaucoup plus nombreuses et s'appliquent aussi dans les processus en Ressources humaines. En effet, l'entreprise manipule chaque jour des données personnelles sensibles des candidats et des collaborateurs. Or, lorsque la CNIL pointera du doigt certaines pratiques, le séisme risque de faire des ravages sur les habitudes des recruteurs et sur le marché de la HR tech.

L'article 22 du RGPD, une menace pour la HR tech ?

Parmi les prochains grands chantiers de la CNIL - après l'application dans la relation commerciale au sens large - l'application stricte du RGPD dans les processus de sélection des candidats à un poste donné est clairement annoncée sur la roadmap ! Et pour cause, l'article 22 de ce fameux règlement, interdit toute forme de décision individuelle automatisée, y compris le profilage, à l'égard d'une personne dès lors que cette décision produit des effets juridiques ou a un enjeu significatif pour celle-ci.

Par nature, l'embauche est un effet juridique d'une candidature. De plus, la validation du caractère significatif d'un acte de candidature repose notamment sur l'impact fort que représente, sur l'avenir professionnel du candidat (donc son insertion sociale et son équilibre personnel), le fait d'être ou non sélectionné en première instance. Dit en d'autres termes et appliqué au recrutement, il est donc tout simplement interdit d'écarter une candidature de manière automatisée et sans évaluation humaine.

De ce fait, l'article 22 s'applique de plein droit dans le cadre d'une relation Candidat - Employeur. Le règlement précise néanmoins 3 cas particuliers pouvant exclure son application :

• Si cela est autorisé par le droit ou des textes de loi. En l'occurrence ce n'est pas le cas dans le recrutement, aucune loi n'existe à ce sujet.
• Si la personne donne son consentement explicite : la CNIL s'est déjà prononcée à plusieurs reprises sur ce sujet. Les cases à cocher (renvoyant aux interminables Conditions générales d'utilisation) obligatoires pour faire acte de candidature ne sont pas considérées comme un acte libre car le rapport de force est déséquilibré et vicie le consentement. Dit simplement, aux yeux de la CNIL (et du bon sens), cela s'apparente à du « consentement forcé ».
• Si le traitement est nécessaire à la conclusion ou l'exécution d'un contrat défini : un acte de candidature est, par nature, une demande de contractualisation. La décision d'établir ou non le contrat ne peut pas être arbitrée de manière automatique. En tout état de cause, le caractère « nécessaire » (au sens juridique) de l'utilisation d'un algorithme est largement contestable dans le cas du traitement d'une candidature.

A titre de comparaison, la CNIL avait déjà commencé à s'intéresser à des processus similaires lors de la mise en place de ParcourSUP en 2018, et avait à l'époque formellement interdit l'affectation automatique des étudiants sans regard humain. (lien : https://www.cnil.fr/fr/parcoursup-et-les-etablissements-denseignement-superieur-questions-reponses)

L'automatisation du recrutement, pas RGPD-compatible ?

Dans le viseur de l'autorité figurera donc en toute logique l'ensemble des processus de recrutement qui écartent certains candidats de manière automatisée via des systèmes de scoring, des évaluations sémantiques ou de l'intelligence artificielle, et sans analyse humaine réelle de chaque candidature !

Côté Entreprise, les services de recrutement reçoivent de gros volumes, qui paraissent impossibles à traiter. A titre d'exemple : L'Oréal reçoit 1 million de candidatures par an, Carrefour 500 000 cv/an. Face à la gestion de tels volumes, la tentation d'automatisation est grande mais le règlement reste formel : il est de leur responsabilité de garantir qu'un humain est bien intervenu dans le processus de recrutement pour analyser la candidature. Cela devrait donc sonner la fin d'une ère : l'enjeu résidera dans la capacité des recruteurs à traiter humainement le flux des CV entrants. Ceci afin, non seulement de se mettre en conformité avec la loi, mais aussi et surtout d'être à la hauteur des promesses faites aux candidats pour le convaincre de postuler.

Car la véritable problématique est ici : remettre l'humain, recruteur comme candidat, au cœur du processus de recrutement et, à l'image de ses premières applications marketing et des changements initiés par le RGPD ces dernières années, ne plus considérer une candidature comme une simple ligne dans son SIRH. Derrière une candidature, il y un humain, avec des droits.

Une nouvelle fois, le RGPD se pose en garde-fou pour ne pas digitaliser à 100% ou ultra automatiser des processus qui doivent, par nature, garder une part d'évaluation humaine. Recruteurs, préparez-vous au prochain séisme qui risque, tout comme celui en marketing actuellement, de coûter très cher quand la CNIL se penchera dessus...