En publiant un guide visant à accompagner les recruteurs au regard de la multiplicité des canaux de recrutement et de la constitution de bases de données de plus en plus nombreuses et fournies, la Commission nationale de l’informatique et des libertés (CNIL) vient de mettre en lumière le fait qu’un processus d’embauche doit se faire dans le respect du Code du travail, mais aussi du règlement général sur la protection des données (RGPD). C’est pourquoi un rappel des règles applicables semble nécessaire au regard de ce double prisme.

Du point de vue du droit du travail, l’un des principes essentiels en matière de recrutement est posé par l’article L. 1221-6 du Code du travail qui dispose que « les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ne peuvent avoir comme finalité que d’apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles. Ces informations doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles. »

Ces restrictions s’imposent afin de permettre aux futurs employeurs de s’assurer du respect, par leurs recruteurs, du principe essentiel de non-discrimination défini à l’article L. 1132-1 du Code du travail. Au vu du risque, tant civil que pénal, en cas de manquement, il convient non seulement d’encadrer les procédures de recrutement (rédaction des offres d’emploi et traitement des CV reçus) mais également de former les recruteurs et managers susceptibles d’intervenir lors du processus de recrutement (questions pouvant être posées ou non pendant l’entretien).

Encadrer les procédures de recrutement

En droit du travail, pour se conformer aux règles applicables et éviter tout biais implicite, l’offre d’emploi doit notamment éviter toute référence au sexe, à la nationalité du candidat, ou à une limite d’âge maximal. D’un point de vue pratique, il convient de rédiger des profils de poste définissant clairement les compétences nécessaires pour les missions afférentes au poste et de détailler ces dernières. Or, dans un souci d’efficacité et d’objectivité, de plus en plus de sociétés traitent les CV via des algorithmes afin de transmettre uniquement les plus pertinents. A certains égards, cela peut rappeler le recours au CV anonyme qui avait été introduit par la loi du 31 mars 2006 puis finalement abandonné en 2015, faute de décret d’application. Dans le cas présent, l’article 5 1. b) du RGPD – exact reflet de l’article L. 1221-6 du Code du travail – impose que « les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

En premier lieu, les opérations de recrutement doivent évidemment s’intégrer dans le processus de conformité globale mis en œuvre par l’entreprise. Notamment, les traitements réalisés dans le cadre du recrutement devront avoir été portés à la connaissance du délégué à la protection des données (DPO), qui devra confirmer la conformité du processus de recrutement au regard du RGPD ; figurer dans le registre des traitements, comme toute autre opération relative à des données à caractère personnel ; être portés à la connaissance des candidats conformément aux articles 12 à 14 du RGPD. En effet, toute collecte de données à caractère personnel, qu’elle soit réalisée directement auprès du candidat ou obtenues via un tiers (par exemple un cabinet de chasseurs de têtes) doit faire l’objet d’une communication à la personne concernée au moment de la collecte.

En second lieu, la mise en œuvre d’algorithmes imposera de manière quasi systématique la conduite d’une analyse d’impact sur la protection des données (AIPD), notamment pour les traitements constitués à des fins de recrutement considérés comme présentant « un risque élevé » pour les droits et libertés des candidats. De manière générale, un risque élevé s’entend comme un événement grave « en termes d’atteinte à la confidentialité, de disponibilité des données, d’impacts potentiels sur leur vie privée et dont la vraisemblance serait importante ».

En conséquence, tout recrutement dans lequel intervient un procédé basé sur un algorithme imposera au recruteur de conduire cette analyse d’impact qui consiste en une description détaillée du traitement (aspects techniques et opérationnels) ; une évaluation de la nécessité et de la proportionnalité du traitement ; et une étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.

Si ces critères semblent rarement remplis en matière de recrutement, l’AIPD sera pourtant souvent impérative dès lors que la CNIL la rend obligatoire pour tout traitement visant à faciliter le recrutement grâce à un algorithme de sélection. Surtout, il convient de garder à l’esprit qu’aucune décision ne saurait se fonder uniquement sur les résultats fournis par l’algorithme. En effet, l’article 22 du RGPD limite la prise de décision individuelle fondée exclusivement sur un traitement automatisé, sauf lorsque de telles décisions sont fondées sur le consentement explicite des personnes concernées. S’agissant des recrutements, le consentement des candidats ne peut en général pas être considéré comme libre, ou nécessaire à la conclusion ou à l’exécution d’un contrat. De la même manière, cette exception ne semble pas s’appliquer aux processus de recrutement ; ou encadrées par des dispositions légales spécifiques, ce qui n’est aujourd’hui pas le cas en France. Les procédés de recrutement appuyés sur des algorithmes et/ou des procédés de scoring devront s’accompagner systématiquement d’une intervention humaine visant à valider ou non le résultat automatisé.

Former les recruteurs

Deuxième axe essentiel à considérer : la formation des recruteurs permet de s’assurer que les dispositions de l’article L. 1221-6 du Code du travail sont respectées et que la candidature est bien examinée sur la seule base des compétences du candidat et de ses aptitudes professionnelles. Pour ce faire, il peut être utile de formaliser le déroulement des entretiens, notamment en posant les mêmes questions à tous les candidats dans le même ordre, et de se limiter à une liste de questions déterminée. Cela évitera ainsi des questions qui ne possèdent pas de lien direct et nécessaire avec la finalité de recrutement, telles que celles évoquées par la CNIL dans son guide concernant la psycho-morphologie, le fait de déduire certaines caractéristiques du signe astrologique des candidats, de leur date de naissance (numérologie), etc.

Il convient de souligner que la loi n° 2017-86 du 27 janvier 2017 – dite « loi égalité et citoyenneté » – a renforcé les obligations en matière de recrutement pesant sur les entreprises de plus de 300 salariés : ces dernières ont l’obligation de former leurs salariés chargés de missions de recrutement à la non-discrimination à l’embauche, au moins une fois tous les cinq ans. De telles mesures permettent de sensibiliser les salariés impliqués dans les procédures de recrutement aux différents critères de discrimination, qui évoluent au fil des ans, mais également aux biais implicites pouvant exister.

Il est toutefois indispensable de ne pas limiter ce type de formations aux seuls salariés chargés du recrutement et de les élargir plus généralement aux fonctions RH et aux managers, afin d’éviter la collecte et la conservation de données illicites au-delà du stade du recrutement. Dans une délibération du 29 octobre 2021, la CNIL a ainsi sanctionné la RATP par une amende administrative de 400 000 € pour avoir décompté le nombre de jours de grève de certains agents dans un fichier utilisé pour préparer les choix de promotion. La CNIL a en effet rappelé que, selon le principe de minimisation des données, les données à caractère personnel collectées par l’employeur doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Sur cette base, la RATP aurait donc dû limiter sa collecte aux seules données strictement nécessaires à l’évaluation des agents, ce qui n’était pas le cas en l’espèce.

Dernier point, et non des moindres : l’ensemble de ces questions doit être géré au-delà de la seule phase du recrutement. En effet, dans sa délibération du 29 octobre 2021, la CNIL avait également sanctionné la RATP en raison d’une durée de conservation excessive et de l’absence de garantie d’un niveau de confidentialité adéquat quant à des données sensibles. Il est donc indispensable de s’assurer que les employeurs se conforment au RGPD tant au moment du recrutement des collaborateurs que durant l’exécution du contrat, mais également au moment de la rupture du contrat de travail, les salariés et anciens salariés n’hésitant plus à faire valoir leur droit d’accès à leurs données personnelles.