RGPD & Éthique

RGPD et recrutement par IA : obligations et bonnes pratiques

Bases légales, droits des candidats, biais algorithmiques : tout ce que les recruteurs doivent savoir pour utiliser l'IA en conformité avec le droit européen.

Par Équipe RelaSync ·

L’intelligence artificielle dans le recrutement soulève des questions légales et éthiques légitimes. Les recruteurs et DRH qui adoptent des outils d’IA ont des obligations précises en matière de protection des données personnelles — et des risques réels en cas de non-conformité. Ce guide fait le point sur l’essentiel.

Rappel : pourquoi le RGPD s’applique au recrutement par IA

Le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) s’applique à tout traitement de données personnelles de personnes résidant dans l’Union Européenne. Les données de candidats — nom, email, CV, résultats d’entretien, données comportementales — sont des données personnelles au sens du RGPD.

L’IA dans le recrutement crée un traitement particulier : les données candidats ne sont pas seulement stockées, elles sont analysées algorithmiquement pour produire des scores, des classements, des recommandations. Ce traitement automatisé déclenche des obligations spécifiques.

La base légale : l’intérêt légitime n’est pas universel

Tout traitement de données personnelles doit reposer sur une base légale au sens de l’article 6 du RGPD. Dans le contexte du recrutement, les deux bases les plus couramment invoquées sont :

L’exécution de mesures précontractuelles (article 6.1.b) : légale pour traiter les données d’un candidat qui a postuler à une offre précise. Cette base couvre le traitement de sa candidature.

L’intérêt légitime (article 6.1.f) : souvent utilisé pour conserver des CV dans une CVthèque après la fin du processus de recrutement. Mais cette base n’est pas automatique : elle requiert un test de mise en balance (vos intérêts vs. les droits des candidats) documenté, et une durée de conservation limitée.

Le consentement (article 6.1.a) : techniquement possible, mais difficile à maintenir valablement dans le temps. Un consentement donné il y a 3 ans pour stocker un CV est-il toujours valable ? Dans la plupart des cas, non.

Point important sur les CVthèques : conserver des candidats passifs dans votre base pendant des années sans base légale valide expose votre organisation à des sanctions. La pratique courante — garder tous les CV indéfiniment — est généralement non conforme.

Les droits des candidats que vous devez respecter

Les candidats dont vous traitez les données disposent de droits qu’ils peuvent exercer à tout moment :

Droit d’accès (article 15) : tout candidat peut demander à voir les données que vous détenez sur lui, y compris les scores algorithmiques et les notes recruteur.

Droit de rectification (article 16) : si les données sont inexactes, le candidat peut en demander la correction.

Droit à l’effacement (article 17) : le candidat peut demander la suppression de ses données. Des exceptions existent (obligations légales, défense de droits en justice), mais dans la majorité des cas, la demande doit être honorée.

Droit d’opposition (article 21) : si votre base légale est l’intérêt légitime, le candidat peut s’opposer au traitement. Dans ce cas, vous devez cesser le traitement sauf raisons légitimes impérieuses.

Droit de ne pas faire l’objet d’une décision automatisée (article 22) : point crucial pour l’IA de recrutement. Si une décision significative (rejet d’une candidature, invitation à entretien) est prise par un algorithme sans intervention humaine, le candidat peut contester cette décision et exiger qu’elle soit revue par une personne.

Les décisions automatisées : une zone de risque majeure

L’article 22 du RGPD est la disposition la plus directement pertinente pour l’IA de recrutement. Il interdit les décisions produisant des effets juridiques ou affectant significativement une personne lorsqu’elles sont fondées uniquement sur un traitement automatisé.

En pratique, cela signifie :

  • Un algorithme peut aider à classer des candidatures, suggérer des profils, calculer des scores de pertinence
  • Mais une décision finale (rejet définitif, embauche) doit impliquer une intervention humaine réelle, documentée
  • Le recruteur doit être en mesure d’expliquer pourquoi il a retenu ou écarté un candidat, au-delà du score algorithmique

Les outils d’IA conformes — comme RelaSync — fournissent des scores de pertinence comme aide à la décision, jamais comme décision automatique.

La question des biais algorithmiques

Au-delà du droit, l’éthique du recrutement par IA soulève la question des biais. Les modèles d’IA sont entraînés sur des données historiques — qui reflètent les biais humains passés.

L’exemple canonique est celui d’Amazon en 2018 : son outil de recrutement IA, entraîné sur 10 ans d’embauches (majoritairement masculines en tech), avait appris à pénaliser les CV mentionnant le mot « femmes ». L’outil a été retiré.

Les risques de biais dans les outils d’IA RH portent notamment sur :

  • Le genre : si vos recrutements historiques sont genrés, le modèle peut reproduire ce biais
  • L’origine : les prénoms et noms peuvent être des proxies de l’origine ethnique
  • L’âge : des formulations sur l’« énergie » ou la « flexibilité » peuvent défavoriser des profils seniors
  • La formation : si les recrutements passés favorisaient certaines écoles, l’IA peut apprendre ce biais

Pour mitiger ces risques : choisissez des outils dont les fournisseurs peuvent documenter leurs procédures de débiaisage, auditez régulièrement les outputs de l’IA pour détecter des patterns suspects, et ne laissez jamais l’IA décider seule.

Les obligations documentaires

La conformité RGPD n’est pas seulement comportementale — elle est documentaire.

Registre des activités de traitement (article 30) : votre organisation doit tenir à jour un registre qui inclut tous vos traitements de données RH, y compris le recrutement par IA. Pour chaque traitement : finalité, base légale, durée de conservation, destinataires, mesures de sécurité.

Analyse d’Impact (AIPD, article 35) : si vous utilisez une IA de recrutement pour des décisions ayant un impact significatif sur les candidats, une Analyse d’Impact sur la Protection des Données est probablement requise. Consultez votre DPO.

Contrat de sous-traitance : si vous utilisez un fournisseur externe pour l’IA (comme RelaSync), un DPA (Data Processing Agreement) doit être signé, décrivant les obligations du sous-traitant.

Bonnes pratiques pour une utilisation conforme

En résumé, voici les actions concrètes pour utiliser l’IA de recrutement en conformité :

  1. Définissez et documentez votre base légale pour chaque phase du traitement (candidature active, CVthèque passive)
  2. Limitez les durées de conservation : 2 ans maximum pour les candidatures non retenues est une bonne pratique
  3. Informez les candidats dans votre politique de confidentialité que vous utilisez des outils d’IA pour analyser les candidatures
  4. Assurez une intervention humaine réelle dans toutes les décisions d’embauche ou de rejet
  5. Formez vos recruteurs aux droits des candidats et aux procédures à suivre en cas d’exercice de droits
  6. Auditez régulièrement vos outils IA pour détecter des biais émergents

La conformité RGPD dans le recrutement par IA n’est pas un obstacle — c’est un cadre qui, bien intégré, crée de la confiance avec les candidats et protège l’entreprise de risques légaux significatifs.

Prêt à tester RelaSync ?

3 recherches gratuites par mois, sans carte bancaire.

Rejoindre la liste d'attente