Outils de recrutement IA et conformité au RGPD pour les recruteurs au Royaume-Uni
La promesse du recrutement par IA est séduisante : des listes de présélection plus rapides, des informations plus riches et moins de tâches manuelles pour les équipes de talents débordées. Cependant, chaque ligne de code qui examine un CV traite également des données personnelles, plaçant les recruteurs britanniques sous le feu des projecteurs du RGPD britannique et du Bureau du Commissaire à l'information. Les faux pas peuvent exposer les candidats à un traitement injuste et exposer votre organisation à des mesures d'exécution. Ce guide vous montre comment tirer parti des gains d'efficacité de l'intelligence artificielle tout en donnant aux responsables de la protection des données (et aux conseils d'administration) une véritable tranquillité d'esprit. Pour en savoir plus, rendez-vous sur le site web de Hiros.
RGPD et IA : Ce que les recruteurs britanniques doivent savoir avant d'acheter des outils
Pourquoi les outils de recrutement par IA déclenchent un examen RGPD
Définitions légales clés que chaque recruteur doit maîtriser
Un cadre de conformité en sept étapes avant de signer tout contrat
Une liste de contrôle pour l'achat conviviale pour les recruteurs
Questions fréquemment posées sur le recrutement par IA et le RGPD britannique
Pourquoi les outils de recrutement par IA déclenchent un examen RGPD
L'intelligence artificielle fonctionne en découvrant des schémas dans de grands ensembles de données. Dans le recrutement, ces ensembles de données contiennent des CV, des entretiens vidéo, des psychométries, des marqueurs de diversité et parfois des informations sur la santé. Selon le RGPD britannique, ces données sont « personnelles », souvent de « catégorie spéciale », et généralement utilisées pour le profilage ou la prise de décision automatisée. Les audits de l'ICO 2023–2024 sur les vendeurs de recrutement par IA ont révélé une collecte excessive, une rétention indéfinie et des rôles de contrôleur-processeur peu clairs. En d'autres termes, le risque est systémique. Parce que les recruteurs sont les contrôleurs des données lorsqu'ils choisissent et configurent la technologie, la responsabilité légale repose d'abord sur « nous », non sur le vendeur.
Définitions légales clés que chaque recruteur doit maîtriser
Comprendre trois concepts du RGPD vous aidera à parler le même langage que votre DPO et vos fournisseurs.
Contrôleur versus processeur
Un recruteur qui décide « pourquoi » et « comment » les données sont traitées est le contrôleur. La plupart des fournisseurs de logiciels sont des processeurs (ils suivent vos instructions documentées), mais certains fournisseurs d'analyses agissent en tant que contrôleurs conjoints car ils réutilisent les données pour leurs propres modèles. Clarifiez ce statut par écrit avant tout essai.
Décisions automatisées de l'article 22
Si l'outil produit une décision uniquement par des moyens automatisés (par exemple, rejeter les candidats qui n'atteignent pas un seuil) et que la décision a un effet juridique ou similaire significatif, les restrictions de l'article 22 s'appliquent. Les candidats doivent pouvoir obtenir un examen humain et contester le résultat.
Évaluation de l'impact sur la protection des données (EIPD)
Une EIPD est obligatoire pour le traitement à haut risque tel que le profilage à grande échelle ou la technologie innovante. Le recrutement par IA coche les deux cases. L'évaluation doit être faite avant d'acheter, doit documenter les risques résiduels et peut nécessiter une consultation avec l'ICO si le risque ne peut être atténué.
Un cadre de conformité en sept étapes avant de signer tout contrat
Voici un chemin pratique que vos équipes d'acquisition de talents, légales et de confidentialité peuvent suivre ensemble. Chaque étape est alignée sur les recommandations de l'ICO et la jurisprudence récente. N'hésitez pas à adapter les termes à vos listes de contrôle d'achat.
1 Réalisez une EIPD lors de la phase de découverte
N'attendez pas la démonstration du fournisseur. Rassemblez les parties prenantes des RH, de l'IT, du service juridique et de la DE&I. Cartographiez les flux de données (de l'envoi d'un CV à la décision), identifiez les données de catégorie spéciale (par exemple, ethnicité déduite d'un nom) et dressez la liste des mesures pour atténuer le risque. Gardez l'évaluation active : mettez-la à jour lorsque vous vous étendez à de nouvelles géographies ou intégrez l'outil à votre ATS.
2 Confirmez la base légale et la transparence du candidat
Le recrutement repose généralement sur l'intérêt légitime plutôt que sur le consentement, mais cette base ne fonctionne que si votre intérêt est équilibré par les droits des candidats. Rédigez un avis de confidentialité qui fait référence spécifiquement à la logique de l'IA, aux catégories de données et au droit de contester les résultats automatisés. Publiez-le là où les candidats ne peuvent pas le manquer : sur l'annonce d'emploi, le formulaire de candidature et le site de carrières.
3 Négociez des contrats de processeur robustes
Le RGPD britannique énumère les clauses exactes que vous devez inclure lorsqu'un processeur manipule des données pour votre compte (par exemple, obligations de confidentialité et approbation des sous-processeurs). Ajoutez des annexes spécifiques à l'IA qui obligent le fournisseur à :
Stocker les données des candidats britanniques au Royaume-Uni ou dans un pays tiers adéquat
Divulguer des métriques d'exactitude et des tests de biais à chaque nouvelle version d'algorithme
Supprimer ou retourner les données personnelles une fois que l'objectif de recrutement est atteint
Soutenir les demandes des personnes concernées dans les délais légaux
Si le fournisseur est un contrôleur conjoint, remplacez le langage du processeur par un accord de contrôleur conjoint qui attribue la responsabilité des avis, des DSAR et des violations.
4 Minimisez les données et la rétention
Posez une simple question : « De quels points de données le modèle a-t-il vraiment besoin pour bien fonctionner ? » Supprimez les champs optionnels qui s'insinuent dans les formulaires de candidature (par exemple, ancien salaire, statut marital). Lorsque l'outil propose de récupérer des données sur les réseaux sociaux ou des psychométries ludiques, interrogez sa nécessité. Réglez la rétention par défaut à la période la plus courte qui vous permet encore de défendre les réclamations de discrimination (de nombreuses organisations choisissent de six à douze mois).
5 Testez les biais et gérez les données de catégorie spéciale
Avant la mise en production, effectuez un pilote en utilisant des données historiques bien étiquetées. Comparez les résultats entre sexe, ethnicité, âge, handicap et indicateurs socio-économiques. Si l'algorithme défavorise un groupe protégé, itérez avec le fournisseur ou abandonnez le modèle. Pour les données de catégorie spéciale, basez-vous sur une exemption de l'article 9(2)(b) (droit du travail) ou un consentement explicite du candidat. Documentez chaque chemin de décision dans l'EIPD.
6 Activez les droits des personnes concernées de bout en bout
Les candidats peuvent demander l'accès, la rectification ou l'effacement de leurs données, même si elles se trouvent dans le cloud du vendeur. Construisez un processus conjoint pour que les demandes soient filtrées par votre prise en charge habituelle des DSAR et déclenchent un appel API ou une exportation en masse depuis l'outil. Pour les rejets automatisés, assurez-vous qu'un recruteur nommé fournisse une revue humaine significative à la demande.
7 Surveillez, auditez, répétez
Les risques évoluent à mesure que le vendeur réentraîne les modèles ou que vous changez les critères de sélection. Instituez des audits annuels qui relancent les tests de biais, revérifient la rétention et confirment qu'aucun nouvel ensemble de données n'a été ingéré sans approbation. Incorporez l'outil dans votre programme plus large de gestion des risques fournisseurs pour que les certifications de sécurité et les journaux de violations soient examinés aux côtés des fournisseurs de salaires ou de prestations.
Une liste de contrôle pour l'achat conviviale pour les recruteurs
Le tableau ci-dessous résume les questions à poser à chaque fournisseur et les preuves à obtenir. Copiez la liste dans votre modèle de RFP pour gagner du temps.
Zone de conformité | Questions à poser | Preuves à obtenir
|
|---|---|---|
Base légale & transparence | « Quelle base légale supposez-vous que les contrôleurs utilisent ? » « Montrez un exemple d'avis de confidentialité pour les candidats. » | Préavis de projet, modèle EIPD |
Contrôleur ou processeur | « Réutilisez-vous nos données pour entraîner des modèles globaux ? » | Diagramme de flux de données, projet de contrat |
Biais & équité | « À quelle fréquence testez-vous l'impact disparate sur le sexe, l'ethnicité, le handicap ? » | Dernier rapport d'audit des biais, méthodologie |
Sécurité & hébergement | « Où sont stockées les données ? Quelles certifications détenez-vous ? » | Rapport ISO 27001 ou SOC 2, liste des régions des centres de données |
Rétention des données | « Quelle est la période de rétention par défaut ? Pouvons-nous la configurer ? » | Capture d'écran du manuel du produit, clause SLA |
Droits des personnes concernées | « Décrivez votre flux de travail DSAR de bout en bout. » | Diagramme de flux de travail, SLA de support |
Questions fréquemment posées sur le recrutement par IA et le RGPD britannique
Tous les outils de sélection par IA déclenchent-ils l'article 22 ?
Non. L'article 22 s'applique uniquement lorsqu'une décision est prise uniquement par des moyens automatisés et produit un effet juridique ou similaire significatif (par exemple, le rejet d'un candidat). Si un recruteur examine toujours la suggestion de l'IA avant de décider, l'article 22 peut ne pas s'appliquer, mais les règles de transparence et d'équité sont toujours en vigueur.
Le consentement du candidat est-il la voie la plus sûre ?
Souvent, le consentement dans le recrutement n'est pas « librement donné » car il y a un déséquilibre de pouvoir entre l'employeur et le candidat. L'intérêt légitime, équilibré par une EIPD robuste et un avis clair, est généralement recommandé. Cependant, le consentement explicite est requis si vous vous basez sur des données sensibles telles que les indicateurs de santé issus de l'analyse vidéo.
Pouvons-nous utiliser des vendeurs basés aux États-Unis ?
Oui, mais vous devez mettre en place un mécanisme de transfert valide tel que l'extension britannique au Cadre de protection de la vie privée UE-États-Unis ou les Clauses contractuelles types avec une évaluation des risques de transfert. Vous restez responsable de garantir une protection équivalente.
Comment prouver l'équité à l'ICO ?
Gardez des enregistrements détaillés des tests de biais : échantillons de données, métriques (par exemple, ratio d'impact négatif), étapes de remédiation et dates de validation. Le rapport d'audit de l'ICO a souligné ce manque de documentation chez plusieurs fournisseurs. Les preuves l'emportent sur les promesses.
Que se passe-t-il si le vendeur change son algorithme ?
Votre contrat doit exiger un préavis, une re-validation, et un droit de suspendre l'utilisation jusqu'à ce que des tests confirment la conformité. Ajoutez ces déclencheurs dans les revues de service pour qu'ils ne soient pas négligés.
Réunir tous les éléments
Utilisés de manière responsable, les plateformes de recrutement par IA peuvent réduire le temps de recrutement et élargir les viviers de talents. La clé est d'intégrer les contrôles de confidentialité et d'équité dès le premier jour, plutôt que de les ajouter après l'intervention d'un régulateur. En réalisant une EIPD, en exigeant des contrats transparents et en testant les biais avant chaque déploiement, les recruteurs transforment les obligations légales en avantage concurrentiel.
Pour obtenir des informations stratégiques sur la façon dont la technologie transforme les décisions relatives aux talents, visitez notre blog et gardez votre organisation un cran en avance.
Vous avez des questions ? Contactez notre équipe pour découvrir comment les solutions de recrutement par IA peuvent vous être bénéfiques.
