IA et recrutement : cadre légal et discrimination

L’utilisation de l’intelligence artificielle dans les processus de recrutement connaît une croissance exponentielle. Tri automatisé de CV, analyse sémantique des candidatures, entretiens vidéo avec détection d’emotions, chatbots de pré-sélection, systèmes de matching candidat-poste : les outils d’IA appliqués au recrutement se diversifient et se sophistiquent. Selon les estimations disponibles, plus de 60 % des grandes entreprises utilisent déjà au moins un outil fondé sur l’IA dans leur processus de recrutement.

Cette adoption massive soulevé des questions juridiques fondamentales. Le recrutement touche directement à l’accès à l’emploi, un droit fondamental, et les décisions de recrutement sont particulièrement exposées au risque de discrimination. Le AI Act a classe les systèmes d’IA utilisés en matière de recrutement parmi les systèmes à haut risque, leur imposant un régime d’obligations renforcé. Cette classification se conjugué avec les dispositions du RGPD, du Code du travail et du droit de la non-discrimination pour former un cadre juridique dense que les employeurs doivent impérativement maîtriser.

Le cadre juridique applicable à l’IA en matière de recrutement

La classification à haut risque par le AI Act

L’annexe III du AI Act inclut explicitement les systèmes d’IA utilisés dans le domaine de l’emploi, de la gestion de la main-d’oeuvre et de l’accès à l’emploi indépendant parmi les systèmes à haut risque. Sont spécifiquement visés les systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, pour analyser et filtrer des candidatures et pour évaluer des candidats.

Cette classification emporté l’application de l’ensemble des obligations prévues aux articles 8 à 15 du règlement : système de gestion des risques, exigences de qualité des données, documentation technique, enregistrement des évènements, transparence, contrôle humain, précision et robustesse. Le non-respect de ces obligations exposé les fournisseurs et les deployeurs à des sanctions pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial.

Le RGPD et les décisions automatisées en matière de recrutement

Le RGPD encadré de manière spécifique les traitements de données personnelles dans le cadre du recrutement. L’article 22 du RGPD interdit en principe les décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou des effets significatifs similaires à l’égard de la personne concernée. Une décision de rejet d’une candidature constitue incontestablement une décision produisant des effets juridiques significatifs.

Cette interdiction connaît trois exceptions : la décision est nécessaire à la conclusion ou à l’exécution d’un contrat, elle est autorisée par le droit de l’Union ou le droit national, ou elle est fondée sur le consentement explicite de la personne. Même dans ces cas, des garanties doivent être mises en place, notamment le droit d’obtenir une intervention humaine, le droit d’exprimer son point de vue et le droit de contester la décision.

La CNIL a précisé que l’utilisation de systèmes d’IA pour le tri de candidatures nécessitait la réalisation d’une analyse d’impact relative à la protection des données (AIPD), compte tenu de la nature sensible du contexte (emploi) et de l’échelle du traitement. Cette AIPD doit évaluer les risques de discrimination et les mesures de mitigation mises en oeuvre.

Le Code du travail et le principe de pertinence

L’article L1221-6 du Code du travail, disponible sur Legifrance, dispose que les informations demandées au candidat à un emploi doivent présenter un lien direct et nécessaire avec l’emploi propose ou avec l’évaluation des aptitudes professionnelles. Ce principe de pertinence s’applique intégralement aux données collectées et analysees par les systèmes d’IA de recrutement.

L’article L1221-8 impose en outre une obligation d’information préalable du candidat sur les méthodes et techniques d’aidé au recrutement utilisées à son égard. Cette obligation couvre explicitement l’utilisation de systèmes d’IA et impose de communiquer au candidat l’existence du traitement algorithmique et ses modalités de fonctionnement.

Les risques de discrimination algorithmique

Les biais dans les données d’entraînement

La discrimination algorithmique en matière de recrutement trouvé sa source principale dans les biais présents dans les données d’entraînement. Lorsqu’un système d’IA est entraîne sur des données historiques de recrutement, il reproduit et amplifie les biais discriminatoires contenus dans ces données. L’exemple emblématique reste celui du système d’IA de recrutement d’Amazon, abandonné en 2018, qui penalisait systématiquement les candidatures feminines parce qu’il avait été entraîne sur dix ans de données de recrutement reflétant la predominance masculine dans le secteur technologique.

Les biais de données peuvent se manifester de multiples façons : sous-représentation de certains groupes dans les données d’entraînement, corrélation entre des variables apparemment neutres et des caractéristiques protégées (biais par proxy), déséquilibre dans la répartition des labels de succès entre différents groupes.

Les biais de conception

Au-delà des données, la conception même du système peut introduire des biais discriminatoires. Le choix des variables prédictives, la définition de la metrique de performance, l’architecture du modèle et les hyperparametres de l’algorithme sont autant de décisions de conception qui peuvent favoriser certains groupes au détriment d’autres.

Par exemple, un système utilisant le code postal comme variable prédictive peut introduire une discrimination indirecte fondée sur l’origine ethnique ou la condition sociale, ces caractéristiques étant statistiquement correlees à la localisation géographique. De même, un système analysant la stabilité professionnelle peut penaliser indirectement les femmes, dont les parcours professionnels sont plus souvent marques par des interruptions liées à la maternité.

Les biais d’interaction

Les systèmes d’IA de recrutement qui interagissent directement avec les candidats, comme les chatbots d’entretien ou les systèmes d’analyse vidéo, peuvent générer des biais liés aux modalités d’interaction. Un système d’analyse vocale peut penaliser les locuteurs non natifs ou les personnes souffrant de troubles de l’elocution. Un système d’analyse des expressions faciales peut desavantager les personnes atteintes de certains handicaps affectant l’expression faciale.

Les obligations spécifiques en matière de non-discrimination

Les exigences du AI Act en matière de qualité des données

L’article 10 du AI Act impose aux fournisseurs de systèmes d’IA à haut risque des obligations spécifiques en matière de qualité des données d’entraînement. Les jeux de données doivent être pertinents, suffisamment représentatifs et, dans toute la mesure du possible, exempts d’erreurs et complets au regard de la finalité prévue. Le fournisseur doit prendre en compte les caractéristiques propres au contexte géographique, comportemental, fonctionnel ou culturel dans lequel le système est destiné a être utilise.

L’article 10, paragraphe 5, autorise explicitement le traitement de catégories spéciales de données à caractère personnel (origine ethnique, convictions religieuses, orientation sexuelle, etc.) dans la stricte mesure où cela est nécessaire pour détecter et corriger les biais. Cette disposition, qui dérogé aux interdictions du RGPD, témoigne de la prise de conscience par le législateur de la nécessite de disposer de données relatives aux caractéristiques protégées pour pouvoir identifier et corriger les discriminations algorithmiques.

L’obligation d’audit de non-discrimination

Les fournisseurs de systèmes d’IA de recrutement doivent intégrer dans leur système de gestion des risques une évaluation spécifique des risques de discrimination. Cette évaluation doit couvrir l’ensemble des critères de discrimination prohibes par le droit européen et national. L’audit algorithmique constitue l’outil methodologique de référence pour cette évaluation.

Cet audit doit vérifier l’équité des résultats du système à travers plusieurs métriques : taux de sélection differentiel (disparate impact), égalité des chances (equalized odds), égalité des taux de faux positifs et de faux négatifs entre les différents groupes. Le choix de la metrique d’équité est une décision juridiquement significative, car les différentes métriques ne sont pas nécessairement compatibles entre elles.

La transparence vis-à-vis des candidats

Le cumul des obligations du RGPD, du Code du travail et du AI Act impose un niveau de transparence élevé vis-à-vis des candidats. L’employeur déployant un système d’IA de recrutement doit informer les candidats de l’utilisation d’un système d’IA dans le processus de sélection, des catégories de données traitées et de leur finalité, de la logique sous-jacente du traitement algorithmique, de l’existence ou non d’une intervention humaine dans le processus de décision, de leurs droits, notamment le droit d’obtenir une intervention humaine et le droit de contester la décision.

Cette information doit être fournie de manière claire, compréhensible et accessible avant le début du traitement. La conformité RGPD impose par ailleurs de préciser les catégories de données collectées, les durées de conservation et les droits des personnes concernées.

Les bonnes pratiques de mise en conformité

L’approche par la gestion des risques

La mise en conformité d’un système d’IA de recrutement doit s’inscrire dans une approche globale de gestion des risques, combinant les exigences du AI Act et du RGPD. Cette approche implique une cartographie préalable des risques de discrimination inherents au système, une évaluation de la representativite des données d’entraînement, des tests de non-discrimination réguliers sur les résultats du système, la mise en place de mécanismes de correction des biais detectes et un suivi continu des performances du système en production.

Le contrôle humain effectif

Le contrôle humain dans le contexte du recrutement ne doit pas se réduire à une simple validation formelle des résultats produits par le système d’IA. Les personnes en charge du contrôle doivent disposer de la compétence, de l’autorité et des moyens nécessaires pour évaluer de manière critique les résultats du système, pour s’écarter de ses recommandations et pour décider de ne pas l’utiliser dans des cas spécifiques.

En pratique, cela implique une formation adéquate des recruteurs aux limités et aux biais potentiels du système, une capacité effective a visualiser les critères ayant détermine le classement ou le rejet d’une candidature, et la possibilité concrète de reintegrer dans le processus des candidatures ecartees par le système.

La documentation et la traçabilité

La documentation technique du système doit inclure les choix de conception, les données d’entraînement, les métriques de performance et les résultats des tests de non-discrimination. Le registre des systèmes d’IA doit être tenu à jour pour les systèmes utilisés en recrutement. La sous-traitance du traitement de données à des fournisseurs de solutions d’IA de recrutement doit faire l’objet de clauses contractuelles spécifiques conformes à l’article 28 du RGPD.

L’ensemble de ces exigences doit être documenté et conservé pour permettre une conformité verifiable en cas de contrôle par les autorités compétentes.

FAQ

L’utilisation de l’IA pour le tri de CV est-elle légale en France ?

L’utilisation de l’IA pour le tri de CV est légale en France, sous reserve du respect d’un ensemble d’obligations strictes. Le système doit être conforme aux exigences du AI Act applicables aux systèmes à haut risque (gestion des risques, qualité des données, transparence, contrôle humain). Le traitement doit respecter le RGPD, notamment l’article 22 relatif aux décisions automatisées : si le système procédé à un tri eliminatoire sans intervention humaine, le candidat doit en être informe et avoir le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision. L’employeur doit informer le candidat de l’utilisation du système conformément à l’article L1221-8 du Code du travail. Enfin, une AIPD doit être réalisée préalablement au déploiement du système.

Comment prouver que mon système d’IA de recrutement n’est pas discriminatoire ?

La preuve de l’absence de discrimination d’un système d’IA de recrutement repose sur une démarche documentée et continue. Elle implique la réalisation d’audits réguliers de non-discrimination portant sur les résultats du système, ventiles par critères protégés (genre, âge, origine, handicap). Les métriques d’équité doivent être choisies et documentées : taux de sélection differentiel (la règle des 4/5e américaine constitue un repere, mais n’est pas un seuil légalement consacré en droit français), égalité des taux de faux positifs et de faux négatifs. Les résultats de ces audits doivent être conservés dans la documentation technique du système. En cas de biais détecté, les mesures correctives mises en oeuvre doivent être documentées et leur efficacité vérifiée.

Quelles sont les sanctions en cas de discrimination par un système d’IA de recrutement ?

Les sanctions s’articulent a trois niveaux. Au titre du AI Act, le non-respect des obligations applicables aux systèmes à haut risque est sanctionné par des amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Au titre du RGPD, les violations relatives aux décisions automatisées et à la protection des données sont sanctionnées par des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Au titre du droit du travail et du droit pénal, la discrimination à l’embauche est punie de 3 ans d’emprisonnement et de 45 000 euros d’amende (article 225-2 du Code pénal). La victime peut en outre obtenir des dommages et intérêts devant les juridictions civiles ou prudhomales. Le régime probatoire est amenage : le candidat doit présenter des éléments laissant supposer l’existence d’une discrimination, et il appartient ensuite à l’employeur de prouver que sa décision est fondée sur des éléments objectifs étrangers à toute discrimination.