Est-ce qu'une entreprise qui recrute au Luxembourg doit informer les candidats de l'utilisation d'un tri automatisé des candidatures ?
Réponse courte
L'employeur doit obligatoirement informer les candidats, conformément au RGPD, de l'utilisation d'un tri automatisé avant le début du processus de recrutement, au plus tard lors de la collecte des données. Cette information doit être claire, accessible et complète, détailler la nature du traitement, sa finalité et les droits des candidats, notamment celui d'obtenir une intervention humaine dans la décision finale selon l'article 22 du RGPD.
L'information doit être fournie par écrit, dans l'offre d'emploi ou le formulaire de candidature, et inclure la logique sous-jacente au traitement, les catégories de données utilisées et les droits spécifiques du candidat. La CNPD recommande de conserver les preuves de l'information transmise. Le non-respect expose l'employeur à des sanctions administratives pouvant atteindre 4 % du chiffre d'affaires mondial.
Définition
Le tri automatisé des candidatures désigne tout processus utilisant des systèmes informatiques, algorithmiques ou d'intelligence artificielle pour analyser, évaluer ou présélectionner des candidatures sans intervention humaine directe initiale. Ce traitement automatisé peut inclure l'analyse de CV, le filtrage par mots-clés, l'évaluation automatique des compétences ou le scoring des profils. Cette technologie constitue une décision automatisée au sens du RGPD, encadrée par les règles d'utilisation de l'IA en recrutement et doit être encadrée strictement pour protéger les droits des candidats.
Conditions d’exercice
L'utilisation d'un tri automatisé des candidatures est soumise aux conditions cumulatives suivantes.
| Critère | Détail |
|---|---|
| Information préalable | Information transparente sur l'existence, la nature et la logique du traitement (art. 13 RGPD) |
| Conséquences | Explication des conséquences potentielles pour le candidat |
| Intervention humaine | Significative dans la décision finale (art. 22 RGPD) |
| Contestation | Possibilité de contester les décisions automatisées et droit d'explication |
| Égalité de traitement | Respect du principe (art. L.251-1) |
| Documentation | Traçabilité complète du processus, conformité RGPD et loi luxembourgeoise |
Modalités pratiques
L'obligation d'information sur le tri automatisé s'applique selon les modalités suivantes.
| Aspect | Détail |
|---|---|
| Forme | Information fournie par écrit |
| Contenu obligatoire | Existence et finalité du tri, catégories de données, logique du traitement, conséquences et droits du candidat |
| Droits spécifiques | Intervention humaine, contestation, accès aux données |
| Supports | Offre d'emploi, formulaire de candidature, politique de confidentialité, communications avec le candidat |
| Délai | Avant la collecte des données personnelles, au plus tard lors de la soumission de candidature |
| Réitération | En cas de nouvelles étapes automatisées |
Pratiques et recommandations
En matière de documentation et de transparence, il est recommandé de rédiger l'information en langage clair et accessible, de conserver les preuves de l'information transmise conformément aux recommandations de la CNPD, et de documenter précisément les critères de tri automatisé utilisés. La traduction de l'information dans les langues appropriées (français, luxembourgeois, allemand) est également conseillée.
Sur le plan des processus, former régulièrement les équipes RH aux obligations RGPD, établir un processus de validation humaine systématique et mettre en place une procédure de contestation simple et rapide sont des pratiques essentielles. Des audits réguliers des algorithmes doivent être prévus pour détecter les biais.
Le dialogue social impose de consulter la délégation du personnel sur l'implémentation et d'informer régulièrement les représentants sur les résultats et ajustements du système.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. 13 | Informations à fournir lors de la collecte des données |
| Art. 22 | Décisions individuelles automatisées et droits des personnes |
| Art. 35 | Analyse d'impact relative à la protection des données (obligatoire) |
| Art. L.261-1 | Protection des données dans la relation de travail |
| Art. L.251-1 | Principe d'égalité de traitement à l'embauche |
| Art. L.414-4 | Consultation de la délégation du personnel (si applicable) |
| Loi du 1er août 2018 | portant organisation de la CNPD et mise en œuvre du RGPD |
| AI Act européen | obligations renforcées pour les systèmes de recrutement IA |
Note
Le non-respect de ces obligations d'information peut entraîner des sanctions administratives de la CNPD pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros selon l'article 83 du RGPD. L'intervention humaine reste strictement obligatoire pour toute décision finale de recrutement - le tri automatisé ne peut servir qu'à la présélection, jamais à l'exclusion définitive d'un candidat. La CNPD luxembourgeoise effectue régulièrement des contrôles sur ces pratiques.