Quelles données un outil d'IA de recrutement peut-il légalement analyser au Luxembourg ?
Réponse courte
Un outil d'IA de recrutement ne peut analyser que les données strictement nécessaires à l'évaluation de l'adéquation du candidat au poste, conformément au principe de minimisation des données (article 5.1.c obligations RGPD). Les données autorisées couvrent les compétences professionnelles, les qualifications, l'expérience et les aptitudes directement liées au poste.
Les données sensibles (origine ethnique, opinions politiques, santé, orientation sexuelle, convictions religieuses) sont interdites de traitement sauf exceptions limitées. Les données issues des réseaux sociaux personnels ne peuvent être exploitées que si elles sont publiquement accessibles et pertinentes pour le poste. L'employeur doit documenter la justification de chaque catégorie de données traitées.
Définition
Les données analysables en recrutement par IA désignent les catégories d'informations personnelles qu'un système d'intelligence artificielle est juridiquement autorisé à traiter dans le cadre de l'évaluation des candidatures. Le cadre applicable combine le principe de minimisation des données du RGPD, les interdictions de l'article L.251-1 du Code du travail et les exigences de l'AI Act.
Le principe directeur est l'adéquation : seules les données présentant un lien direct et nécessaire avec les compétences requises pour le poste peuvent être traitées. Toute collecte excédant cette finalité constitue un traitement illicite.
Questions fréquentes
Conditions d’exercice
Les catégories de données autorisées et interdites sont définies par le cadre réglementaire applicable.
| Catégorie | Détail |
|---|---|
| Données autorisées | Compétences techniques et professionnelles, qualifications et diplômes, expérience professionnelle, langues parlées, aptitudes liées au poste, disponibilité, prétentions salariales |
| Données conditionnelles | Données des réseaux sociaux professionnels (LinkedIn) si publiquement accessibles et pertinentes ; tests psychométriques avec consentement et information préalable |
| Données sensibles interdites (art. 9 RGPD) | Origine raciale/ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, données biométriques, données de santé, orientation sexuelle |
| Données interdites par le Code du travail | Situation familiale, grossesse, handicap (sauf aménagement requis), âge (sauf exigence professionnelle essentielle), nationalité (sauf exigence légale) |
| Minimisation (art. 5.1.c RGPD) | Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité |
| Limitation de conservation (art. 5.1.e RGPD) | Durée de conservation limitée à la durée du processus de recrutement, sauf consentement pour un vivier de candidatures |
Modalités pratiques
La mise en conformité exige une cartographie précise des données traitées par l'IA de recrutement.
| Étape | Détail |
|---|---|
| Inventaire des données | Lister exhaustivement les données collectées et traitées par l'outil IA, y compris les métadonnées et données dérivées |
| Test de nécessité | Vérifier pour chaque catégorie de données le lien direct avec les compétences requises pour le poste |
| Exclusion des données sensibles | Configurer l'outil pour exclure automatiquement les données sensibles et les variables proxy |
| Paramétrage par poste | Adapter les critères de l'IA au profil du poste pour ne traiter que les données pertinentes pour chaque recrutement |
| Information des candidats | Communiquer la liste des données traitées dans la notice d'information RGPD |
| Audit de conformité | Vérifier périodiquement que l'IA ne traite pas de données au-delà du paramétrage initial (dérive algorithmique) |
Pratiques et recommandations
Établir une liste positive des données autorisées par catégorie de poste plutôt qu'une liste négative de données interdites, pour limiter les risques d'oubli et garantir le respect du principe de minimisation.
Configurer l'outil d'IA pour anonymiser automatiquement les données non pertinentes (photo, prénom, adresse, date de naissance) lors de l'analyse initiale des candidatures, afin de réduire les risques de biais algorithmiques.
Réaliser une AIPD avant le déploiement de l'outil pour évaluer les risques liés au traitement des données de candidature et définir les mesures de protection appropriées.
Informer les candidats de manière transparente sur les catégories exactes de données analysées par l'IA et les critères de scoring utilisés, pour garantir le droit à l'explication.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD - Article 5.1.c | Principe de minimisation des données |
| RGPD - Article 5.1.e | Limitation de la conservation des données |
| RGPD - Article 9 | Interdiction du traitement des données sensibles |
| RGPD - Article 6 | Bases juridiques du traitement |
| RGPD - Article 35 | Analyse d'impact relative à la protection des données |
| Art. L.251-1 | Interdiction de la discrimination dans le recrutement |
| AI Act - Article 10 | Exigences de qualité des données pour systèmes à haut risque |
Note
Le respect du principe de minimisation des données est un enjeu majeur pour les outils d'IA de recrutement, qui sont techniquement capables de traiter un volume de données bien supérieur à ce qui est juridiquement autorisé. L'employeur doit exercer un contrôle strict sur le paramétrage initial et la dérive des données en production.
La CNPD peut contrôler à tout moment les catégories de données effectivement traitées par l'IA et sanctionner les traitements excédant la finalité déclarée.