#nLPD La nouvelle loi fédérale sur la protection des données entrera en vigueur le 1er septembre 2023.
Le 1er septembre 2023 entrera en vigueur la nouvelle version de la loi fédérale sur la protection des données en Suisse (ci-après nLPD). Parmi les changements prévus par cette nouvelle mouture figure le devoir d’informer en cas de décision individuelle automatisée.
L’intelligence artificielle (ci-après IA) développe un nombre toujours croissant d’outils permettant de gagner un temps précieux dans le quotidien des entreprises. C’est notamment le cas concernant les processus de recrutement durant lesquels, par exemple, de nombreux logiciels visant à trier les dossiers de candidatures sont utilisés afin de trouver les candidats pertinents pour le poste à pourvoir. Que prévoit la loi en cas de décision individuelle automatisée? Quelles en sont les conséquences pour les entreprises faisant usage de l’intelligence artificielle dans le cadre de leurs processus de recrutements? Que doivent mettre en place les recruteurs et à quoi doivent-ils être attentifs? Point de situation quelques jours avant l’entrée en vigueur de la nLPD.
Notion de décision individuelle automatisée
Selon l’article 21 alinéa 1 nLPD: «le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée)».
La loi fait référence à une décision exclusivement prise par une machine disposant d’un pouvoir d’appréciation, c’est-à-dire, requérant une interprétation de la situation1. Cela implique qu’aucune personne physique n’intervienne dans le processus de décision en y apportant son évaluation concrète de la situation. Le fait que la décision automatisée soit communiquée par une personne physique ne change rien au fait qu’elle soit considérée comme prise exclusivement par une machine. Le Conseil fédéral cite comme contre-exemple un retrait au bancomat engendrant la délivrance d’un montant demandé, pour autant que le solde en compte soit suffisant. Dans ce cas, la machine ne jouit pas d’un pouvoir d’appréciation lui permettant d’accepter le retrait dans l’hypothèse d’un solde de compte négatif2 (sur la base de critères complémentaires, comme lors de l’octroi d’un crédit par exemple).
Cette décision automatisée doit produire des effets juridiques sur la personne concernée ou ces effets juridiques doivent affecter la personne concernée de manière significative. Parmi les exemples applicables au domaine du recrutement d’employés, il y a lieu de citer les algorithmes de tri ou les tests de personnalité permettant une première sélection des candidatures correspondant le plus au poste à pourvoir.
Mesures imposées par la nLPD en cas de décision individuelle automatisée
En complément au devoir d’information prévu à l’alinéa 1, l’article 21 alinéa 2 nLPD dispose que: «si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique.»
Il s’agit donc d’un droit à être informé de la personne concernée, ainsi qu’un droit à faire valoir son point de vue sur le résultat de la décision ou de demander sur quels critères elle repose (art. 25 al.2 let. f nLPD)3. Il ne s’agit pas d’un droit à obtenir une modification de la décision initialement prise par la machine, mais d’un droit à un réexamen de la décision par une personne habilitée à l’annuler4. Selon le Conseil fédéral, le but est notamment d’éviter que le traitement de données soit effectué sur la base de données incomplètes, dépassées ou non pertinentes5.
À noter que le devoir d’information du responsable de traitement des données peut être exercé tant au moment de la notification de la décision automatisée, qu’avant le processus de décision, par le biais d’une déclaration de protection des données validée par le candidat6.
Exceptions au devoir d’informer
Selon l’article 21 alinéa 3 nLPD, le devoir d’informer, de faire valoir son point de vue, mais surtout de faire revoir la décision individuelle automatisée par une personne physique, n’existent pas dans deux hypothèses.
Premièrement, si «la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite» (let. a). Les exemples susmentionnés de décisions individuelles automatisées en matière de recrutement sont assurément en relation directe avec la conclusion d’un contrat de travail. Les candidats n’ayant pas obtenu d’entretien d’embauche avec les ressources humaines, suite au premier tri opéré par l’IA, ne voient pas leur demande satisfaite. À notre avis, ceux ayant décroché un tel entretien sont à considérer comme ayant reçu une réponse favorable à leur demande. En effet, selon nous, la demande des candidats ne doit pas être considérée comme étant la conclusion d’un contrat de travail, mais bien l’obtention d’un entretien d’embauche permettant d’évaluer l’intérêt de chacune des parties à une collaboration commune.
Deuxièmement, si «la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée» (let.b). Dans le cas d’un recrutement, afin qu’un consentement éclairé puisse être donné, les candidats devront être informés de manière suffisamment précise de ce à quoi ils renoncent, soit, en particuliers au réexamen de la décision automatisée par une personne physique7.
Conseil et conclusion
À notre sens, de la même manière que le devoir d’information prévu par l’article 21 alinéa 1 nLPD peut être exercé préalablement à la prise de décision automatisée8, l’obtention du consentement éclairé des candidats, (visant à accepter une décision automatisée les concernant) peut également être obtenu par le biais d’une déclaration de protection des données préalable à la candidature. Cette solution offre l’avantage de la simplicité, évitant de devoir faire face à une déferlante de demandes de réexamen par une personne physique de la décision prise par l’IA. Les buts de cette technologie au service des recruteurs, soit un gain de temps considérable et un meilleurs ciblage des profils intéressants, s’en trouveront ainsi préservés.
1David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle sur la protection des données, in : Jusletter 16 novembre 2020, §§ 107 et 108. 2Message du Conseil fédéral du 15 septembre 2017 sur la révision totale de la loi sur la protection des données, FF 2017 6565, 6674. 3Message du Conseil fédéral, FF 2017 6565, 6675. 4David Rosenthal, op. cit., § 113 5Message du Conseil fédéral, FF 2017 6565, 6675. 6David Rosenthal, op. cit., § 112 7David Rosenthal, op. cit., § 114 8David Rosenthal, op. cit., § 112
En autorisant les services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. Voir notre politique de confidentialité.