Quelles sont les principales préoccupations légales associées à l’utilisation des ATS (Applicant Tracking System) dans le recrutement ?
Tout d’abord, il convient de définir ce qu’est l’ATS et de comprendre ce que cet outil apporte aux ressources humaines. L’ATS, qui signifie Applicant Tracking System, est une plateforme informatique utilisée pour gérer les processus de recrutement. En français, on le désigne souvent comme un logiciel de recrutement ou un logiciel de gestion des candidatures. Cet outil est conçu pour permettre par exemple la collecte des candidatures, leur analyse et leur tri, leur stockage, d’automatiser des actions comme l’envoi de messages et d’obtenir des reporting. Toutes ces tâches facilitent le sourcing et le suivi des dossiers des recrutements tout au long du processus d’embauche. Aujourd’hui à l’ère du numérique, cet outil est devenu un incontournable pour les entreprises cherchant à rationaliser leurs processus de recrutement.
Cela dit, derrière cette technologie se cachent certaines préoccupations juridiques qui doivent être prises en compte par les employeurs, notamment en matière de protection des données personnelles et de droit du travail.
S’agissant du volet relatif à la protection des données personnelles des candidats, il faut préciser que le traitement de leurs données a pour finalité la gestion du recrutement, qui constitue une sous-finalité du traitement relatif à la gestion des ressources humaines. A ce titre, les employeurs, en qualité de responsables de traitement, doivent s’inscrire dans une mise en conformité à la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et plus spécifiquement à la délibération de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) n° 298-AU-2014 du 11/04/2014 portant modèle de demande d’autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des Ressources Humaines.
En matière de droit du travail, on peut évoquer la problématique de la discrimination en ce qui concerne l’embauchage. Le principe de l’interdiction de toute discrimination fondée notamment sur le sexe ou la situation conjugale peut être ici violé étant donné que les ATS reposent sur des algorithmes pour trier et classer les candidatures en fonction de critères prédéfinis, ce qui pourrait entraîner des discriminations.
Comment les ATS doivent-ils gérer les données personnelles des candidats pour respecter les directives de la CNDP et de manière générale la réglementation sur la protection des données ?
Comme précisé ci-avant, les ATS constituent un outil de traitement automatisé des données personnelles des candidats. Sur le volet technique, l’obligation principale pour l’employeur, en sa qualité de responsable du traitement, serait de s’assurer que l’outil présente une garantie de protection des données contre toute destruction accidentelle ou illicite et toute altération de données. Cette obligation est en réalité générale et doit s’appliquer à l’ensemble des outils mis en place par l’employeur.
De surcroît, les données personnelles ne doivent pas être diffusées ou accessibles par des personnes non autorisées. La loi n°09-08 exige que des mesures techniques, compte tenu de l’état de l’art, doivent être prises pour assurer un niveau de sécurité approprié contre toute forme de traitement illicite.
Enfin pour donner un dernier exemple et s’agissant de la durée de conservation des données, les ATS doivent être paramétrés de sorte que les données personnelles des candidats sont conservées uniquement pendant la période nécessaire à des fins légitimes de gestion du recrutement.
Quelles informations les employeurs doivent-ils fournir aux candidats concernant l’utilisation des ATS dans leur processus de sélection ?
Tout candidat dispose, en application de la loi n°09-08, d’un droit à l’information au moment de la collecte de ses données, qui correspond au moment de l’envoi ou du téléchargement de son Curriculum Vitae.
En effet, l’employeur a l’obligation d’apporter plusieurs indications au candidat dont les données sont collectées, principalement sur l’identité du responsable de traitement, les finalités du traitement (à savoir la gestion du recrutement), et l’information relative à ses droits d’accès, de rectification et d’opposition ainsi que le contact auprès duquel l’exercice de ces droits peut être mis en œuvre.
De plus, dans le cas où les données sont communiquées à des tiers au Maroc ou transférées à l’étranger y compris lorsque le serveur stockant les données se trouve à l’étranger, le candidat doit être informé des destinataires ou des catégories de destinataires de données ainsi que la finalité de ces transferts.
Enfin, les caractéristiques de l’autorisation de traitement délivrée par la CNDP doivent également être précisées.
Les candidats ont-ils le droit de demander une explication sur la manière dont leur candidature a été traitée par un ATS ? Si oui, comment cela doit-il être géré ?
Comme précisé ci-avant, le droit à l’information englobe différents éléments, dont le droit d’accès.
Le droit d’accès signifie que toute personne concernée est en droit d’obtenir du responsable de traitement la confirmation que les données à caractère personnel la concernant sont traitées ou non, l’information sur les destinataires éventuels des données et même la communication des données personnelles faisant l’objet des traitements.
S’agissant du cas du traitement automatisé de données, la loi n°09-08 prévoit que la personne concernée a la possibilité, dans le cadre de l’exercice de son droit d’accès, de demander des informations relatives à la logique qui sous-tend le traitement des données à caractère personnel la concernant. Cela signifie que l’employeur doit être en mesure de donner une explication sur la manière dont la candidature a été traitée par un Applicant Tracking System.
Il convient pour l’employeur de disposer des ressources nécessaires pour traiter ce genre de demande, et de désigner une personne dédiée et formée pour une gestion efficace et appropriée des droits. Lorsqu’une telle demande d’information est reçue l’employeur ne dispose pas de délai pour y répondre et doit pouvoir apporter les éléments de réponse dans l’immédiat et sans demander de contrepartie financière.
Il convient de préciser que la loi n°09-08 prévoit la possibilité pour tout responsable de traitement de demander à la CNDP un délai de réponse aux demandes d’accès légitimes et de s’opposer aux demandes manifestement abusives.
Conseils pratiques : Quels conseils donneriez-vous aux DRH pour intégrer les Applicant Tracking System de manière éthique et légale dans leurs processus de recrutement ?
Avec l’utilisation de l’IA dans les ATS, il est crucial que les employeurs soient transparents avec les candidats quant à l’utilisation de ces technologies dans le processus de recrutement.
Pour une mise en conformité légale les formalités de demande d’autorisation de traitement auprès de la CNDP doivent bien entendu être effectuées. Le consentement du candidat au traitement de ses données constitue certes une base légale pour le traitement licite des données mais l’autorisation de la CNDP est une condition inhérente à la légalité du traitement.
Sur le volet contractuel, je suggèrerai par ailleurs de s’assurer que le sous-traitant fournissant l’outil présente des garanties suffisantes de protection des données à caractère personnel et de vérifier que le contrat est conforme aux recommandations de la CNDP.
Enfin, pour clôturer, de manière générale il convient de s’inscrire dans une politique de mise en conformité globale des pratiques HR en matière de protection des données personnelles et de sensibiliser l’ensemble des équipes RH et recrutement en la matière.