Les outils de recrutement automatisé sont concernés par la «Loi 25»
Catherine Charron|Publié le 06 Décembre 2023Cet amendement entré en vigueur le 22 septembre 2023 passe sous le radar. (Photo: 123RF)
RHéveil-matin est une rubrique quotidienne où l’on présente aux gestionnaires et à leurs employés des solutions inspirantes pour bien commencer leur journée. En sirotant votre breuvage préféré, découvrez des astuces inédites pour rendre vos 9@5 productifs et stimulants.
RHÉVEIL-MATIN. Vous vous basez sur un logiciel de traitement automatisé de la donnée afin de décider si vous embauchez ou pas un candidat? N’oubliez pas de l’en avertir au plus tard au moment de rendre le verdict.
Voilà l’un des nouveaux amendements à la Loi sur la protection des renseignements personnels entrés en vigueur le 22 septembre 2023 qui semble passer sous le radar d’après Kateri-Anne Grenier, associée du bureau de Québec de Fasken. En effet, celle-ci va bien au-delà de la protection des données détenues par les employeurs.
Un peu comme la première ébauche du projet de règlement proposé par le California Privacy Protection Agency publié le 27 novembre 2023, la «Loi 25» sert notamment à protéger les candidats des dérives des algorithmes.
Or, contrairement à ce qui se trouve sur la table en Californie, la décision doit être au Québec «fondée exclusivement sur un traitement automatisé [des renseignements personnels]», rappelle Marc-Alexandre Hudon, associé chez Langlois Avocats.
Si le candidat en fait la demande, l’employeur devra aussi lui mentionner sur quelles données le logiciel s’est appuyé, «des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision» et «de son droit de faire rectifier les renseignements personnels utilisés», prescrit l’amendement.
Un individu qui n’a pas été retenu a donc l’occasion de présenter à un membre de l’organisation qui a le pouvoir d’infirmer la décision rendue des informations supplémentaires. «On veut que les personnes ne soient pas victimes d’algorithmes sans pouvoir les comprendre et influencer la décision autrement si elle est obtenue à partir d’information erronée», explique Kateri-Anne Grenier.
Ce à quoi rime le terme «principaux»
Dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, Québec précise que ces employeurs ne sont tenus d’offrir une explication exhaustive de l’algorithme ou du processus afin de protéger ses données, tels les «renseignements industriels, financiers [ou] commerciaux», ajoute l’avocat de Langlois.
Elles sont plutôt tenues de se limiter aux «principaux» facteurs, ce qui permet peut-être de mieux comprendre ce qui est attendu des organisations du secteur privé.
Consentir à la collecte de données
Soit dit en passant, si les technologies utilisées par l’organisation permettent d’identifier, de localiser ou même profiler un candidat, ce dernier doit consentir à la collecte de ses renseignements comme le stipule les articles 8.1 et 8.2 de la Loi, rappelle Kateri-Anne Grener.
Et le profilage, c’est large, dit-elle: «Ça peut être la performance au travail et le rendement, mais aussi […] sa situation économique ou familiale, son état de santé, ses préférences ou ses intérêts et son âge.»
De plus, tout comme le projet proposé en Californie, du moment où une entreprise souhaite réviser le logiciel ou le système utilisé pour collecter de l’information, «on vient la forcer à consulter le responsable de la protection à la vie privée, et à se positionner sur la légalité du projet.»
D’où l’importance, d’après l’avocate de Fasken, de sonder l’ensemble de ses départements, dont celui du recrutement, pour faire l’inventaire des outils utilisés pour moissonner des renseignements personnels.
«C’est très fréquent que les employeurs utilisent des applications ou des logiciels pour traiter des candidatures, rapporte-t-elle. Ce n’est pas illicite, pourvu qu’il y ait une corrélation entre la donnée collectée et l’emploi, mais il faut remanier le consentement et s’assurer qu’on respecte l’article 8.1 et 8.2.»
À défaut de respecter ces trois articles, l’entreprise pourrait devoir acquitter une amende salée, souligne Marc-Alexandre Hudon, qui peut atteindre jusqu’à «2% du chiffre d’affaires mondial de l’exercice financier précédent» s’il dépasse les 10 000 000 de dollars.