Facebook : quand des recruteurs américains contraignent des candidats à révéler leur profil privé !

Introduction

L'utilisation d'internet -- moteur de recherche et réseaux sociaux numériques -- par les recruteurs n'est ni nouvelle ni un secret. Dans le meilleur des cas, il s'agit de publier des offres d'emploi, de repérer des profils intéressants ou de vérifier rapidement certains éléments du CV d'un candidat, dans le pire, il s'agit de fouiller sa vie numérique pour dénicher ses travers ou ses éventuelles erreurs de jeunesse afin de le disqualifier. Pour éviter ces dérives, mieux vaut prévenir que guérir. Les usagers des réseaux sociaux numériques sont donc régulièrement et vivement encouragés à utiliser intelligemment les réglages de sécurité de leur profil et, surtout, à réfléchir avant de publier une information en ligne qui pourrait ensuite leur nuire. Avec le temps, force est de constater que le message passe et que, petit à petit, jeunes et moins jeunes apprennent à mieux gérer leur vie privée en ligne pour mieux contrôler leur "e-réputation" et leur employabilité.

Aux États-Unis (USA), la protection des profils personnels, sur des réseaux sociaux numériques comme Facebook, n'est manifestement pas toujours du goût de tous les recruteurs. Et pour continuer à accéder à cette mine d'informations personnelles certains ont développé une stratégie de contournement inquiétante : ils profitent de la situation de faiblesse relative d'un candidat en entretien d'embauche pour lui demander l'identifiant et le mot de passe permettant d'accéder à son compte personnel !

États des lieux

Le sujet "enflamme" la blogosphère US depuis la publication le 20 mars 2012 d'une dépêche de l'Associated Press (AP) mais, à bien y regarder, la situation est plus ancienne.

Fin 2010, Robert Collins, un gardien de prison de l'état du Maryland passe un entretien avant sa réintégration après une absence pour des raisons personnelles. Au cours de l'entretien l'examinateur le prend de court en lui demandant le login et le mot de passe de son compte Facebook. Craignant pour son emploi (qui lui permet de nourrir sa famille), il s'exécute et assiste ensuite à une exploration en règle de toutes ses données personnelles, avec comme seule explication de l'examinateur :

"I'm looking through your messages, through your wall, through your pictures and through your posts to make sure that you're not flashing any gang signs or involved in any illegal activity." [TDLR] "Je cherche dans vos messages, sur votre mur, dans vos photos et dans vos messages afin de m'assurer que vous n'affichez pas des signes de gangs ou que vous ne participez à des activités illégales."

Choqué, Robert Collins se rapproche de l'American Civil Liberty Union (ACLU), une association de défense des libertés américaine, et porte plainte. La plainte a abouti en 2011 et depuis l'état du Maryland a modifié sa pratique : l'identifiant et le mot de passe Facebook ne sont plus demandés au candidat, il doit juste volontairement se connecter à son compte Facebook pendant l'entretien en utilisant l'ordinateur qui lui est fournit et laisser l'examinateur regarder par-dessus son épaule !

C'est la technique du "coup d'oeil par dessus l'épaule" que d'autres pratiques également comme la police de l'état de Virginie qui le confirme officiellement par la voie d'une de ses porte-paroles :

"You sign a waiver, then there’s a laptop and you go to these sites and your interviewer reviews your information." [...] "It’s a virtual character check as much as the rest of the process is a physical background check." [TDLR] "Vous signez une décharge, ensuite il y a un ordinateur portable et vous visitez ces sites et votre interlocuteur passe en revue vos informations." [...] "C'est une vérification de la personne virtuelle (numérique) autant que le reste du processus est une vérification des antécédents dans la vie réelle."

Et les exemples se sont multipliés, comme en témoigne le florilège publié par Bob Sullivan le 6 mars 2012. Il y décrit notamment la pratique de l'Université de Caroline du Nord à l'égard de ses sportifs :

"No access, no sports." [TDLR] "Pas d'accès pas de sport."

Chaque athlète se doit d'ajouter à la liste de ses "amis" un entraineur et laisser celui-ci accéder à sa vie en ligne.

Dans le cas de la police de Caroline du Nord, le questionnaire que doit remplir chaque candidat contient la question suivante :

"Do you have any web page accounts such as Facebook, Myspace, etc...? If so list you username and password..." [TDLR] "Avez-vous des comptes web tels que Facebook, Myspace, etc ..? Si c'est le cas, listez vos nom d'utilisateur et mot de passe..."

etc., etc. Autant de pratiques qui empiètent sur la vie privée des individus et que certains justifient par le fait qu'avec l'avènement des réseaux sociaux numériques, les "amis en ligne" en savent souvent bien plus sur quelqu'un que ses propres voisins dans la vie réelle.

La situation légale américaine

Aux États-Unis, alors que d'autres témoignages continuent d'illustrer la réalité de cette pratique tandis que certains essayent au contraire d'en minimiser la portée, la situation juridique ne semble toujours pas complétement tranchée. À tel point que deux sénateurs démocrates, Charles Schumer, de l'état de New York, et Richard Blumenthal, de l'état du Connecticut, ont écrit au Ministère de la Justice en lui demandant d'exprimer sa position quant à la possible violation de deux lois fédérales :

  • la "Stored Communications Act" qui interdit l'accès intentionnel à des informations électroniques sans en avoir l'autorisation ;
  • la "Computer Fraud and Abuse Act" qui interdit l'accès à un ordinateur pour obtenir des informations sans en avoir obtenu l'autorisation.

Ils ont aussi saisi la "Equal Employment Opportunity Commission" (EEOC) 1 en lui demandant de se prononcer sur cette pratique.

De son côté, le sénateur Blumenthal est aussi sur le point de proposer une nouvelle loi destinée à interdire purement et simplement cette pratique chez les recruteurs publics comme privés.

Reste que le combat n'est pas encore gagné. Pour preuve, cet amendement rejeté, le 28 mars 2012, par la Chambre des Représentants. Il s'agissait de permettre à la "Federal Communications Commission" (FCC) 2 de prendre les dispositions nécessaires pour interdire aux employeurs l'accès aux comptes Facebook des employés comme des candidats.

La position de Facebook

Facebook n'a pas attendu les affaires récentes pour prévenir certains détournements d'usages. Dans ses conditions d'utilisation, l'article 4.8 dispose clairement :

"Vous ne communiquerez pas votre mot de passe (ou, dans le cas des développeurs, votre clé secrète), ne laisserez personne accéder à votre compte ou ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte."

Mais vendredi 23 mars 2012, l'entreprise s'est faite plus insistante sous la plume d'Erin Egan, son Chief Privacy Officer (CPO) 3. Celle-ci a en effet publié sur son blog personnel un court billet prenant acte des pratiques peu scrupuleuses de certains recruteurs pour les condamner et prendre explicitement le parti des usagers du réseau social. Et l'entreprise se déclare même prête à faire le nécessaire le cas échéant :

"We’ll take action to protect the privacy and security of our users, whether by engaging policymakers or, where appropriate, by initiating legal action" [TDLR] "Nous allons prendre des mesures pour protéger la vie privée et la sécurité de nos utilisateurs, que ce soit par la voie législative ou, le cas échéant, en initiant une action en justice."

Quid de la France ?

À notre connaissance, aucune affaire de ce genre n'a encore été révélée en France. Mais rien n'indique qu'il n'y en a ou qu'il n'y en aura pas. En effet, ici comme ailleurs les employeurs sont tout aussi curieux et, parfois, peu scrupuleux. L'article du Canard Enchaîné daté du 29 février 2012 au sujet de la société Ikea 4 montre, s'il en était encore besoin, que certaines entreprises n'hésitent pas à utiliser des moyens totalement illégaux.

D'après la Loi n° 92-1446 du 31 décembre 1992 relative à l'emploi, au développement du travail à temps partiel et à l'assurance chômage qui a modifié l'Article L 121-6 du Code du travail :

"Les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ou à un salarié ne peuvent avoir comme finalité que d’apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles.
Ces informations doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles."

C'est d'ailleurs ce que la Commission Nationale de l'Informatique et des Libertés (CNIL) confirme dès la "Fiche n°1 - les opérations de recrutement" 5. Mais elle ne s'arrête pas là. Elle rappelle aussi que la collecte de certaine informations "n’est pas pertinente, sauf cas particuliers justifiés par la nature très spécifique du poste à pourvoir ou par une obligation légale". Notamment :

"date d’entrée en France ; date de naturalisation ; modalités d’acquisition de la nationalité française ; nationalité d’origine ; numéros d’immatriculation ou d’affiliation aux régimes de sécurité sociale ; détail de la situation militaire (objecteur de conscience, ajourné, réformé, motifs d’exemption ou de réformation, arme, grade) ; adresse précédente ; entourage familial du candidat (nom, prénom, nationalité, profession et employeur du conjoint ainsi que nom, prénom, nationalité, profession, employeur, des parents, des beaux-parents, des frères et sœurs et des enfants) ; état de santé, taille, poids, vue; conditions de logement (propriétaire ou locataire) ; vie associative ; domiciliation bancaire, emprunts souscrits, défauts de paiement."

Surtout, conformément à l'Article 8-I 6 de la loi "Informatique & Libertés" (loi I&L), la CNIL insiste :

"Enfin, il est interdit de collecter et de conserver des données personnelles qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle des personnes. L’accord exprès exigé par la loi qui doit être recueilli par écrit ne saurait, à lui seul, justifier la collecte de telles données si ces dernières sont dépourvues de lien direct et nécessaire avec l’emploi proposé. Aussi de telles informations ne peuvent-elles être collectées que, dans certains cas, lorsqu’elles sont dûment justifiées par la spécificité du poste à pourvoir."

Or, justement, un profil Facebook peut contenir de telles informations et même plus. Et, profiter de la situation de faiblesse relative dans laquelle se trouve un candidat lors d'un entretien d'embauche pour obtenir ses identifiant et mot de passe ne saurait en aucun cas contituer "un consentement exprès" et placerait le recruteur en situation d'infraction susceptible de faire l'objet d'un dépôt de plainte.

Enfin la "Charte réseaux sociaux, Internet, Vie Privée et Recrutement", signée le 14 janvier 2010 par le Medef, l'Apec, Syntec Conseil en recrutement d'autres associations de professionnels, "enjoint les cabinets de recrutement, les réseaux, les entreprises… à respecter l’éthique professionnelle qui consiste à prendre en compte, lors du processus de recrutement, les compétences des candidats, et rien que les compétences ! Tout en s’adaptant au contexte d’un web en permanente évolution et de plus en plus complexe à mesure qu’il se socialise". En particulier, l'article 3 invite expressément à :

"ne pas utiliser les moteurs de recherche ni les réseaux sociaux comme outils d’enquête pour collecter, ou prendre connaissance, d’informations d’ordre personnel, voire intime, même si elles sont rendues accessibles par les utilisateurs eux-mêmes, ce qui serait constitutif d’une intrusion dans leur sphère privée et d’une source potentielle de discrimination."

Et ailleurs ?

Au Royaume-Uni

Préoccupé par l'éventualité de cette pratique, le Commissaire à la protection de la vie privée anglais (ICO), en charge de faire appliquer la loi anglaise sur la protection des données à caractère personnel, "proche" de la loi I&L française car dérivée de la même directive européenne, a préféré prendre les devants et a mis en garde, le 26 mars 2012, les employeurs anglais en suggérant qu'ils se mettraient en infraction s'ils se mettaient à copier les pratiques américaines dans le cadre de leurs entretiens de recrutement.

Au Canada

Quant au Canada qui dispose d'une loi fédérale et de lois provinciales pour la protection des données à caractère personnel, la situation est assez similaire à la situation française. Un employeur ne peut collecter des données personnelles qui ne seraient pas en rapport avec l'emploi proposé. De même, il ne peut collecter des données relatives à la race, à la religion, aux orientations sexuelles, etc. Autant d'informations qu'un profil Facebook peut révéler sur le candidat voire aussi sur autrui en donnant accès aux profils des "amis numériques".

Pour conclure

Alors que les usagers des réseaux sociaux numériques à la recherche d'un emploi ont appris à protéger leur vie privée et à préserver leur employabilité en restreignant l'accès à leur(s) profil(s) en ligne, les voici maintenant incités par les recruteurs à le(s) révéler en profitant de cette situation de faiblesse relative qu'est un entretien d'embauche. C'est un revirement de situation !

Cette (nouvelle) pratique des recruteurs, révélée aux États-Unis, n'est, d'une certaine façon, qu'une adaptation des pratiques de certaines entreprises à l'évolution des technologies de l'information et de la communication et à leurs usages. Les entreprises ont toujours été avides d'informations sur leurs employés ou futurs employés. Et ce n'est sûrement pas près de changer !

Cependant, elle montre à l'évidence que les mécanismes de protection (réglages de sécurité des profils) mis en place jusqu'à maintenant, ne sont pas suffisants à eux seuls. Même averti et responsable, l'internaute reste à la merci de rapports de force asymétriques à l'exemple d'une situation d'embauche.

En France, le Code du travail et la loi I&L fournissent un cadre sans aucun doute plus protecteur que leurs équivalents américains mais les exemples de "pressions sur les plus faibles", de détournement d'usages ou de finalités y existent aussi. Il alors serait naïf de croire que des situations comme celles décrites dans cet article sont impensables dans notre pays. Dans ce contexte, la plus grande vigilance reste indispensable. Mais, surtout, une entreprise qui se rendrait coupable d'une telle pratique ne serait assurément pas une entreprise où il ferait bon travailler !

  • 1. L'équivalent de la "Haute Autorité de lutte contre les discriminations et pour l'égalité" (HALDE) en France.
  • 2. L'équivalent de l’Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) en France.
  • 3. L'équivalent du Correspondant Informatique et Libertés (CIL) en France.
  • 4. L'article montre une demande de casier judiciaire transmise par l'entreprise au sujet d'un candidat à une embauche.
  • 5. "Guide pour les employeurs et la salariés", Édition 2010
  • 6. Cet article dispose que "Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci."