Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
„Le “ proctoring » désigne la surveillance numérique des examens, dans le cadre de laquelle les candidats sont surveillés par webcam et microphone pendant un test en ligne. L'objectif est de prévenir la tricherie. Le proctoring vise à garantir que les candidats n'utilisent pas d'outils non autorisés ou d'intelligence artificielle chez eux. Les fournisseurs de ce type de logiciels vantent souvent la conformité de cette surveillance avec le RGPD. Dans la pratique, cependant, les candidats doivent d'abord accepter l'utilisation de la caméra (et généralement d'un logiciel supplémentaire). En théorie, le consentement peut être refusé, mais la question se pose alors de savoir si la candidature sera toujours prise en considération. Cet article examine si et dans quelles conditions le proctoring est autorisé dans le cadre des procédures de candidature au regard de la législation sur la protection des données, et fournit des recommandations pratiques pour une utilisation conforme.
Risques liés à la protection des données dans le cadre du proctoring
Dans le cas d'un test en ligne supervisé, des mesures importantes sont nécessaires. données à caractère personnel Outre les enregistrements vidéo et audio du candidat, les contenus affichés à l'écran, les données saisies (par exemple, les mouvements du clavier et de la souris) et les données d'identité (par exemple, en présentant une pièce d'identité devant la caméra) sont souvent enregistrés. Certains outils de surveillance interviennent profondément dans le système : ils peuvent lire l'historique du navigateur, modifier les paramètres de l'appareil ou surveiller les programmes en cours d'exécution. De telles fonctions permettent d'avoir accès à des domaines très personnels (par exemple, l'aménagement de l'appartement, les fichiers privés).
Du point de vue de la protection des données, il s'agit là d'atteintes considérables à la Vie privée et le droit à l'autodétermination en matière d'information. Il existe un risque que même des données sensibles au sens de l'art. 9 RGPD être enregistrées ; par exemple, des données biométriques (traits du visage, mouvements oculaires pour vérifier l'identité) ou des détails de l'environnement domestique qui peuvent révéler l'origine ethnique, la religion ou l'état de santé. Une telle intrusion est considérée comme très risquée pour les droits des personnes concernées au regard de la législation sur la protection des données et peut entraîner une Analyse d'impact sur la protection des données (Art. 35 RGPD) nécessaires.
De plus, le caractère volontaire de la participation est remis en cause : les candidats se trouvent dans leur espace privé et peuvent difficilement échapper à la surveillance s'ils souhaitent participer à la procédure de sélection. Cette situation soulève des questions fondamentales quant à la licéité et la base juridique du traitement des données.
Pour les Traitement Le traitement des données à caractère personnel dans le cadre de la procédure de candidature relève en principe de plusieurs Bases juridiques le RGPD . Vous trouverez ci-dessous une liste des normes applicables à l'utilisation du proctoring et des pièges à éviter.
Mesure précontractuelle (art. 6, al. 1, let. b RGPD)
On pourrait se demander si la surveillance par proctoring, en tant qu'élément nécessaire du processus de candidature, relève de l'art. 6, al. 1, let. b RGPD (traitement des données en vue de la conclusion d'un contrat ou de mesures précontractuelles). Certes, un test de recrutement relève en principe du domaine précontractuel. Cependant, la surveillance numérique de ce test n'est pas „ nécessaire “ au sens strict pour mener à bien la procédure de candidature. L'objectif, à savoir déterminer l'aptitude des candidats, pourrait également être atteint sans surveillance vidéo. Par exemple, par un test non surveillé (avec un risque résiduel de tricherie) ou par un test en présentiel sur place. La surveillance est une mesure organisationnelle facultative et ne constitue pas un élément indispensable de la procédure de sélection. L'article 6, paragraphe 1, point b), est donc exclu. RGPD en règle générale comme base juridique.
Cette opinion correspond aux évaluations en matière de protection des données, selon lesquelles la procédure de candidature en soi peut relever de l'article 6, point b), mais pas les mesures de surveillance qui l'accompagnent et qui servent uniquement à contrôler l'examen.
Intérêt légitime de l'entreprise (art. 6, al. 1, let. f RGPD)
Une autre possibilité consiste à invoquer l'intérêt légitime du responsable (de l'entreprise) conformément à l'art. 6, al. 1, let. f. RGPD. L'entreprise a sans aucun doute un intérêt légitime à garantir l'égalité des chances et l'équité lors des tests et à prévenir la fraude. Cet intérêt a également été reconnu par les tribunaux comme un objectif important, par exemple pour garantir l'égalité de traitement des candidats et la Intégrité des résultats d'examen. Ainsi, la Cour administrative supérieure (OVG) de Rhénanie-du-Nord-Westphalie (décision du 4 mars 2021 – 14 B 278/21) a estimé que Vidéosurveillance des examens en ligne dans le cadre des études afin d'éviter les fraudes. Il y voyait même une mesure d'intérêt public. La Cour administrative supérieure du Schleswig-Holstein (décision du 3 mars 2021 – 3 MR 7/21) a également jugé que la vidéosurveillance était proportionnée et appropriée, car aucun moyen moins contraignant ne semblait envisageable.
La prudence est toutefois de mise. À l'art. 6, let. f RGPD Il convient de procéder à une mise en balance des intérêts. Les intérêts de l'entreprise s'opposent aux droits fondamentaux des candidats, en particulier le droit à Vie privée et l'autodétermination en matière d'information. L'intensité de l'intervention par le biais du proctoring est élevée : les candidats sont observés chez eux, voire filmés. Ce déséquilibre a un impact négatif sur la mise en balance des intérêts. Contrairement aux établissements d'enseignement supérieur (qui agissent dans le cadre d'une mission publique d'éducation), les employeurs privés peuvent difficilement faire valoir un intérêt prépondérant qui l'emporte sur les droits fondamentaux des personnes concernées. De plus, il existe généralement des alternatives (examen en présentiel), ce qui réduit l' Nécessité relativise la mesure. Dans la pratique, les autorités chargées de la protection des données avertissent qu'une justification au titre de l'article 6, paragraphe 1, point f), comporte des risques. La balance devrait pencher en faveur des candidats, de sorte qu'une action fondée uniquement sur cette base serait juridiquement contestable.
Consentement des candidats (art. 6, al. 1, let. a RGPD)
Il ne reste donc probablement qu'une seule voie possible : la Consentement le candidat conformément à l'art. 6, al. 1, let. a RGPD. En effet, les prestataires de services de surveillance et certaines entreprises font valoir que les candidats peuvent donner leur consentement volontairement et légitimer ainsi le traitement des données. En principe, la Consentement une base juridique valide si elle satisfait aux exigences de la RGPD correspond à : c'est-à-dire lorsqu'elle est volontaire, éclairée, spécifique et expresse. Cependant, c'est précisément le caractère volontaire du processus de candidature qui constitue le point crucial (voir section suivante).
Sans Consentement l'utilisation du proctoring n'est pas autorisée. Comme déjà indiqué, ni la nécessité contractuelle ni l'intérêt légitime ne sont fiables. Une utilisation conforme à la protection des données doit donc reposer sur le consentement préalable et actif des candidats, qui doivent recevoir toutes les informations pertinentes (étendue de la surveillance, finalité, durée, destinataires, technologie du logiciel, etc.). Transparence est ici indispensable : les candidats doivent savoir exactement dans quoi ils s'engagent, y compris en ce qui concerne les éventuelles évaluations automatisées par des algorithmes d'IA. Ce dernier point est toutefois difficile à réaliser, car le fonctionnement des algorithmes de surveillance propriétaires est souvent opaque. Néanmoins, le délégué à la protection des données de Berlin exige, par exemple, que les critères d'évaluation automatisée soient également divulgués.
Source : Rapport annuel 2022 du délégué à la protection des données de Berlin
Consentement volontaire et “ véritable ” possibilité de choix
Le site RGPD impose des exigences élevées à une Consentement, en particulier lorsqu'il existe un déséquilibre de pouvoir entre le responsable et la personne concernée. Considérant 43 RGPD souligne que dans les situations présentant un déséquilibre manifeste, par exemple entre une autorité publique et un citoyen ou entre un employeur et un candidat, une Consentement ne peut généralement pas être considéré comme volontaire.
Pour la surveillance des examens, cela signifie que les candidats doivent avoir le choix réel de participer ou non à un test en ligne surveillé, sans que cela n'entraîne de conséquences négatives. Les autorités de contrôle recommandent expressément de proposer d'autres possibilités de test. Concrètement, cela peut signifier offrir aux candidats un examen présentiel sur place comme option équivalente, par exemple dans l'entreprise ou dans un centre d'évaluation. Ce n'est que s'il existe une alternative équivalente que l'on peut parler d'une décision volontaire.
En revanche, il n'y a pas de véritable choix lorsque Consentement peut être formellement refusée, mais cela signifie en réalité la fin de la candidature. Une pression subtile (par exemple, la mention qu'il est “ recommandé ” de participer via la surveillance) exclurait également le caractère volontaire. Voir également la décision de la Cour d'appel de Thuringe du 17 novembre 2025 (réf. : 3 U 885/24) : Traitement La collecte de données biométriques, qui servent par exemple à la reconnaissance faciale et donc à l'identification des candidats, enfreint l'article 9. RGPD, lorsqu'il n'y a pas de véritable possibilité de choix.
Conclusion à ce stade : une conformité avec la protection des données Consentement dans le cadre d'une procédure de recrutement est possible, mais uniquement dans le strict respect du principe du volontariat. Dans la pratique, cela oblige l'employeur à proposer une autre méthode équivalente pour la procédure de sélection. Ce n'est qu'alors que le consentement des candidats peut être considéré comme valable. Consentement justifiant le traitement des données.
Recommandations pratiques axées sur la pratique
Vous trouverez ci-dessous quelques mesures pratiques, pour garantir la conformité à la protection des données lors de la surveillance :
- Proposer une alternative à la surveillance : Offrez un véritable choix. Par exemple, vous pouvez proposer en parallèle un test présentiel sous surveillance sur place ou dans un centre d'évaluation. Indiquez clairement que le refus du contrôle en ligne n'entraînera aucune conséquence négative.
- Consentement obtenir des informations : Avant le test, obtenez une autorisation expresse Consentement des candidates (de préférence par écrit ou sous forme électronique). Assurez-vous que toutes les informations sont fournies de manière compréhensible : quelles données sont collectées (vidéo, audio, captures d'écran, photos d'identité, etc.), à quelles fins, qui reçoit les données (par exemple, un prestataire de services de surveillance en tant que sous-traitant), durée de conservation et droits des candidates. Indiquez le droit de rétractation. Les candidats doivent savoir exactement à quoi ils consentent.
- Minimisation des données et limitation de la surveillance : Utilisez les moyens les plus modérés pour atteindre l'objectif (protection contre la fraude). Par exemple, au lieu d'un enregistrement complet, vous pouvez effectuer une surveillance en direct sans stockage permanent. Certaines juridictions ont estimé qu'il était suffisant de ne stocker les enregistrements qu'en cas de besoin (en cas d'anomalies ou sur demande pour la conservation des preuves). Renoncez aux fonctions invasives du logiciel qui vont au-delà de la surveillance par caméra, telles que la recherche sur l'ensemble de l'ordinateur ou la reconnaissance faciale automatisée, sauf si elles sont absolument nécessaires. Chaque fonction supplémentaire augmente l'intrusion et rend la justification plus difficile. Les fonctions de scan de la pièce doivent être utilisées avec beaucoup de retenue. Les candidats doivent être autorisés à garder un arrière-plan neutre (par exemple, un arrière-plan virtuel ou une pièce vide).
- Mesures techniques et organisationnelles de protection : Veillez à conclure un contrat de sous-traitance avec le prestataire de surveillance (art. 28 RGPD), qui comprend entre autres Confidentialité, Sécurité des données, stricte Affectation des fonds et Suppression réglemente. Vérifiez le stockage des données : les enregistrements/protocoles ne doivent être conservés que pendant la durée nécessaire (idéalement, suppression automatique Suppression peu après la fin de la procédure, sauf en cas de suspicion de fraude). Si le prestataire de services est situé en dehors de l'UE (par exemple aux États-Unis), des mesures supplémentaires sont nécessaires.
Sélection de l'IA et analyse d'impact sur la protection des données
- Pas de décisions individuelles automatisées : Vous ne devez pas vous fier exclusivement à l'évaluation par IA de l'outil de surveillance pour éliminer des candidats. Si le logiciel rejette automatiquement un candidat en cas de suspicion de tricherie, cela enfreint l'interdiction des décisions automatisées (art. 22 RGPDIl est préférable de vérifier manuellement les résultats suspects et de prendre une décision au cas par cas, en faisant preuve de discernement. Le processus reste ainsi plus transparent pour les candidats et conforme à la loi.
- VVT créer : Documentez l'ensemble du processus dans le registre des activités de traitement.
- Analyse des valeurs seuils et DSFA : Effectuez également une analyse des valeurs seuils afin de déterminer si l'utilisation du proctoring dans votre entreprise est susceptible de présenter un risque élevé pour les droits et libertés des candidats. Si tel est le cas, une Analyse d'impact sur la protection des données nécessaire.
Conseil de lecture : Qu'est-ce qu'une analyse de seuil et quand est-elle obligatoire ?
Vous envisagez d'utiliser la surveillance électronique dans le cadre du processus de recrutement ou vous utilisez déjà des tests de sélection numériques ? Alors, vous devez agir dès maintenant. Les exigences légales sont élevées, tout comme les risques en cas d'erreurs.
Ailance vous aide à mettre en place des solutions de surveillance Conforme au RGPD, pratique et juridiquement sûr . Grâce à notre plateforme de protection des données et de conformité, vous pouvez créer Transparence à propos de Bases juridiques, consentements, sous-traitants, délais de conservation et risques. Une analyse des seuils et une préparation structurée à une Analyse d'impact sur la protection des données sont également inclus.
Nous serons ravis de vous accompagner en tant que délégué externe à la protection des données (DPD externe):
- Évaluation juridique de votre configuration de surveillance
- Examen des processus de consentement et des offres alternatives
- Assistance pour VVT, analyse des valeurs seuils et DSFA
- des recommandations pratiques qui fonctionnent également dans le quotidien des candidatures
Faites de la protection des données un avantage concurrentiel dans le domaine du recrutement. Discutez avec nous d'Ailance et de nos services en tant que DPD externe. Nous vous aidons à concilier innovation et protection des données en toute sécurité.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French