IA et Gestion des Ressources Humaines (IA-RH) : le Guide Complet

Déjà en 2018, 76 % des 9 000 recruteurs interrogés dans le cadre d’une enquête LinkedIn affirmaient que l’IA aurait un impact significatif sur la gestion des RH dans les années à venir. Aujourd’hui, plus personne ne conteste l’intérêt de ces outils pour optimiser son recrutement et faciliter la tâche de ses collaborateurs. Pourtant, leur mise en place soulève de nombreux enjeux et nécessite de bons réflexes afin de limiter les risques liés à leur utilisation. Pour y voir clair, le Cabinet d’avocats Touati La Motte Rouge vous propose un guide complet sur l’IA et la gestion des ressources humaines (IA-RH).

Quelle est la réglementation applicable à l’IA dans la gestion des ressources humaines ?

Le 13 mars 2024, les députés européens ont très largement voté le Règlement de régulation de l’intelligence artificielle (AI Act). Son entrée en vigueur est prévue pour 2026. En parallèle, un cadre juridique applicable indirectement à l’IA et à son utilisation existe déjà.

IA Act et ressources humaines

Ce règlement s’applique à “toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d'IA sous son autorité, sauf si le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle”. Les entreprises, notamment dans le cadre de la gestion des ressources humaines, sont donc directement concernées.

L’approche de l’AI Act est centrée sur la notion de risques. Chaque responsable de projet au sein de l’entreprise doit qualifier le risque du système d’intelligence artificielle mis en place. Cette responsabilité repose également sur les éditeurs d’IA qui, en fonction des risques identifiés, doivent mettre en place un certain nombre de mesures prévues par le texte.

Le Règlement européen s’inscrit dans la même ligne que le RGPD (Règlement Général pour la Protection des Données) et le DSA (Digital Services Act) avec un objectif de responsabilisation des acteurs. Les principes éthiques mis en avant par l’AI Act se retrouvent également dans les différents textes précités :

• Respect des droits fondamentaux ;
• Non-discrimination ;
• Qualité et sécurité ;
• Transparence, neutralité et intégrité intellectuelle (c’est-à-dire l'explicabilité de l’algorithme) ;
• Maîtrise par l’utilisateur.

Le texte prévoit un certain nombre de sanctions, particulièrement élevées. À titre d’exemple, l’utilisation d’une IA interdite pour cause de risque inacceptable est punie d’une amende pouvant aller jusqu’à 7 % du chiffre d’affaires de l’organisation concernée. Notons que les PME et les start-ups profiteront d’un barème de sanction spécifique.

👉 Pour connaître les détails de ce règlement, nous vous recommandons de consulter l’excellent article sur l’AI Act rédigé par TLMR.

Le cadre juridique existant applicable à l’IA dans la gestion des ressources humaines

S’ils ne concernent pas directement la réglementation de l’IA, un certain nombre de lois et de règlements touchent à la mise en place et à l’utilisation de ces technologies dans le cadre, notamment, de la gestion des ressources humaines.

Les premiers concernent la protection de la confidentialité et du savoir-faire, traités par les outils d’intelligence artificielle. Ici, il s’agit de vérifier les garanties de l’éditeur. Ce dernier utilise-t-il les documents et les données de l’utilisateur pour alimenter son algorithme et améliorer son service ? Est-ce que les documents contenant des secrets des affaires ou des données à caractère personnelle peuvent être traités par l’outil ? Y a-t-il des garanties de sécurité et de confidentialité fournies par l’éditeur ? Sont-elles suffisantes ?

L’utilisation des outils d’intelligence artificielle mis en place au sein de l’entreprise doit également respecter la réglementation en matière de propriété intellectuelle. Cette question se relève particulièrement importante pour les outils d’IA générative. L’entreprise doit notamment se demander si les textes, les images ou encore les photos produites ne portent pas atteinte aux droits des tiers.

👉 Pour mieux comprendre ce point, nous vous invitons à consulter l’article TLMR sur la propriété des contenus ChatGPT.

De la même façon, l’utilisation des systèmes d’IA au sein de l’entreprise doit se faire dans le respect de la réglementation du droit à l’image. Là encore, cette question se relève essentielle en matière d’IA générative et de Deepfake.

Enfin, l’article L. 2312-8 et L. 2312-38 du Code du travail impose la consultation préalable du CSE dans les cas suivants :

• Mise en œuvre dans l'entreprise, de moyens ou de techniques permettant un contrôle de l'activité des salariés ;
• Traitement automatisé de gestion du personnel ;
• Introduction de nouvelles technologies.

Les outils IA utilisés pour le recrutement et la gestion des ressources humaines sont donc concernés.

L’objectif de cette consultation est de permettre au CSE de contrôler la proportionnalité de la solution intégrant l’intelligence artificielle. Dans certains cas, la nomination d’un expert, habilité par le CSE, peut être nécessaire pour procéder à cette évaluation (C. trav., articles L. 2312-8 et L. 2315-94). En cas de non-respect de cette obligation de consultation, les salariés peuvent demander la suspension de la mise en œuvre de l’outil ou l’octroi de dommage et intérêts. Ils peuvent également engager des poursuites pour délit d’entrave.

Quelles sont les enjeux juridiques de l’IA dans la gestion des ressources humaines (IA-RH) ?

IA, protection des données et ressources humaines

Si les outils d’IA n’impliquent pas nécessairement le traitement de données à caractère personnel, c’est bien souvent le cas dans un contexte RH où les informations collectées sur les candidats ou salariés peuvent être assez sensibles.

Rappelons qu’une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne physique. Attention donc aux données anonymisées, mais très facilement reliables à un employé grâce au recoupement.

À cet égard, la mise en place d’outils d’IA dans le cadre de la gestion des ressources humaines soulève donc de nombreux enjeux :

• La loyauté et la transparence des traitements de données ;
• La protection des informations accessibles sur internet, récoltées pour alimenter les bases de données de recrutement, grâce au scraping ou moissonnage (sur LinkedIn, par exemple) ;
• La protection des données transmises par les utilisateurs via des outils de recrutement (CVthèques, par exemple) ;
• Les conséquences sur les droits des personnes concernées ;
• La sécurité des données ;
• La discrimination que peut engendrer la prise de décision via des outils intégrant l’intelligence artificielle.

Lors de la mise en place d’un outil IA au sein d’une entreprise et d’un traitement de données associés, il est donc nécessaire de garder en tête les grands principes suivants :

• La proportionnalité : le traitement ne doit pas engendrer une atteinte excessive à la liberté des salariés ou des candidats, par rapport à l’objectif poursuivi par l’entreprise ;
• La loyauté : les salariés et les candidats doivent recevoir une information claire concernant le traitement et ses finalités. Ils doivent savoir si leurs données seront utilisées pour alimenter une solution IA.

En pratique, il faut toujours commencer par se demander sur quoi l’entreprise se base pour effectuer le traitement.

👉 En matière de ressources humaines, on retrouve 4 grandes bases légales :

• L'intérêt légitime de l’employeur (contrôle de l’activité du salarié, par exemple) ;
• Ses obligations légales (en matière d’établissement des bulletins de paie, par exemple) ;
• L’exécution des mesures contractuelles et précontractuelles, par exemple, dans le cadre du recrutement afin de préparer le contrat de travail ;
• Le consentement des personnes - pour conserver le CV dans une CVthèque afin de contacter le candidat ultérieurement en cas d’ouverture de poste. Attention, cette base légale pose quelques difficultés. Si une entreprise veut intégrer dans un outil d’IA tous les CV reçus dans l’année pour analyser le profil type des candidats, elle devrait obtenir au préalable le consentement de chaque candidat pour cette utilisation spécifique, ce qui est rarement le cas en pratique.

Bon à savoir : la validité du consentement des salariés et des candidats

En matière de données personnelles, pour être valide, le consentement doit être :

• Libre, c’est-à-dire ni contraint, ni influencé : le refus ne doit pas avoir de conséquences négatives pour la personne concernée.
• Spécifique, c’est-à-dire donné pour un seul traitement bien défini ;
• Éclairé : la personne concernée doit recevoir des informations claires et précises sur le traitement auquel elle consent ;
• Univoque : le consentement ne doit pas être ambigu.

Pour prouver sa licéité, l’entreprise doit être en mesure d’apporter la preuve de ce consentement. Celui-ci peut prendre la forme d’une case à cocher sur un formulaire, d’un enregistrement d’appel, d’un email, etc.

⚠️ Dans tous les cas, comme le précise l’article 22 du RGPD, l’entreprise ne doit en aucun cas prendre des décisions 100 % automatisées qui pourraient produire des effets juridiques sur ses collaborateurs (ou les candidats, etc.) ou les affecter de façon significative. Les algorithmes des outils IA peuvent, en effet, reposer sur des biais et/ou des erreurs et conduire à des décisions incorrectes ou inappropriées. Ces outils ne peuvent donc servir que de support à la prise de décision humaine.

👉 Exemple : le service des ressources humaines ne peut pas laisser un algorithme décider seul de l’embauche d’un collaborateur.

Des exceptions sont toutefois prévues par le RGPD à condition de mettre en place des garanties suffisantes pour limiter les risques de décisions arbitraires (consentement explicite des personnes concernées, décisions nécessaires à la conclusion ou à l'exécution d'un contrat, décisions encadrées par des dispositions légales spécifiques).

Les enjeux en matière de propriété intellectuelle

Comme nous l’avons vu, les IA génératives peuvent entraîner des risques d’atteinte aux droits de propriété intellectuelle antérieurs des tiers (texte, image, bases de données protégées, etc.). L’automatisation peut également faciliter la contrefaçon en rendant plus aisée la copie ou la falsification.

Or, l’entreprise reste responsable de tous les préjudices causés par les décisions prises grâce aux outils d’intelligence artificielle. Il n’est pas possible, à ce jour, de s’exonérer de sa responsabilité en invoquant la génération d’une décision par un système autonome.

👉 L’entreprise doit donc, dans un premier temps, vérifier les conditions d’utilisation de l’outil. Certains éditeurs proposent des garanties anti-contrefaçon ou des garanties d’indemnisation en cas de recours d’un tiers (garantie d’éviction). D’autres, au contraire, s'exonèrent de toute responsabilité et délèguent à l’utilisateur le devoir d’effectuer les vérifications nécessaires. Dans ce cas de figure, il est important de s’interroger sur la fiabilité de cet outil.

👉 En parallèle, un processus clair, permettant de contrôler le contenu généré par IA, est indispensable afin de limiter les risques d’engager la responsabilité de votre entreprise.

👉 Enfin, il est essentiel de sensibiliser les collaborateurs à l’utilisation des outils IA afin de protéger votre entreprise des litiges éventuels en matière de propriété intellectuelle.

Quels sont les bons réflexes juridiques pour la mise en place de l’IA dans la gestion des ressources humaines ?

Bien choisir ses outils IA

Les versions Open Source des outils IA (ChatGPT, par exemple) ont très vite alerté les entreprises sur les risques en matière de confidentialité, de secret des affaires et de données sensibles. Rapidement, les employeurs ont perçu l’importance de proposer des solutions sécurisées à leurs salariés.

Des outils IA payants professionnels offrent, en effet, de meilleures garanties contractuelles en matière de confidentialité et un encadrement contractuel beaucoup plus important. Ces solutions permettent aux entreprises de profiter des avantages de l’intelligence artificielle, tout en sécurisant leurs informations.

Vérifier la conformité légale de son outil IA

La grille d’analyse de la CNIL est une excellente base pour évaluer la maturité de vos systèmes d'intelligence artificielle au regard du RGPD.

Vous pouvez également suivre notre check list afin de valider la conformité de votre outil IA :

1. Tester votre outil avec de faux jeux de données et effectuer une vérification des résultats ;
2. Procéder à un contrôle de la proportionnalité par rapport au but recherché (l’outil est-il utile ?) avec une estimation des risques pour les personnes concernées ;
3. Vérifier les garanties offertes par l’éditeur de l’outil IA (l’éditeur est-il transparent ? Quelle est la source des données utilisées pour l'entraînement de l’algorithme ? Le RGPD est-il respecté ? Les données sont-elles réutilisées ? Si oui, comment ?, etc.)
4. Assurer l’information légale des personnes concernées : la politique de confidentialité est-elle suffisante ? Une note de service additionnelle est-elle nécessaire ? Doit-on obtenir le consentement des personnes ?
5. Consulter votre délégué à la protection des données (DPO), votre service juridique ou un cabinet d’avocats spécialisé en intelligence artificielle pour avoir un avis RGPD et vous assurer que tout est en ordre ;
6. Consulter le CSE ;
7. Déployer la solution ;
8. Recommencer les étapes précédentes en cas d’évolution de l’outil.

L’encadrement de l’outil IA par rapport aux salariés

L’entreprise doit également s’intéresser à l’encadrement de l’utilisation des outils IA par ses salariés.

La Charte informatique est sans aucun doute le document le plus pertinent à cet égard. Elle permet d’encadrer de manière claire les pratiques à adopter, par exemple, en interdisant aux salariés de charger des documents sensibles dans l’IA.

Annexée au règlement intérieur et contrôlée par le CSE, le non-respect de la charte informatique peut donner lieu à des mesures disciplinaires en cas de mauvais usage des outils au travail.

Rappelons que ce document doit être transmis à l’inspection du travail ainsi qu’au greffe du Conseil des Prud'hommes avant son entrée en vigueur.

La charte IA peut contenir :

• L’interdiction de l’usage d’outils destinés au grand public ;
• L’obligation d’obtenir l’autorisation d’un supérieur hiérarchique pour l’utilisation d’un outil d’IA ;
• Un rappel des lois et des réglementations en matière d’utilisation de l’IA (information des personnes concernées - clients, fournisseurs, prospects, candidats - le respect des droits de propriété intellectuelle des tiers, etc.) ;
• Un engagement de sécurité ;
• Un engagement de contrôle des résultats de l’IA ;
• Un rappel des sanctions disciplinaires ;
• Etc.

💡Globalement, la charte informatique traite de tous les usages de l’informatique par les collaborateurs de l’entreprise. Elle inclut donc le droit à la déconnexion du salarié, les conséquences en cas de départ de l’entreprise, etc.

IA dans la gestion des ressources humaines : comment prévenir les risques ?

Identifier les risques liés à un usage de l’IA

Comme nous l’avons vu, l’utilisation d’un outil IA peut engendrer plusieurs risques pour l’entreprise :

• Atteinte à la confidentialité de ses informations ;
• Divulgation de son savoir-faire ;
• Atteinte aux droits de propriété intellectuelle des tiers ;
• Etc.

Les risques ne concernent pas seulement l’entreprise. L’utilisation de l’IA peut également représenter un danger pour les droits des salariés :

• Atteinte au respect de la vie privée sur le lieu de travail ;
• Profilage et perte de contrôle de leurs données ;
• Surveillance et contrôle renforcés ;
• Peur du remplacement par la machine.

Mettre en place une solide gouvernance d’entreprise

Une gouvernance d’entreprise mise en place à plusieurs niveaux permet ensuite de documenter la conformité juridique des outils d’intelligence artificielle au travail. Cela passe notamment par :

• Des actions de sensibilisation des collaborateurs aux risques de l’IA ;
• La mise d’une charte informatique ;
• La formation des salariés (maîtrise des prompts pour l’IA générative, par exemple) ;
• Des plans de sauvegarde et de continuité en cas de survenance d’un incident (piratage informatique, problème technique, etc.) ;
• Une politique de sécurité des données ;
• Etc.

Se tenir informé des évolutions règlementaires

Les entreprises doivent impérativement garder un œil sur les évolutions légales en matière d’IA.

Les revendications syndicales notamment pourraient impacter la législation dans les années à venir. Il est également essentiel de s’intéresser régulièrement à la doctrine de la CNIL et à son plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus, lancé en 2023. Enfin, les employeurs doivent rester attentifs à la réglementation européenne et à sa transposition en droit français.

Assurer une veille, c’est se doter des bons outils et des bons réflexes. Au-delà des futurs textes législatifs en préparation, le cadre réglementaire existant (RGPD notamment) applicable à l’IA-RH apparaît déjà comme particulièrement dense et complexe. Afin de garantir la conformité de votre entreprise aux normes en vigueur, il est donc conseillé de solliciter l'expertise d'un cabinet d’avocats en droit de l'intelligence artificielle.