Intelligence artificielle en entreprise : « Aucun projet ne peut se faire sans le DPO »

Publié le - Mise à jour le

intelligence-artificielle-en-entreprise-aucun-projet-ne-peut-se-faire-sans-le-dpo.jpg
Voir toutes les actualités

Henri Guyot et Sophie-Anaïs Papafilippou, avocats associés spécialisés en droit du travail au sein du cabinet ærige avocats, décryptent les obligations légales qui s'imposent aux employeurs avec le déploiement de l'IA. Entretien.

L'IA Act crée-t-il de nouvelles obligations pour les employeurs ? 

Henri Guyot : Le règlement européen sur l'intelligence artificielle est entré en vigueur le 1er août 2024. L'objectif est d'établir un cadre harmonisé pour toutes les entreprises qui déploient des systèmes d'IA au sein de l'Union européenne. Le calendrier de mise en conformité s'étale jusqu'en 2027, avec des étapes progressives. Après l’interdiction des systèmes d’IA à risque inacceptable, en février 2025, puis l’application des règles pour les modèles d’IA à usage général, les DRH doivent se préparer à une nouvelle échéance en août 2026 : à cette date, le régime complet s'appliquera aux systèmes dits "à haut risque", dont la gestion des ressources humaines fait partie. 

Sophie-Anaïs Papaphilippou : Les obligations directes pour l'employeur seront alors multiples. D'abord, une supervision humaine effective : tout système d'IA devra être contrôlé par des personnes formées, capables d'identifier les erreurs, les failles ou les atteintes aux droits fondamentaux. 

L'employeur devra également assurer un suivi continu du fonctionnement du système et suspendre son usage en cas d'anomalie ou de risque grave. Enfin, l'articulation avec le Règlement sur la protection des données (RGPD) reste évidemment primordiale pour tout ce qui concerne le traitement des données personnelles. 

Les entreprises doivent-elles cartographier ces risques ? 

Henri Guyot : Exactement. C'est la prolongation de la démarche initiée par le RGPD ; l'objectif étant d'évaluer les risques pour déterminer le bon niveau de sécurité (inacceptable, élevé, limité, minimal). C'est la même logique ici. 

Comment éviter les biais algorithmiques ? 

Henri Guyot : Rien ne remplacera jamais la supervision humaine. Un système d'IA sans contrôle peut générer des biais algorithmiques, voire des aberrations. Ce n'est pas parce qu'une IA produit une décision ou s'appuie sur des jurisprudences qu'elle a nécessairement raison. Il faut pouvoir vérifier, s'assurer de la fiabilité des sources. 

Qu'en est-il du dialogue social ? Certaines entreprises ont appris à leurs dépens qu'elles auraient dû consulter le CSE... 

Sophie-Anaïs Papaphilippou : Il n'existe pas de texte spécifique imposant une consultation du CSE lors de l'introduction de l'IA. On se réfère aux dispositions existantes : d’une part, l’obligation de consulter en cas de projet important modifiant de façon significative les conditions de travail ; d’autre part, celle existant en cas d'introduction d'une nouvelle technologie ; enfin les obligations spécifiques existant en cas de suppression de postes ou de compression des effectifs. La réponse dépend donc du système mis en place et de son impact concret. On ne peut pas affirmer de manière générale qu'il faut systématiquement procéder à une information-consultation, cela dépend en grande partie des impacts du système qu’il est envisagé de mettre en place. 

Comment les entreprises peuvent-elles s'y retrouver ? 

Henri Guyot : Pour gérer cette complexité, plutôt que de procéder au cas par cas et de risquer des demandes de suspension de la part du CSE, l’employeur doit définir dans quels cas une consultation s'impose, quand une simple information suffit. Par exemple : dès lors qu'il y a des suppressions de postes ou que des formations de plus de 300 heures s’imposent pour maîtriser l’outil, la consultation est obligatoire. Pour les autres cas, nous pouvons proposer une revue annuelle au CSE, intégrée soit à la négociation sur les orientations stratégiques, soit à celle sur la politique sociale. 

Faut-il systématiquement réactualiser le document unique d'évaluation des risques professionnels ? 

Sophie-Anaïs Papaphilippou : Ce n'est pas automatique. Aucun texte ne l'impose. Tout dépend de l'impact du système d'IA sur les conditions de travail. S'il génère de nouveaux risques, alors oui, il faut l'intégrer au DUERP et consulter le CSE. Dans le cas contraire, ce n'est pas obligatoire. 

Qu'en est-il de l'obligation de formation ? 

Sophie-Anaïs Papaphilippou : Là encore, pas de texte spécifique. Le terme "intelligence artificielle" n'a pas été intégré au code du travail. On se réfère aux obligations générales : l'employeur doit former ses salariés lorsqu'il leur demande de travailler sur de nouveaux logiciels ou systèmes. Le maintien de l'employabilité reste une obligation. 

Comment cela s'articule-t-il avec le RGPD ? 

Henri Guyot : Mon premier conseil : intégrer systématiquement le délégué à la protection des données (DPO) dans la gouvernance de tout projet d'IA. C'est lui qui fixe ce qui est acceptable ou non. L'utilisation de l'IA nécessite une analyse d'impact pour savoir où vont les données et comment elles sont traitées. A mon sens, on ne peut pas mener un projet d'IA sans DPO dans l'entreprise. 

Mais le DPO n'est obligatoire que pour les entreprises de plus de 250 salariés... 

Henri Guyot : Certes, mais même en deçà de ce seuil, on peut nommer un DPO ou, à défaut, désigner quelqu'un ayant une sensibilité sur ces sujets. Il faut avoir une véritable hygiène numérique : savoir où vont nos données, à qui elles sont transmises, comment elles sont protégées. Le DPO est la personne la mieux placée pour cette mission. 

L'IA Act interdit certaines pratiques, notamment l'analyse des expressions faciales et des gestes. Les entreprises en ont-elles conscience ? 

Sophie-Anaïs Papaphilippou : Ces interdictions découlent déjà en grande partie des textes existants. Le code du travail français et la jurisprudence interdisent déjà ce type de pratiques. 

L'employeur ne peut pas mettre en place de systèmes de surveillance permanente des salariés. On peut s'appuyer sur ces dispositions pour proscrire les systèmes d'IA qui contrôleraient 24h/24 le comportement des collaborateurs, leurs émotions, leurs interactions avec les clients... 

Faut-il intégrer l'IA dans les négociations obligatoires, notamment sur la GEPP ? 

Sophie-Anaïs Papaphilippou : Tout dépend du niveau d'implantation de l'IA. On doit l'intégrer à la GEPP dès lors qu'il y aura un impact sur l'emploi et que certains postes deviendront sensibles. Pour la politique sociale, c'est la même logique : si l'employeur n'a aucune intention de déployer un système d'IA, ce n'est pas nécessaire. En revanche, si le déploiement peut impacter les conditions de travail, il faudra en parler. 

Henri Guyot : Même dans les entreprises où l'impact n'est pas clairement identifié, il faut anticiper. La GEPP a une périodicité triennale, ce qui peut être long. Le secret, c'est l'agilité. Il faut prévoir dans les accords la capacité de faire basculer rapidement des emplois stables vers des emplois sensibles. Compte tenu de l’accélération de l’IA, c'est une clé du succès des prochaines années. 

Doit-on associer la commission santé, sécurité et conditions de travail ? 

Sophie-Anaïs Papaphilippou : Oui, dès que le système a un impact sur la santé et la sécurité au travail, comme pour tout projet. 

Faut-il opter pour un accord ou une charte sur l’IA ? Et que doivent contenir ces textes ? 

Sophie-Anaïs Papaphilippou : Ces chartes ont surtout pour objectif d'encadrer l'utilisation sauvage de l'IA par les collaborateurs. Il s'agit d'empêcher qu'un salarié utilise ChatGPT dans le cadre de son activité sans précaution, en transmettant des données sensibles. Il n'y a pas vraiment d'intérêt à faire un accord collectif, car cela ne crée pas de droits nouveaux pour les salariés. Les chartes viennent compléter la charte informatique existante, soit en l'amendant, soit sous forme de document annexe. 

Comment doit-elle être diffusée ? 

Henri Guyot : Elle a la même valeur que le règlement intérieur. Pour pouvoir sanctionner un salarié, elle doit être intégrée au règlement intérieur et déposée à l'inspection du travail. Elle doit également faire l’objet d’une consultation du CSE en précisant les interdictions et les sanctions possibles. L’efficacité de la charte dépend de sa bonne diffusion auprès des salariés. Former les salariés, expliquer le contenu de la charte est donc clé. 

Le droit du travail doit-il évoluer ? 

Henri Guyot : Le code du travail contient déjà tous les bons réflexes et les outils nécessaires. Il s'agit simplement d'adapter des textes et des pratiques que nous connaissons déjà pour répondre aux enjeux spécifiques de l'IA. 

 

Anne Bariet

Formations qui pourraient vous intéresser

tealium