Guide pratique — IA, RH et conformité
IA et droit du travail — Ce que l'employeur doit prévoir
Une question reste sans réponse ?
Nous pouvons vous aider à clarifier votre situation.
Dans beaucoup d'organisations, l'IA entre d'abord par les usages — et les questions de cadre, de responsabilité, de contrôle, d'information des salariés et de conditions de travail viennent seulement après. Pour l'employeur, le sujet n'est pas seulement "peut-on utiliser l'IA ?" : c'est "qu'a-t-on prévu avant que l'IA ne touche à l'activité, au pilotage, à l'évaluation, aux données ou à l'organisation du travail ?" Cette page aide à identifier les principaux sujets de droit du travail et d'encadrement employeur à anticiper, sans la transformer en traité juridique. Les sources européennes et la CNIL convergent sur ce besoin de cadrage en amont.
Le rôle du CSE et du dialogue social dans l'introduction de l'IA
L'introduction de l'IA dans le travail n'est pas uniquement un sujet de conformité individuelle ou de sensibilisation des managers : c'est aussi un sujet de dialogue social. Quand un usage modifie les conditions de travail, introduit une logique d'évaluation, de suivi ou de contrôle, ou affecte l'organisation du travail, le CSE peut avoir vocation à être informé, voire consulté selon les cas. Prendre ce sujet en amont renforce la légitimité du déploiement et réduit les tensions qui apparaissent lorsque les salariés découvrent trop tard le rôle réel de l'outil.
Quand l'IA modifie l'organisation du travail
L'IA peut modifier l'organisation du travail de façon visible — introduction d'un nouvel outil, redéfinition de tâches — ou de façon progressive et peu perceptible. Dans les deux cas, l'employeur doit anticiper plusieurs effets :
- Évolution du contenu et du périmètre de certains postes
- Modification des rythmes, des priorités ou des méthodes de travail
- Apparition de nouvelles exigences de compétences sans accompagnement prévu
- Modification des critères d'évaluation sans que les collaborateurs en aient été informés
Ces modifications peuvent relever de l'obligation d'information et de consultation des représentants du personnel selon leur nature et leur portée.
Quand elle influence une décision sur une personne
Le niveau de vigilance de l'employeur doit augmenter proportionnellement à l'influence de l'IA sur des décisions concernant directement les salariés. Il faut distinguer :
- Assistance de préparation — l'IA aide à structurer un dossier, à synthétiser des informations. Risque faible, supervision normale suffisante.
- Recommandation influente — l'IA produit un score, un classement ou une suggestion qui oriente fortement la décision. Supervision humaine explicite et documentée requise.
- Décision appliquée automatiquement — la sortie de l'IA détermine directement une conséquence sur le salarié sans intervention humaine réelle. Situation à haut risque juridique, potentiellement non conforme au RGPD et au droit du travail.
Pourquoi l'employeur reste responsable du cadre d'usage
L'introduction d'un outil IA ne transfère pas la responsabilité juridique vers le fournisseur. L'employeur qui déploie un système d'IA pour ses salariés reste responsable :
- Des conditions dans lesquelles il est utilisé
- Des décisions qui en résultent ou qu'il influence
- De la formation des personnes qui l'utilisent
- De la conformité aux règles de droit du travail et de protection des données
La Commission européenne rappelle explicitement que les deployers de systèmes d'IA ont des responsabilités spécifiques — y compris lorsque l'outil est fourni par un tiers.
Les zones les plus sensibles pour l'employeur
Tous les usages IA en entreprise ne créent pas le même niveau de risque pour l'employeur. Les zones les plus sensibles sont celles où l'outil influe sur des personnes : conditions de travail, recrutement, allocation des tâches, suivi d'activité, performance, promotion, sanction ou rupture de contrat. Plus l'IA intervient près d'une décision ayant des effets sur un salarié ou un candidat, plus les exigences de documentation, de supervision humaine, d'information et de proportionnalité augmentent. Les sous-sections suivantes détaillent ces zones de vigilance.
Information des salariés et clarté du cadre
L'employeur a une obligation d'information vis-à-vis de ses salariés lorsqu'un système d'IA est introduit dans leurs conditions de travail. Cette obligation couvre au minimum :
- L'existence du système et sa nature (outil d'assistance, d'évaluation, de suivi...)
- Les données collectées ou traitées sur les salariés dans ce cadre
- Le rôle effectif de l'outil dans les décisions qui les concernent
- Les droits qu'ils peuvent exercer, notamment en matière d'accès et de contestation
Cette information doit être fournie avant le déploiement, pas après que les salariés ont constaté les changements.
Conditions de travail, organisation et évolution des tâches
L'introduction de l'IA peut modifier les conditions de travail de façon significative sans que cela soit perçu comme un changement formel nécessitant une consultation. L'employeur doit examiner si les usages IA envisagés :
- Modifient substantiellement le contenu des postes ou les méthodes de travail habituelles
- Créent de nouvelles charges cognitives ou de nouvelles pressions sur les collaborateurs
- Rendent certaines compétences actuelles obsolètes sans plan de transition prévu
- Modifient les critères et les modalités d'évaluation des salariés sans information préalable
Ces modifications peuvent déclencher des obligations de consultation du CSE selon leur nature et leur ampleur.
Modalités de contrôle, d'évaluation et de supervision
L'IA peut modifier les modalités de contrôle des salariés — parfois de façon directe (outils de suivi d'activité) et parfois de façon indirecte (tableaux de bord RH alimentés par des systèmes d'analyse). L'employeur doit s'assurer que :
- Les modalités de contrôle restent proportionnées à la finalité poursuivie
- Les salariés ont été informés des outils de suivi ou d'analyse qui les concernent
- Le système ne constitue pas un dispositif de surveillance disproportionné au regard des droits des salariés
- Les critères d'évaluation intégrant l'IA ont été communiqués et sont explicables
Ce que l'AI Act change pour l'employeur quand l'IA touche à l'emploi ou aux travailleurs
L'AI Act ne vise pas seulement les fournisseurs de technologies. Il crée aussi des obligations et des responsabilités pour les organisations qui déploient des systèmes d'IA, en particulier lorsque ceux-ci touchent à l'emploi, à la gestion des travailleurs ou à l'accès à l'emploi. Pour un employeur, cela change la nature du sujet : il ne s'agit plus seulement de savoir si l'outil est utile, mais aussi s'il relève d'une catégorie à haut risque, s'il est utilisé conformément à son cadre, et si les personnes qui l'emploient sont suffisamment formées pour le faire de façon responsable.
Recrutement, présélection et accès à l'emploi
Le recrutement est le premier domaine explicitement classé dans le périmètre des systèmes à haut risque par l'AI Act. Les systèmes utilisés pour trier, scorer ou présélectionner des candidats entrent dans cette catégorie. Pour l'employeur-deployer, cela implique :
- Vérifier que le fournisseur de l'outil respecte ses obligations de conformité AI Act
- Maintenir une supervision humaine réelle sur les sorties du système
- Être en mesure de justifier les décisions de recrutement influencées par l'outil
- Informer les candidats de l'existence d'un traitement automatisé dans le processus
La page dédiée aux risques juridiques du recrutement traite ce sujet en profondeur.
Allocation des tâches, suivi, performance et promotion
L'AI Act classe également comme à haut risque les systèmes utilisés pour la gestion des travailleurs, notamment ceux qui :
- Allouent les tâches de façon automatique ou semi-automatique (plateformes, logistique, centres d'appel)
- Évaluent la performance en temps réel ou de façon continue
- Influencent les promotions, la mobilité ou l'accès à des opportunités de développement
- Gèrent des sanctions ou des décisions disciplinaires avec une composante algorithmique
L'employeur qui déploie de tels systèmes ne peut pas se contenter d'avoir signé un contrat avec le fournisseur — il doit s'assurer que son propre usage est conforme et supervisé.
Résiliation, pilotage ou influence sur les décisions RH
Les décisions les plus lourdes de conséquences — rupture de contrat, sanction, mise à l'écart — ne peuvent pas reposer sur une recommandation automatisée sans validation humaine explicite et documentée. Si l'IA a joué un rôle dans la chaîne de décision, ce rôle doit pouvoir être expliqué et ne peut pas être la seule justification invoquée. La page sur les risques RH de l'IA et la page sur le RGPD des données RH complètent ce point avec les obligations de protection des données correspondantes.
Ce qu'un employeur doit cadrer avant d'étendre les usages de l'IA
Avant de banaliser les usages de l'IA dans une organisation, l'employeur doit avoir tranché un certain nombre de questions qui ne peuvent pas rester sans réponse — sous peine de se retrouver dans une situation de cadre insuffisant lorsqu'un incident survient. Ces questions ne sont ni complexes ni exhaustives : elles constituent le minimum de gouvernance qu'un employeur responsable doit avoir mis en place. Les sous-sections qui suivent permettent de structurer ce cadrage avant tout élargissement des usages.
Quand un outil devient un dispositif de contrôle
Un outil d'IA peut devenir un dispositif de contrôle des salariés sans que cela ait été explicitement prévu. Exemples concrets :
- Un outil de synthèse de communications internes qui génère des rapports d'activité individuelle
- Un tableau de bord RH qui suit en temps réel le volume ou la cadence de production de chaque salarié
- Un système d'allocation des tâches qui mesure implicitement les temps de traitement individuels
- Un outil de messagerie IA qui consigne les échanges et permet une analyse postérieure
Dès que l'outil produit des données sur l'activité individuelle des salariés, il devient potentiellement un dispositif de contrôle soumis aux obligations CNIL sur le travail et les données personnelles.
Proportionnalité, minimisation et finalité
Trois principes que l'employeur doit appliquer avant tout usage IA impliquant un suivi ou un contrôle des salariés :
- Proportionnalité — le dispositif de contrôle doit être proportionné à la finalité poursuivie. Un suivi permanent de l'activité individuelle pour "optimiser la productivité" peut être disproportionné au regard du droit des salariés à une vie privée dans le cadre professionnel.
- Minimisation — seules les données strictement nécessaires à la finalité déclarée doivent être collectées. Un outil qui capte plus d'informations que nécessaire viole ce principe.
- Finalité — les données collectées pour une finalité (améliorer un processus) ne peuvent pas être réutilisées pour une autre (évaluer individuellement un salarié) sans base légale appropriée.
Traces, accès, messagerie, données d'activité et outils professionnels
La CNIL a posé des limites claires sur ce que l'employeur peut faire avec les données numériques de ses salariés. Points de vigilance spécifiques pour les usages IA :
- Messagerie professionnelle — l'employeur peut y accéder dans des conditions strictes ; utiliser une IA pour analyser automatiquement les échanges dépasse ces conditions dans la grande majorité des cas
- Documents personnels — les fichiers identifiés comme personnels sur un ordinateur professionnel ne peuvent pas être analysés par une IA sans consentement
- Données d'activité — les logs, historiques et traces d'activité numérique ne peuvent pas être utilisés pour surveiller ou évaluer les salariés sans cadre explicitement déclaré et proportionné
Supervision humaine, responsabilité et droit à la relecture critique
L'une des questions les plus importantes pour un employeur est de définir où s'arrête l'assistance de l'IA et où commence la décision humaine réelle. Cette ligne de partage n'est pas seulement éthique — elle est juridique. Si une décision affectant un salarié est attribuée à un outil sans vérification humaine réelle, l'employeur peut se retrouver dans une situation de décision automatisée non conforme au RGPD et potentiellement contestable devant les prud'hommes ou une autorité de contrôle.
Aide à la décision ou décision réellement appliquée
La distinction entre aide à la décision et décision automatisée est fondamentale en droit — et elle est souvent brouillée dans la pratique. Pour l'employeur, la question est simple : si le résultat de l'IA est appliqué sans que personne n'ait réellement examiné et validé la décision, il s'agit d'une décision automatisée ou quasi automatisée, indépendamment du fait qu'un humain ait cliqué à la fin du processus. Cette distinction conditionne directement les obligations juridiques applicables, notamment au regard du RGPD et du droit du travail.
Pourquoi l'employeur doit garder une validation humaine réelle
Une "validation humaine" qui consiste à cliquer sur "valider" sans avoir examiné les critères, les résultats et leurs implications n'est pas une supervision au sens juridique. Pour être valide, la supervision humaine doit être :
- Réelle — un professionnel compétent examine le résultat avant qu'il ne produise ses effets
- Éclairée — la personne comprend suffisamment le rôle de l'outil, ses limites et les critères utilisés
- Effective — elle peut contredire, corriger ou écarter le résultat proposé par l'IA
Sans ces trois conditions, la présence d'un humain dans la boucle ne suffit pas à sécuriser juridiquement l'usage.
Documenter le rôle effectif de l'outil dans la chaîne de décision
La documentation du rôle de l'IA dans une décision n'est pas un exercice formel — c'est la condition de la justifiabilité de cette décision si elle est contestée. L'employeur doit être en mesure de répondre à ces questions pour tout usage IA influençant des décisions sur des personnes :
- À quelle étape l'outil intervient-il ?
- Produit-il une simple aide, une recommandation, un score, un classement, ou une décision ?
- Qui examine la sortie de l'outil avant effet ?
- Quels critères humains permettent de confirmer, corriger ou écarter le résultat ?
Former, informer et outiller les équipes avant la banalisation des usages
L'AI Act impose aux organisations qui déploient des systèmes d'IA de veiller à ce que les personnes qui les utilisent pour le compte de l'organisation disposent d'un niveau suffisant d'AI literacy — adapté au contexte d'usage, aux personnes concernées et au niveau de risque des systèmes déployés. Pour l'employeur, cette obligation n'est pas une formalité : c'est une condition de la conformité et de la responsabilité.
Pourquoi l'AI literacy concerne aussi l'employeur
L'article 4 de l'AI Act impose aux deployers de systèmes d'IA de prendre des mesures pour garantir que les personnes qui utilisent ces systèmes pour le compte de l'organisation disposent d'un niveau suffisant d'AI literacy. Pour l'employeur, cela se traduit en trois obligations pratiques :
- Identifier quels usages et quels outils nécessitent une formation spécifique
- Former les personnes qui utilisent ces outils selon leur rôle et leur niveau d'impact sur les décisions
- Ne pas banaliser des usages à risque sans accompagnement structuré
L'AI literacy n'est donc pas seulement une affaire d'utilisateurs finaux — c'est une responsabilité d'organisation.
Quels profils doivent être formés en priorité
La formation ne doit pas être uniforme — elle doit être calibrée selon le rôle et le type d'usage :
- Utilisateurs réguliers — formation métier sur les usages spécifiques à leur poste, les données autorisées et les limites de l'outil
- Managers — formation sur la supervision des sorties IA, la responsabilité dans les décisions influencées par l'outil, et les signaux d'alerte à identifier
- RH et DPO — formation sur les obligations de conformité, les droits des personnes et les procédures d'escalade
- Direction — sensibilisation aux obligations de deployer et aux risques juridiques des usages non encadrés
Passer d'usages dispersés à un cadre intelligible
Dans la plupart des organisations, les usages IA se sont développés avant le cadre — ce qui produit une situation d'hétérogénéité risquée : des pratiques différentes selon les services, des niveaux de vigilance très variables, et des zones d'exposition non identifiées. Passer d'usages dispersés à un cadre intelligible suppose :
- Cartographier les usages existants, y compris les usages informels
- Identifier les usages à risque élevé qui nécessitent un encadrement urgent
- Formaliser un cadre minimal (politique, charte, règles de supervision) avant de banaliser davantage les usages
- Former les personnes en lien avec le cadre établi, pas en parallèle de lui
Ce qu'un employeur doit cadrer avant d'étendre les usages de l'IA
Avant de banaliser les usages de l'IA dans une organisation, l'employeur doit avoir tranché un certain nombre de questions qui ne peuvent pas rester sans réponse — sous peine de se retrouver dans une situation de cadre insuffisant lorsqu'un incident survient. Ces questions ne sont ni complexes ni exhaustives : elles constituent le minimum de gouvernance qu'un employeur responsable doit avoir mis en place.
Les questions à trancher avant généralisation
Checklist de cadrage employeur avant extension des usages IA dans l'organisation :
- Les salariés et les représentants du personnel ont-ils été informés des usages IA qui les concernent ?
- Les usages qui influencent des décisions sur les personnes sont-ils documentés et supervisés par des humains compétents ?
- Les dispositifs de suivi ou d'analyse d'activité respectent-ils les limites posées par la CNIL sur le travail et les données personnelles ?
- Les outils potentiellement à haut risque au titre de l'AI Act sont-ils identifiés et leurs conditions d'usage vérifiées ?
- Le niveau de formation des équipes utilisant ces outils est-il adapté au contexte et aux risques ?
- Un cadre documentaire (politique, charte) est-il en place et connu des équipes ?
Qui associer : RH, juridique, DPO, IT, managers
Le cadrage des usages IA par l'employeur ne repose pas sur une seule fonction. Les profils indispensables selon les sujets :
- DRH — cohérence avec les pratiques RH, conditions de travail, information des salariés et partenaires sociaux
- Direction juridique — qualification des risques en droit du travail, non-discrimination, obligations de consultation
- DPO — conformité RGPD, droits des personnes, AIPD si nécessaire
- IT / RSSI — sécurité, flux de données, intégration et hébergement
- Managers — réalité opérationnelle des usages, supervision dans les processus métier
Quand un usage doit être freiné, revu ou mieux encadré
Trois situations qui doivent déclencher une pause et une révision du cadre :
- Freiner — un usage à fort impact sur les salariés se diffuse sans que personne n'ait vérifié sa conformité, sa proportionnalité et sa documentation
- Revoir — un outil est utilisé d'une façon différente de celle initialement prévue, ou commence à influencer des décisions individuelles
- Mieux encadrer — un usage utile se développe rapidement mais sans règles partagées sur les données, la validation humaine ou la remontée d'incidents
À propos de l'auteur
Marc-François MICHEL est Docteur en Mathématiques, formateur professionnel d'adultes certifié FPA spécialisé en formation IA en entreprise, pilotage de projets IA, transformation digitale, pédagogie professionnelle.
Marc-François Michel, Docteur en Mathématiques et formateur certifié FPA, accompagne dirigeants, managers et équipes dans l'appropriation réaliste et opérationnelle de l'IA depuis 28 ans. Son approche, centrée sur la prise de décision et le pilotage, vise à rendre l'IA compréhensible et exploitable dans les pratiques professionnelles. Il intervient en intra-entreprise avec une pédagogie claire, sans jargon, fondée sur des cas concrets adaptés à chaque secteur et des outils directement applicables en situation de travail.
Questions fréquentes
- Quelles obligations l'employeur doit-il anticiper avant de déployer des usages d'IA ?
-
L'employeur doit anticiper au minimum six sujets avant de généraliser les usages IA : informer les salariés et, selon les cas, informer ou consulter les représentants du personnel sur les systèmes introduits ; vérifier que les usages influençant des décisions sur les personnes disposent d'une supervision humaine documentée ; s'assurer que les outils de suivi ou d'analyse d'activité respectent les limites posées par la CNIL en matière de contrôle des salariés ; identifier les systèmes potentiellement à haut risque au titre de l'AI Act et vérifier leur conformité ; garantir un niveau suffisant d'AI literacy aux personnes qui utilisent ces systèmes ; et formaliser un cadre documentaire minimal (politique d'usage, charte) avant tout élargissement des usages.
- L'employeur peut-il utiliser l'IA pour surveiller ou évaluer les salariés ?
-
Pas sans conditions strictes. L'employeur peut utiliser des outils d'IA pour suivre certaines données d'activité ou appuyer des évaluations, mais ce droit est encadré par des principes que la CNIL rappelle régulièrement : proportionnalité, minimisation, finalité et information des salariés. Un dispositif de surveillance continue, une analyse automatique des communications internes, ou un scoring de performance basé sur des données captées sans information préalable peuvent constituer des violations du droit des salariés. L'employeur doit vérifier la proportionnalité du dispositif au regard de la finalité poursuivie, informer les salariés de son existence, et s'assurer que les données collectées ne sont pas réutilisées à des fins non déclarées.
- L'IA peut-elle participer à des décisions concernant l'emploi ou la gestion des travailleurs ?
-
Elle peut participer à la préparation de ces décisions — mais pas les porter seule. Les systèmes utilisés pour le recrutement, la présélection, la gestion des performances, l'allocation des tâches ou les décisions de promotion figurent parmi les systèmes à haut risque au titre de l'AI Act. L'employeur qui déploie de tels systèmes doit maintenir une supervision humaine réelle sur chaque décision influencée par l'outil, documenter le rôle de l'IA dans la chaîne de décision, et être en mesure de justifier la décision à la personne concernée. Une décision appliquée automatiquement sans validation humaine réelle est potentiellement non conforme au RGPD et contestable sur le fond.
- Quelle différence entre droit du travail, RGPD RH et risques RH de l'IA ?
-
Ces trois sujets sont distincts et complémentaires. Le droit du travail traite les obligations de l'employeur dans la relation de travail : information et consultation des représentants du personnel, conditions de travail, pouvoir de direction et ses limites, surveillance et contrôle, obligations de formation. Le RGPD des données RH traite la conformité en matière de protection des données personnelles des collaborateurs et candidats — base légale, minimisation, droits des personnes, sécurité. Les risques RH de l'IA couvrent un périmètre plus large : discrimination, opacité, surveillance, effets sur la santé mentale, inégalités d'usage. Un usage IA en RH peut soulever des questions dans les trois registres simultanément, avec des interlocuteurs et des remèdes différents.
- Faut-il former les salariés et managers avant de généraliser les outils d'IA ?
-
Oui, c'est à la fois une obligation et une condition pratique de sécurité. L'article 4 de l'AI Act impose aux deployers de systèmes d'IA de veiller à ce que les personnes qui les utilisent pour le compte de l'organisation disposent d'un niveau suffisant d'AI literacy. Cette obligation n'est pas une formation universelle identique pour tous — elle doit être adaptée au contexte d'usage, aux personnes concernées et au niveau de risque des systèmes déployés. Sur le plan pratique, un usage généralisé sans formation produit des pratiques hétérogènes, des réflexes incorrects et des zones d'exposition non contrôlées. Former avant de banaliser est toujours moins coûteux que remédier après un incident.
Sources et références
- AI Act — cadre réglementaire européen — Commission européenne ,
- Navigating the AI Act — Commission européenne ,
- AI Literacy — Questions & Answers — Commission européenne ,
- Travail et données personnelles — CNIL ,
- Les règles pour la gestion du personnel — CNIL ,
- Messagerie professionnelle : mon employeur peut-il y accéder ? — CNIL ,
- Ordinateur professionnel : mon employeur peut-il lire les documents identifiés comme personnels ? — CNIL ,
- IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable — CNIL ,
Informations complémentaires
Sommaire
Formation associée
Découvrir la formation « RH : sécuriser les usages de l'IA »
Sur le même sujet
- RGPD et données RH à l'ère de l'IA — Ce que tout DRH doit savoir
- IA et recrutement — Risques juridiques et bonnes pratiques pour les DRH
- Risques RH de l'IA — Guide complet pour les professionnels des ressources humaines
- Construire une politique d'usage de l'IA en entreprise
- Comment rédiger une charte d'usage de l'IA pour ses collaborateurs ?
- Quelles données ne faut-il jamais partager avec une IA au travail ?
Posez nous des questions
UCert est un organisme de formation créé et déclaré en 2007. A ce titre, il a été certifié Qualiopi en juin 2020 pour la catégorie "actions de formation".
Depuis 2020, nous avons réalisé plus de 380 formations spécialisées et sur mesure et formé plus de 900 personnes.
