Guide pratique — IA, RH et conformité
RGPD et données RH à l'ère de l'IA — Ce que tout DRH doit savoir
Une question reste sans réponse ?
Nous pouvons vous aider à clarifier votre situation.
Les services RH commencent à utiliser l'IA pour résumer, analyser, classer, rédiger ou explorer des informations — mais ils travaillent sur des données parmi les plus sensibles de l'entreprise. Le vrai sujet n'est pas "peut-on utiliser l'IA en RH ?" : c'est dans quelles conditions les données RH peuvent-elles être traitées sans sortir du cadre du RGPD. La CNIL rappelle que les traitements IA impliquant des données personnelles doivent respecter le RGPD et les droits des personnes. Cette page donne aux DRH un repère clair pour identifier les points de vigilance avant d'exposer des données RH à un outil d'IA.
Pourquoi les données RH exigent une vigilance renforcée à l'ère de l'IA
Les données RH ne sont pas des données comme les autres. Elles concernent des personnes identifiées, dans une relation de travail ou une démarche de candidature, avec des enjeux réels sur leur vie professionnelle et personnelle. Quand ces données circulent dans des outils d'IA, les risques de traitement non conforme, de collecte excessive ou d'utilisation hors finalité initiale se matérialisent plus facilement — souvent sans que les équipes RH en soient conscientes.
Des données personnelles nombreuses, variées et souvent très contextualisées
Un service RH traite en permanence des données très variées :
- Données d'identification — noms, coordonnées, numéros de sécurité sociale
- Données de situation professionnelle — poste, rémunération, ancienneté, évaluations
- Données de gestion — absences, congés, temps de travail, formations suivies
- Données relationnelles — notes de managers, comptes rendus d'entretiens, feedbacks, tensions signalées
- Données sensibles au sens RGPD — état de santé, handicap, grossesse, orientation syndicale
Chacune de ces catégories a sa propre base légale, sa propre durée de conservation et ses propres règles d'accès. L'injecter dans un outil d'IA sans vérifier ces règles expose à des violations potentiellement graves.
Une relation de travail qui accroît les enjeux de protection
La relation employeur-salarié est structurellement asymétrique. Le salarié ne peut pas toujours exercer librement ses droits RGPD face à son employeur — crainte de représailles, dépendance économique, difficulté à s'opposer à un traitement. Cette asymétrie impose à l'employeur une responsabilité renforcée : ne pas utiliser les données des collaborateurs de façon disproportionnée, ne pas créer de systèmes de surveillance déguisés, et garantir des droits réellement exercables. Les usages d'IA qui analysent les comportements, les performances ou les situations individuelles doivent être appréciés à l'aune de cette réalité.
Des données parfois sensibles, parfois banales en apparence mais risquées en contexte
Certaines données RH sont évidemment sensibles — données de santé, données syndicales. D'autres semblent banales mais peuvent devenir risquées en contexte :
- Une liste d'absences sans motif peut permettre d'inférer un état de santé
- Un historique de demandes de temps partiel peut révéler une situation familiale protégée
- Des notes d'entretien peuvent contenir des éléments sur l'état psychologique d'un collaborateur
- Un tableau de mobilité peut révéler des situations personnelles sensibles
La banale en apparence devient risquée dans le contexte IA : un modèle peut recombiner ces informations et produire des inférences que personne n'avait anticipées.
Quels principes du RGPD doivent guider les usages IA sur des données RH
L'usage d'un outil d'IA ne suspend aucun principe du RGPD — il les applique à un contexte nouveau, parfois plus complexe à maîtriser. Les principes fondamentaux restent les mêmes : ils doivent être vérifiés avant tout déploiement et non après un incident. La CNIL rappelle que l'innovation technologique et la protection des données sont conciliables, mais sous conditions explicites.
Finalité, minimisation et proportionnalité
Trois principes fondamentaux à vérifier avant tout usage IA sur des données RH :
- Finalité — les données doivent être utilisées uniquement pour la finalité pour laquelle elles ont été collectées. Utiliser des données d'évaluation annuelle pour alimenter un outil de sourcing de candidatures internes peut constituer une réutilisation hors finalité si ce n'était pas prévu initialement.
- Minimisation — seules les données strictement nécessaires doivent être traitées. Un outil d'IA qui reçoit l'intégralité d'un dossier collaborateur alors qu'il n'a besoin que de deux informations viole ce principe.
- Proportionnalité — le traitement doit être adapté au but poursuivi. Une analyse IA sur l'ensemble des entretiens annuels d'un service pour "identifier des tendances" peut être disproportionnée si le même résultat peut être obtenu par d'autres moyens moins intrusifs.
Base légale, durée de conservation et sécurité
Trois autres principes critiques :
- Base légale — chaque traitement doit reposer sur une base juridique valide (contrat, obligation légale, intérêt légitime, consentement selon les cas). L'usage d'une IA sur des données RH doit s'inscrire dans une base légale clairement identifiée avant tout déploiement.
- Durée de conservation — les données ne peuvent pas être conservées plus longtemps que nécessaire. Un outil d'IA entraîné ou alimenté avec des données RH périmées ou au-delà de la durée de conservation légale crée une non-conformité.
- Sécurité — des mesures techniques et organisationnelles appropriées doivent protéger les données contre tout accès non autorisé, fuite ou utilisation abusive. L'outil d'IA, son hébergement et ses flux de données doivent être évalués sous cet angle avant tout usage.
Information des personnes et exercice des droits
Les personnes dont les données sont traitées doivent être informées et pouvoir exercer leurs droits :
- Droit d'information — les collaborateurs et candidats doivent savoir que leurs données sont traitées via un outil d'IA, pour quelle finalité et avec quelles garanties
- Droit d'accès — pouvoir obtenir communication de leurs données et comprendre comment elles sont utilisées
- Droit de rectification — corriger des données inexactes
- Droit d'opposition — s'opposer à certains traitements, notamment ceux fondés sur l'intérêt légitime
- Droit relatif aux décisions automatisées — bénéficier d'une intervention humaine si une décision significative est prise automatiquement
Ces droits ne sont pas suspendus par l'usage d'une IA — ils doivent rester concrètement exercables.
Où apparaissent les principaux risques RGPD dans les usages IA RH
Les risques RGPD dans les usages IA RH ne se limitent pas aux situations évidentes — traitement de données de santé ou de fichiers de paie. Ils apparaissent aussi dans des usages qui semblent anodins : résumer des comptes rendus d'entretien, analyser des tableaux de suivi, ou demander à une IA de "synthétiser" un dossier collaborateur.
Réutiliser des données RH hors de leur finalité initiale
C'est l'une des erreurs les plus fréquentes. Exemples concrets :
- Utiliser des données collectées lors d'un entretien annuel pour alimenter un outil d'analyse de sentiment sur le climat social — sans que cette finalité ait été annoncée
- Croiser des données d'absentéisme avec des profils de performance pour identifier des "collaborateurs à risque" via une IA
- Réinjecter dans un outil de matching interne des données issues de dossiers de recrutement dont la durée de conservation est dépassée
Ces réutilisations peuvent sembler logiques d'un point de vue RH — elles sont souvent non conformes au RGPD si elles n'étaient pas prévues dans la finalité initiale du traitement.
Injecter trop de données dans un outil d'IA
La tentation est grande de coller l'intégralité d'un dossier, d'un tableau ou d'un compte rendu pour gagner du temps. Mais chaque champ non nécessaire injecté dans un outil est une violation potentielle du principe de minimisation. Exemples :
- Télécharger un tableau RH complet (avec salaires, statuts familiaux, historiques d'absences) pour demander à l'IA de calculer une statistique qui ne nécessite que deux colonnes
- Coller un compte rendu d'entretien intégral — incluant des éléments personnels non pertinents — pour en faire un résumé
- Soumettre un dossier de candidature complet incluant des informations non pertinentes au regard du poste
La règle : ne soumettre que les données strictement nécessaires à la tâche demandée, et rien de plus.
Perdre la maîtrise des destinataires, des flux ou des traces
Quand un outil d'IA est utilisé sur des données RH, plusieurs questions de flux se posent :
- Où les données sont-elles envoyées ? (serveurs du fournisseur, cloud, hébergement hors UE ?)
- Les données peuvent-elles être utilisées pour entraîner le modèle du fournisseur ?
- Qui, dans l'organisation du fournisseur, peut y accéder ?
- Les accès aux données dans l'outil sont-ils tracés et auditables ?
Sans réponse claire à ces questions, l'organisation ne maîtrise pas son traitement — ce qui constitue en soi une non-conformité RGPD.
Laisser émerger des inférences ou des réidentifications non prévues
Un risque spécifique de l'IA est sa capacité à combiner des informations pour produire des inférences que personne n'avait anticipées. Exemple : un outil entraîné sur des données d'absence, de mobilité et de rémunération peut déduire des situations personnelles sensibles — grossesse, maladie, situation de proche aidant — sans que ces données aient été explicitement fournies. L'EDPB souligne que des risques d'extraction ou de divulgation de données peuvent subsister dans les LLM, même quand les données semblent protégées ou anonymisées. Ces risques d'inférence et de réidentification doivent être évalués avant tout usage IA sur des volumes importants de données RH.
Ce qu'il vaut mieux éviter d'injecter dans une IA quand on travaille en RH
Le réflexe de copier-coller un document entier dans un outil d'IA pour aller plus vite est particulièrement dangereux en contexte RH. Certaines données relèvent de l'interdit quasi absolu dans un outil non sécurisé ; d'autres exigent au minimum une anonymisation, une base légale claire, ou un arbitrage préalable. Les erreurs les plus graves ne sont pas toujours les plus visibles : une donnée banale en apparence peut devenir hautement sensible dans son contexte d'usage.
Recrutement, présélection et mobilité interne
Ces usages combinent des données personnelles et des décisions à impact direct sur les personnes. Ils nécessitent :
- Une base légale identifiée pour le traitement des données de candidats ou de collaborateurs dans l'outil IA
- Une information des personnes sur l'usage de l'IA dans le processus
- Une supervision humaine réelle sur les décisions produites ou influencées par l'outil
- Une vérification de conformité AI Act si l'outil est potentiellement classé à haut risque
La page dédiée aux risques juridiques de l'IA en recrutement traite ce cas en profondeur.
Évaluation, performance et feedbacks
Les données d'évaluation sont parmi les plus sensibles du dossier RH. Les précautions minimales quand une IA intervient sur ces données :
- Ne pas injecter de notes, commentaires ou évaluations individuelles dans un outil grand public sans DPA adapté
- S'assurer que les résultats produits par l'IA ne sont pas utilisés comme fondement unique d'une décision d'évaluation ou de rémunération
- Maintenir une traçabilité humaine sur toute décision significative influencée par l'outil
- Vérifier que les collaborateurs ont été informés de l'existence d'un tel traitement
Gestion administrative, tableaux RH et synthèses de dossiers
Ces usages semblent plus anodins mais concentrent souvent des volumes importants de données personnelles. Les points de vigilance :
- Un tableau de gestion RH contient souvent plusieurs dizaines de champs pour des centaines de personnes — le transmettre en entier à une IA pour une question ponctuelle viole le principe de minimisation
- Une synthèse de dossier collaborateur peut concentrer des informations de plusieurs années incluant des éléments sensibles
- Les fichiers Excel ou CSV de paie, d'absences ou de temps de travail sont particulièrement risqués car ils combinent des données très identifiantes avec des informations très personnelles
Données de santé, absences, situations individuelles et alertes sensibles
Ces données relèvent de la catégorie spéciale au sens de l'article 9 du RGPD — leur traitement est en principe interdit sauf exception expresse. Dans un contexte IA :
- Un arrêt maladie, une situation de handicap, une grossesse, une situation de proche aidant ne doivent jamais transiter dans un outil d'IA grand public
- Les alertes RH, signalements internes ou situations de harcèlement documentés relèvent du secret professionnel renforcé et doivent bénéficier d'un cadre spécifique
- Même les données d'absence sans motif peuvent, par recoupement, révéler un état de santé — elles doivent être traitées avec la même vigilance que des données de santé explicites
Les bonnes questions à se poser avant d'utiliser une IA sur des données RH
Un cadre de décision simple évite la majorité des erreurs de conformité. Ces questions ne remplacent pas une analyse juridique approfondie — elles permettent de repérer rapidement les situations qui en nécessitent une. Elles prennent deux minutes à parcourir et peuvent éviter des mois de remédiation.
Ai-je vraiment besoin de ces données pour cette tâche ?
La première question à se poser :
- Ces données sont-elles strictement nécessaires à ce que je demande à l'IA ?
- Puis-je obtenir le même résultat avec des données anonymisées ou agrégées ?
- Puis-je reformuler ma demande sans inclure d'information nominative ?
Si la réponse à la deuxième ou troisième question est "oui", utilisez l'alternative moins intrusive. La minimisation n'est pas une contrainte supplémentaire — c'est la protection par défaut.
Sont-elles nécessaires, pertinentes et suffisamment protégées ?
Trois critères à vérifier simultanément :
- Nécessité — les données à injecter sont-elles toutes nécessaires, ou certaines peuvent-elles être exclues sans perte de pertinence pour le résultat ?
- Pertinence — chaque donnée utilisée est-elle pertinente au regard de la finalité du traitement ?
- Protection — l'outil utilisé offre-t-il des garanties suffisantes ? (hébergement, DPA, conditions d'utilisation, restrictions de réutilisation)
Si l'un de ces critères n'est pas satisfait, le périmètre des données transmises doit être réduit ou l'outil changé.
Qui accède au système, où vont les données, et que devient la sortie ?
Trois questions de flux à documenter :
- Accès — qui dans l'organisation et chez le fournisseur peut accéder aux données traitées ?
- Flux — les données sortent-elles de l'UE ? Y a-t-il des transferts vers des pays tiers ? Le fournisseur peut-il les réutiliser pour entraîner son modèle ?
- Sortie — la sortie de l'IA est-elle conservée quelque part ? Qui peut y accéder ? Est-elle utilisée pour alimenter d'autres traitements ?
Ces questions doivent être répondues avant tout usage — pas après un incident ou une demande de droit d'accès d'un collaborateur.
Le résultat aide-t-il ou influence-t-il une décision sur une personne ?
C'est la question la plus importante pour calibrer le niveau de vigilance :
- Si la sortie de l'IA aide un RH à préparer une action mais que la décision reste entièrement humaine — usage d'assistance, niveau de vigilance modéré
- Si la sortie de l'IA influence directement une décision d'embauche, de promotion, de mobilité ou disciplinaire — usage à supervision renforcée obligatoire, droits des personnes à garantir explicitement
- Si la sortie de l'IA est appliquée mécaniquement sans intervention humaine réelle — usage potentiellement non conforme à l'article 22 RGPD sur les décisions automatisées
Quand associer le DPO, le juridique, l'IT ou la sécurité
Toutes les situations IA RH ne nécessitent pas le même niveau de revue. Un DRH qui sait identifier les signaux qui appellent une consultation du DPO, du juridique ou de la sécurité évite deux erreurs symétriques : sur-escalader des situations banales, ou sous-escalader des situations à fort risque de non-conformité.
Les signaux qui doivent déclencher une revue approfondie
Consulter le DPO, le juridique ou la sécurité devient nécessaire quand au moins un de ces signaux est présent :
- L'outil va traiter des données sensibles au sens de l'article 9 RGPD (santé, handicap, opinions syndicales)
- L'usage peut influencer une décision significative sur une personne (embauche, promotion, accès à la formation, sanctions)
- L'outil est un service tiers sans DPA formalisé avec l'organisation
- Le volume de personnes concernées est important (au-delà de quelques dizaines)
- L'outil implique des transferts de données hors UE
- L'usage n'était pas prévu dans les mentions d'information initiales des personnes concernées
Cas où une analyse d'impact peut devenir pertinente
Une analyse d'impact sur la protection des données (AIPD) est obligatoire quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. En RH IA, les cas les plus fréquents :
- Évaluation ou surveillance systématique de salariés via un outil IA
- Traitement à grande échelle de données sensibles (santé, handicap, orientation syndicale)
- Usage d'une IA pour prendre ou fortement influencer des décisions à impact individuel significatif
La CNIL publie des ressources pour aider à déterminer si une AIPD est nécessaire dans le contexte des systèmes d'IA.
Articuler conformité RGPD, sécurité et cadre RH
La conformité RGPD d'un usage IA RH implique plusieurs dimensions qui ne relèvent pas du seul DPO :
- Le DPO vérifie la base légale, les droits des personnes, les transferts et les risques RGPD
- Le RSSI ou IT évalue la sécurité de l'outil, les accès, l'hébergement et les flux
- Le juridique vérifie les obligations contractuelles avec le fournisseur et les implications du droit du travail
- Le management RH s'assure que l'usage est cohérent avec les pratiques déclarées et les engagements vis-à-vis des représentants du personnel
Cette pluralité de regards est la condition d'une conformité réelle, pas formelle.
Sécuriser les usages RH de l'IA avant leur diffusion
Un usage RH de l'IA ne doit pas être diffusé à toute une équipe sans cadrage minimal. La logique est la même qu'en RGPD classique : tester sur un périmètre limité, valider la conformité, documenter, former — puis étendre. Cette logique de sécurisation progressive protège l'organisation et les personnes dont les données sont traitées.
Former les équipes RH aux bons réflexes
La grande majorité des non-conformités RGPD liées à l'IA en RH résultent d'une absence de formation — les équipes ne savent pas ce qu'elles ne doivent pas faire. Une formation courte et orientée cas concrets suffit à corriger les erreurs les plus fréquentes :
- Ne pas coller de données personnelles dans un outil grand public sans DPA
- Minimiser les données injectées à ce qui est strictement nécessaire
- Maintenir une supervision humaine documentée sur les décisions influencées par l'IA
- Signaler tout usage douteux au DPO ou au référent désigné
La formation RH dédiée à la sécurisation des usages IA traite ces réflexes en détail et dans le contexte des pratiques RH réelles.
Encadrer les données, les outils et les validations
Trois niveaux d'encadrement à mettre en place progressivement :
- Données — définir quelles catégories de données RH peuvent transiter dans quels types d'outils (grand public / offre entreprise avec DPA / outil interne)
- Outils — valider les outils utilisés par les équipes RH, avec vérification des garanties contractuelles et sécuritaires
- Validations — définir qui supervise les usages à fort enjeu, qui consulte le DPO, et quelle trace est conservée des décisions influencées par l'IA
Ces trois niveaux s'articulent avec la politique d'usage générale de l'organisation et la charte collaborateurs.
Relier conformité RGPD, politique d'usage et pratiques quotidiennes
La conformité RGPD d'un service RH à l'ère de l'IA n'est pas un projet ponctuel — c'est un cadre continu. Elle se construit par l'articulation de trois dimensions :
- Les règles de la politique d'usage de l'organisation définissent ce qui est autorisé et ce qui doit être validé
- La charte collaborateurs traduit ces règles en comportements quotidiens accessibles aux équipes RH
- La formation et la sensibilisation transforment ces règles en réflexes réels, dans le contexte des pratiques RH concrètes
Les pages du corpus dédiées aux risques RH de l'IA et aux usages utiles du service RH complètent utilement cette approche.
À propos de l'auteur
Marc-François MICHEL est Docteur en Mathématiques, formateur professionnel d'adultes certifié FPA spécialisé en formation IA en entreprise, pilotage de projets IA, transformation digitale, pédagogie professionnelle.
Marc-François Michel, Docteur en Mathématiques et formateur certifié FPA, accompagne dirigeants, managers et équipes dans l'appropriation réaliste et opérationnelle de l'IA depuis 28 ans. Son approche, centrée sur la prise de décision et le pilotage, vise à rendre l'IA compréhensible et exploitable dans les pratiques professionnelles. Il intervient en intra-entreprise avec une pédagogie claire, sans jargon, fondée sur des cas concrets adaptés à chaque secteur et des outils directement applicables en situation de travail.
Questions fréquentes
- Peut-on utiliser une IA sur des données collaborateurs sans risque RGPD ?
-
Oui, certains usages sont compatibles avec le RGPD — mais sous conditions. L'usage d'une IA sur des données collaborateurs doit reposer sur une base légale identifiée, respecter le principe de minimisation (seules les données nécessaires), informer les personnes concernées, et garantir la sécurité du traitement. Les usages les plus simples — reformulation d'un texte générique, préparation d'un support sans données personnelles — présentent peu de risques. Les usages qui impliquent des données nominatives, sensibles ou qui influencent des décisions sur des personnes nécessitent une vérification approfondie avant déploiement. Le RGPD ne s'oppose pas à l'IA en RH — il en conditionne les modalités.
- Quelles données RH ne faut-il jamais transmettre à un outil d'IA ?
-
Trois catégories de données ne doivent jamais transiter dans un outil d'IA grand public sans encadrement spécifique : les données de santé et données sensibles au sens de l'article 9 RGPD (maladie, handicap, grossesse, orientation syndicale, condamnations), les données individuelles permettant une décision significative sur une personne (évaluation, sanction, rupture de contrat, mobilité), et les données couvertes par le secret professionnel ou par des clauses de confidentialité contractuelles. Dans tous les autres cas, le principe de minimisation s'applique : ne transmettre que les données strictement nécessaires à la tâche, pas l'intégralité d'un dossier ou d'un tableau.
- Le RGPD s'applique-t-il aux usages d'IA générative en RH ?
-
Oui, le RGPD s'applique pleinement. La CNIL est très claire sur ce point : comme tout traitement de données personnelles, la collecte et l'utilisation de données via un système d'IA doivent respecter le RGPD et les droits des personnes. L'utilisation d'une IA générative ne crée pas de régime dérogatoire — elle s'inscrit dans le cadre existant, qui s'applique dès lors que des données permettant d'identifier directement ou indirectement une personne physique sont traitées. Un service RH qui utilise une IA générative sur des données de collaborateurs ou de candidats est soumis aux mêmes obligations que s'il utilisait tout autre système de traitement des données personnelles.
- Quand faut-il faire valider un usage IA RH par le DPO ou le juridique ?
-
La consultation du DPO devient nécessaire quand au moins un de ces éléments est présent : traitement de données sensibles (santé, handicap, orientation syndicale), usage susceptible d'influencer une décision significative sur une personne, outil tiers sans accord de traitement formalisé, volume important de personnes concernées, transfert de données hors Union européenne, ou usage non prévu dans les mentions d'information existantes. La consultation du juridique devient nécessaire quand l'usage peut générer des obligations contractuelles vis-à-vis du fournisseur ou toucher au droit du travail. En cas de doute, mieux vaut consulter avant de déployer que remédier après un incident.
- Quelle différence entre RGPD des données RH, risques RH de l'IA et droit du travail ?
-
Ces trois sujets sont distincts et complémentaires. Le RGPD des données RH traite la conformité en matière de protection des données personnelles des collaborateurs et candidats — base légale, minimisation, droits des personnes, sécurité, transferts. Les risques RH de l'IA couvrent un périmètre plus large : risques sociaux, managériaux, discriminations, impacts sur les conditions de travail, relations avec les représentants du personnel. Le droit du travail traite les obligations de l'employeur au regard du code du travail — information et consultation du CSE, surveillance des salariés, pouvoir disciplinaire. Un usage IA en RH peut soulever des questions dans ces trois domaines simultanément, avec des interlocuteurs différents (DPO, DRH, direction juridique, partenaires sociaux).
Sources et références
- Questions-réponses sur l'utilisation d'un système d'IA générative dans le milieu professionnel — CNIL ,
- How to prevent automated discrimination? — Defender of Rights ,
- AI in employment — Guidance and risk areas — Commission européenne ,
- Règlement général sur la protection des données (RGPD) — CNIL ,
- Emploi et données personnelles — CNIL ,
- Les principes clés du RGPD à l'ère de l'IA — CNIL ,
- Questions-réponses sur l'utilisation d'un système d'IA générative dans le milieu professionnel — CNIL ,
- Besoins d'encadrement des usages IA en RH — CNIL ,
Informations complémentaires
Sommaire
Formation associée
Découvrir la formation « RH : sécuriser les usages de l'IA »
Sur le même sujet
- IA et recrutement — Risques juridiques et bonnes pratiques pour les DRH
- Risques RH de l'IA — Guide complet pour les professionnels des ressources humaines
- Comment utiliser l'IA dans un service RH au quotidien ?
- IA et droit du travail — Ce que l'employeur doit prévoir
- Quelles données ne faut-il jamais partager avec une IA au travail ?
- Construire une politique d'usage de l'IA en entreprise
Posez nous des questions
UCert est un organisme de formation créé et déclaré en 2007. A ce titre, il a été certifié Qualiopi en juin 2020 pour la catégorie "actions de formation".
Depuis 2020, nous avons réalisé plus de 380 formations spécialisées et sur mesure et formé plus de 900 personnes.
