L’intelligence artificielle s’invite de plus en plus dans la gestion des ressources humaines : tri de CV, analyse de performances, chatbots RH, prédiction du turnover. Ces outils promettent des gains de temps considérables. Mais attention : chaque utilisation de l’IA en RH implique le traitement de données personnelles de vos salariés ou candidats, et donc le respect du RGPD. Voici ce que tout employeur doit savoir pour ne pas se retrouver du mauvais côté de la loi.
Pourquoi le RGPD s’applique dès que vous utilisez l’IA en RH
Le Règlement Général sur la Protection des Données (RGPD) encadre tout traitement de données personnelles dans l’Union européenne. En RH, les données personnelles sont partout : nom, prénom, adresse, numéro de sécurité sociale, évaluations, historique de carrière, données de santé lors des arrêts maladie.
Quand vous utilisez un outil d’IA pour traiter ces données, vous devenez responsable de traitement au sens du RGPD. Que vous utilisiez un logiciel de recrutement assisté par IA, un chatbot pour répondre aux questions sociales, ou un outil d’analyse prédictive, les mêmes règles s’appliquent.
Le fournisseur de l’outil est quant à lui considéré comme sous-traitant. Un contrat de sous-traitance conforme à l’article 28 du RGPD doit être signé entre vous et le prestataire. Si vous ne l’avez pas fait, vous êtes déjà en infraction.
Chiffre clé : En 2024, la CNIL a prononcé plus de 40 sanctions relatives au traitement de données de salariés. Les amendes peuvent atteindre 4 % du chiffre d’affaires annuel mondial de l’entreprise, ou 20 millions d’euros, le montant le plus élevé étant retenu.
Les 6 principes RGPD à respecter avec l’IA en RH
1. La finalité déterminée
Vous devez définir précisément pourquoi vous collectez et traitez les données. « Améliorer la gestion RH » est trop vague. « Présélectionner les candidatures sur la base de critères objectifs définis pour le poste de développeur web » est une finalité acceptable.
2. La minimisation des données
Ne collectez que les données strictement nécessaires. Si votre IA de recrutement n’a pas besoin de connaître l’âge, le sexe ou la situation familiale des candidats pour faire son travail, ne lui transmettez pas ces informations. C’est d’autant plus important que ces données peuvent entraîner des biais discriminatoires dans les algorithmes.
3. La transparence envers les personnes concernées
Vos salariés et candidats doivent être informés qu’une IA traite leurs données. Cette information doit être claire, accessible et complète : quelles données sont traitées, pourquoi, pendant combien de temps, et quels sont leurs droits.
4. La base légale du traitement
Chaque traitement doit reposer sur une base légale. En RH, les bases les plus courantes sont l’exécution du contrat de travail, le respect d’une obligation légale (déclarations sociales) et l’intérêt légitime de l’employeur. Le consentement du salarié est rarement une base valable en raison du lien de subordination.
5. La sécurité des données
Les données RH sont sensibles. Votre outil IA doit garantir un niveau de sécurité adapté : chiffrement, contrôle d’accès, pseudonymisation quand c’est possible. Vérifiez où sont hébergées les données : un hébergement hors UE implique des garanties supplémentaires (clauses contractuelles types, par exemple).
6. La limitation de la durée de conservation
Les données ne doivent pas être conservées au-delà de ce qui est nécessaire. Les CV de candidats non retenus doivent être supprimés dans un délai raisonnable (la CNIL recommande 2 ans maximum). Les données de paie doivent être conservées 5 ans. Votre outil IA doit respecter ces durées.
Focus : le recrutement par IA et les risques de discrimination
Le recrutement assisté par IA est le domaine le plus sensible. Les algorithmes de tri de CV peuvent reproduire, voire amplifier, des biais discriminatoires présents dans les données historiques. Si votre entreprise a historiquement recruté davantage d’hommes, l’IA pourrait défavoriser les candidatures féminines.
Vos obligations spécifiques :
Premièrement, réalisez une analyse d’impact (AIPD) avant de déployer un outil de recrutement par IA. Le RGPD l’impose pour les traitements automatisés qui produisent des effets juridiques sur les personnes (refuser une candidature est un effet juridique).
Deuxièmement, garantissez une intervention humaine. L’article 22 du RGPD donne aux personnes le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Concrètement, un humain doit toujours valider la décision finale de recrutement.
Troisièmement, auditez régulièrement l’algorithme pour détecter d’éventuels biais. Vérifiez les statistiques de sélection par genre, âge, origine géographique.
L’utilisation d’un assistant juridique IA : un cas particulier
Quand vous utilisez un assistant IA pour poser des questions de droit du travail, vous partagez potentiellement des informations sur vos salariés : « Mon salarié Paul Martin, en poste depuis 3 ans, est en arrêt maladie depuis 6 mois. Puis-je le licencier ? »
Bonnes pratiques : anonymisez autant que possible vos questions. Au lieu de nommer le salarié, décrivez la situation de manière générique. Vérifiez que le fournisseur de l’assistant IA n’utilise pas vos échanges pour entraîner ses modèles. Privilégiez les solutions hébergées en France ou dans l’UE.
Checklist pratique : 8 actions pour être en conformité
Voici les actions concrètes à mener si vous utilisez ou envisagez d’utiliser l’IA en RH :
Action 1 : Tenez un registre des traitements incluant chaque outil IA utilisé en RH.
Action 2 : Réalisez une analyse d’impact (AIPD) pour tout traitement automatisé ayant des effets sur les salariés ou candidats.
Action 3 : Signez un contrat de sous-traitance (article 28 RGPD) avec chaque fournisseur d’IA.
Action 4 : Informez salariés et candidats de l’utilisation de l’IA (mentions dans le contrat de travail, la politique de confidentialité, les offres d’emploi).
Action 5 : Garantissez un contrôle humain pour toute décision automatisée ayant un effet significatif.
Action 6 : Vérifiez la localisation de l’hébergement des données et les garanties en cas de transfert hors UE.
Action 7 : Définissez des durées de conservation pour chaque type de données traitées par l’IA.
Action 8 : Formez vos équipes RH aux enjeux du RGPD appliqué à l’IA.
En résumé : L’IA en RH est un formidable levier de productivité, mais elle doit s’inscrire dans un cadre RGPD rigoureux. La conformité n’est pas qu’une contrainte légale : c’est aussi un gage de confiance pour vos salariés et candidats. Et en cas de contrôle de la CNIL, mieux vaut avoir fait ses devoirs.