Échanger avec un conseiller ?
Nous sommes disponibles par téléphone de 9h à 18h du lundi au vendredi.
01 87 66 99 83
Ou planifiez un rendez-vous :
Choisir un créneau
CONFORMITÉ 04/05

RGPD, AI Act et IA en RH

L'utilisation de l'intelligence artificielle en entreprise n'est pas sans risques. Découvrez le cadre légal à respecter pour protéger l'entreprise et ses collaborateurs.

!

Avertissement légal

L'intégration de ces technologies évolue rapidement. Cette page revêt un caractère informatif. Pour vos cas concrets de déploiement en usine ou au siège, consultez systématiquement votre Data Protection Officer (DPO) ou un juriste qualifié.

Les 4 règles d'or du RGPD

1. Anonymisation absolue

Crucial

Ne mettez jamais de données identifiantes directement dans un LLM public (Nom, Prénom, NIR, salaire, site géographique, signature). Utilisez toujours des alias systématisés ("Candidat A", "Usine Z") afin d'empêcher toute remontée de données personnelles.

2. Optez pour des versions "Entreprise"

Recommandé

Les versions gratuites entraînent l'IA avec vos données. Équipez vos services RH de licences contractuelles de type Copilot for M365, ChatGPT Enterprise ou Le Chat Pro, qui garantissent formellement que vos données resteront privées.

3. Inscription au Registre des Traitements

Crucial

Tout usage récurrent de l'IA sur des données collaborateurs (même anonymisées) constitue un "traitement". Celui-ci doit être répertorié dans le registre RGPD de votre entreprise avec mention de la finalité et durée de conservation.

4. Décision entièrement automatisée

Ligne rouge

En vertu de l'article 22 du RGPD, un processus entièrement automatisé produisant des effets juridiques (ex : rejet de candidature, licenciement automatique) est strictement interdit. La garantie d'intervention humaine est obligatoire.

AI Act (Règlement Européen sur l'IA)

L'AI Act catégorise les systèmes d'IA selon leur niveau de risque. Le domaine des Ressources Humaines est particulièrement ciblé par le législateur avec une classification très stricte applicable dès août 2026.

Risque élevé

Haute vigilance

Sont classifiés à haut risque : les IA servant au tri de CV, à l'analyse faciale lors d'entretiens vidéos, à l'évaluation des performances des salariés (scoring) et aux décisions de licenciement / promotion.

Obligations : Réaliser une AIPD (Analyse d'impact), informer le CSE, garantir des biais non discriminatoires, et supervision humaine forte.

Risque limité

Transparence

Sont classifiés à risque limité : les chatbots RH répondant aux questions des collaborateurs, la génération de descriptions de postes, les outils d'aide à la formation.

Obligations : Informer l'utilisateur qu'il interagit avec un système IA, avertir que les textes administratifs sont générés par IA.

Risque faible

Recommandé

Sont classifiés à risque minime : la correction orthographique, la traduction de notices RH, les filtres anti-spam, l'analyse globale de veille juridique non individualisée.

Obligations : Aucune démarche légale complexe n'est exigée, sinon respecter les principes de base du RGPD.

Information du CSE / IRP : la procédure en 5 étapes

Avant de déployer un outil d'IA qui touche aux salariés (recrutement, évaluation, surveillance), vous devez consulter le CSE.

01

Préparez une note d'information (template fourni dans la section Templates)

02

Présentez l'outil, les finalités, les garanties techniques et organisationnelles

03

Recueillez l'avis du CSE (présomption de remise sous 30 jours)

04

Tenez compte de l'avis (sans qu'il soit contraignant juridiquement)

05

Documentez la consultation au registre des traitements RGPD

Discrimination algorithmique : la zone à risque maximal

Le tri automatique de CV est le cas d'usage RH le plus risqué juridiquement. Les LLM peuvent reproduire des biais existants (genre, origine, âge, handicap, opinions syndicales).

  • Définissez des critères 100% objectifs (compétences, expérience, diplôme, habilitations)
  • Faites toujours valider le tri final par un humain compétent et formé
  • Conservez la traçabilité des décisions (qui a décidé, sur quels critères, à quelle date)
  • Ne demandez jamais à l'IA d'évaluer un facteur prohibé (origine, genre, situation familiale, opinions)
  • Auditez régulièrement les sorties de l'IA pour détecter des biais émergents
Article 225-1 du Code pénal : la discrimination à l'embauche est punie de 3 ans d'emprisonnement et 45 000 € d'amende (75 000 € en cas de discrimination institutionnalisée).

✓ Checklist de conformité IA en RH (10 points)

Une charte d'utilisation de l'IA est diffusée et affichée
Les outils utilisés sont en version Entreprise (no training)
Le CSE a été informé et consulté
Aucune donnée identifiante n'entre dans un LLM public
Tout traitement IA est inscrit au registre RGPD
Toute décision RH a une validation humaine documentée
Une AIPD est réalisée pour les outils à haut risque
Les salariés sont informés de l'usage d'IA dans la charte
Les sorties IA sont auditées pour détecter les biais
Les durées de conservation sont définies et appliquées
PASSER À L'ACTION

Vous voulez sécuriser votre déploiement IA ?

30 minutes avec un expert Certalis pour auditer votre conformité actuelle et identifier les actions correctives prioritaires.

Formez vos collaborateurs.

Vous souhaitez voir comment Certalis peut répondre à vos enjeux ?
Échangez avec l'un de nos conseillers.

Prendre rendez-vous