Nouvelle règlementation européenne sur l'intelligence artificielle : DRH, passez à l’action !

Il est désormais clair que l'utilisation de l'intelligence artificielle (IA) dans le milieu professionnel peut transformer profondément les métiers et compétences-clés, mais également améliorer les conditions de travail. L'IA peut automatiser certaines tâches répétitives, permettant aux salariés de se concentrer sur des activités à plus forte valeur ajoutée.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

L’utilisation de l’IA n’a toutefois pas que des avantages, puisqu’elle peut potentiellement mener à des biais et discriminations dans la gestion des salariés et de leur carrière.

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement

Dans un domaine aussi sensible que les ressources humaines, il est primordial que les acteurs veillent à éviter ce genre de difficultés afin de garantir l'équité et la non-discrimination.

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, plus communément appelé "AI Act" est l’outil essentiel de régulation de l'intelligence artificielle dans l'Union Européenne. Il établit un cadre juridique, en fonction des risques engendrés par les systèmes d’IA, pour la mise sur le marché et l'utilisation de l'IA, en insistant sur la sécurité, la transparence et le respect des droits fondamentaux.

Même si l’entrée en vigueur des différents volets de l’AI Act sera progressive, les entreprises qui utilisent des systèmes d’IA pour la gestion de leurs salariés (recrutement, intégration, évaluation de la performance, gestion de carrière, etc.) doivent dès à présent, en tant que déployeurs, se pencher sur ce sujet. En effet, il leur faut appréhender la diversité et la complexité des systèmes d’IA, afin de mettre en place la gouvernance et les garde-fous nécessaires, et ce d’ici août 2026.

A compter du 2 août 2026, le second volet, à savoir les dispositions de l’AI Act relatives aux IA à haut risque, entrera en vigueur

Le premier volet de l'AI Act est en vigueur depuis le 2 février 2025 : il prévoit l’interdiction pure et simple de certains systèmes d’IA, désignés comme les "IA prohibées". En matière de gestion des ressources humaines, sont prohibées sur le lieu de travail (au sens large, puisque cela inclut le processus de recrutement) les IA pouvant déduire les émotions des personnes sur la base de données biométriques, sauf si elles sont utilisées pour des raisons médicales ou de sécurité.

La Commission Européenne est venue préciser, le 4 février dernier, que, par exemple, la voix, les mouvements, la taille des pupilles ou les expressions du visage sont des données biométriques. Les "émotions" sont quant à elles appréciées au sens large (bonheur, tristesse, colère, surprise, dégoût, embarras, enthousiasme, honte, satisfaction, etc.). En revanche, le stress ne constitue par une émotion. A l’inverse, les exceptions pour raisons médicales ou de sécurité sont appréciées restrictivement (par exemple, le risque vital entre dans le champ de l’exception, mais pas le risque de burn-out).

Cette interdiction s'inscrit dans un contexte de protection accrue des droits humains. Le corolaire pour les salariés est une protection contre les intrusions dans leur vie privée et la garantie d’un environnement de travail respectueux.

Le non-respect de cette interdiction peut être sanctionné d’une amende de 35 millions d’euros ou de 7 % du chiffre d’affaires.

A compter du 2 août 2026, le second volet, à savoir les dispositions de l’AI Act relatives aux IA à haut risque, entrera en vigueur. Dans le domaine des ressources humaines et du droit du travail, les IA à haut risque sont celles utilisées pour le recrutement, la gestion des performances et la promotion des salariés. Ces systèmes sont considérés à haut risque dans la mesure où, d’une part, ils sont amenés à collecter et analyser des données personnelles et, d’autre part, peuvent influencer de manière significative la carrière et les droits des travailleurs, nécessitant une particulière vigilance.

Ces obligations appellent des actions préalables de cartographie, de mise en conformité et de formation, qui doivent être pensées dès à présent

L'AI Act impose de lourdes obligations non seulement aux fournisseurs de systèmes d’IA mais également aux déployeurs, c’est-à-dire les utilisateurs, de ces IA à haut risque. La très grande majorité des entreprises tombe dans cette seconde catégorie car elles utilisent très certainement déjà des systèmes d’IA dans la gestion de leurs salariés et cela sera amené à se développer.

Selon l’AI Act, les déployeurs, c’est-à-dire les employeurs utilisant des systèmes d’IA pour la gestion de leurs salariés, devront :

• prendre des mesures techniques et organisationnelles appropriées pour garantir que le système est utilisé conformément aux instructions d'utilisation ;
• assurer une supervision humaine par des personnes ayant la formation et les qualifications nécessaires ;
• si l'employeur contrôle les données d'entrée, s’assurer également qu’elles restent pertinentes, représentatives et exemptes d'erreurs ;
• surveiller le fonctionnement du système d'IA à haut risque et signaler les incidents au fournisseur et aux autorités nationales de surveillance compétentes.

Concrètement, ces obligations, qui entreront en vigueur le 2 août 2026, appellent des actions préalables de cartographie, de mise en conformité et de formation, qui doivent être pensées dès à présent. 

L’exercice de cartographie mené par les entreprises devra servir à identifier tous les outils utilisés en interne qui font appel à de l’intelligence artificielle, de manière explicite comme implicite. En effet, les premiers travaux de cartographie dans certaines entreprises révèlent que certains outils ou logiciels auxquels ont déjà recours les entreprises intègrent des systèmes d’IA sans que cela ne soit nécessairement explicite. Un travail de recherche, en lien avec les fournisseurs externes, devra être mené.

Une fois cet exercice de cartographie réalisé, les entreprises devront réaliser une étude des risques induits par ces intelligences artificielles. Cette étude devra permettre de classer les IA selon leur risque et leur impact sur les droits fondamentaux (IA prohibées, qui sont en réalité déjà proscrites), IA à haut risque ou IA à usage général, etc.). L'objectif est ici de protéger les droits des salariés tout en assurant une utilisation éthique et responsable de l'IA dans le milieu professionnel.

Cette analyse d’impact des systèmes d’IA à haut risque pourra être menée en parallèle de l’analyse d’impact relative à la protection des données, les IA à haut risque étant amenées à collecter et analyser des données à caractère personnel.

Les entreprises déployeurs, via une équipe pluridisciplinaire, ont tout intérêt à s’y pencher dès à présent

Enfin, les entreprises devront prendre les mesures nécessaires afin de garantir la conformité de l’usage d’IA à haut risque. Les entreprises sont appelées à élaborer des stratégies robustes, grâce, notamment, à la mise en place de comités de conformité dédiés, l'engagement de consultants externes pour des audits lors de la mise en œuvre des outils, puis réguliers pour leur suivi, et l'intégration de la conformité à l'IA dans les politiques internes de gouvernance. En adoptant une approche proactive, les entreprises pourront non seulement éviter les sanctions, mais aussi renforcer leur réputation en tant qu'employeurs responsables et éthiques.

Cela impliquera également l’information des candidats à l’embauche et des salariés dont les données seront traitées par l’IA, et par la formation de certains salariés au déploiement, à l’utilisation et au contrôle de ces outils utilisant l’IA afin qu’ils comprennent non seulement comment utiliser les outils d'IA de manière efficace, mais aussi les implications éthiques et légales de leur utilisation. Une supervision humaine sera en effet cruciale.

D’autres aspects déjà importants en matière de gestion des ressources humaines resteront par ailleurs pleinement d’actualité : conformité avec le Règlement général sur la protection des données (RGPD) et dialogue social. Sur ce second point,  les représentants du personnel et les syndicats seront essentiels pour garantir que l'introduction de l'IA se fasse de manière équitable et transparente. Il est donc conseillé d’associer les représentants du personnel à l'élaboration de politiques d'IA qui protègent les droits des salariés. Le dialogue social devra également faciliter l'acceptation de l'IA en promouvant une compréhension commune de ses avantages et de ses défis, pour rassurer les salariés, le plus souvent inquiets.

Même s’il reste encore de nombreux mois avant la date limite du 2 août 2026, les mois vont vite passer au vu des nombreuses étapes à franchise avant la mise en conformité. Les entreprises déployeurs, via une équipe pluridisciplinaire (juridique, RH, DPA, informatique), ont tout intérêt à s’y pencher dès à présent, afin d’être prêtes à temps mais aussi de limiter les risques inhérents à l’utilisation d’IA.