Comment encadrer l’usage de l’IA par les salariés tout en améliorant la conformité juridique de l’employeur

L’intelligence artificielle (l’« IA ») a envahi le monde du travail.

Côté salarié, son utilisation a explosé. Côté employeur, on s’interroge sur les mesures à mettre en place pour se conformer au très récent Règlement sur l’IA (1).

La charte IA, dont la vocation est d’encadrer les usages de l’IA tout en s’inscrivant dans la stratégie de compliance de l’entreprise qui la porte, est à la croisée des chemins.

Encadrer les usages de l’IA par les salariés

Presque un salarié sur quatre (22%) a déjà utilisé un outil d’intelligence artificielle dans le cadre professionnel. Parmi eux, plus de la moitié (55 %) l’ont fait sans en informer leur responsable (Étude IFOP pour LearnThings du 21 décembre 2023 au 3 janvier 2024 (2)).

Cette situation est créatrice de risques importants pour l’employeur – aussi bien juridiques que commerciaux, réputationnels, financiers ou concurrentiels. Il est donc nécessaire de réglementer les usages de l’IA et d’anticiper les écueils qui y sont liés afin de les éviter autant que possible.

C’est précisément l’objectif de la charte IA. Cette dernière, rédigée par l’employeur à destination des salariés, a pour objectif de réglementer les usages par les salariés des divers systèmes et modèles d’IA qu’ils pourraient être amenés à utiliser, tout en définissant les bonnes pratiques à suivre pour limiter les risques liés à cette utilisation et prévoir les outils permettant de s’assurer du bon respect de celle-ci.

La portée d’une telle charte est large puisqu’elle a vocation à s’appliquer aux systèmes d’IA mis à la disposition des salariés par l’employeur lui-même, à l’instar d’outils de traduction ou de systèmes d’IA génératifs ; mais aussi aux outils qui seraient proposés aux salariés par des tiers sans que l’employeur en soit nécessairement informé, à l’instar de ChatGPT (le « shadow IA »).

Améliorer sa conformité au Règlement européen sur l’IA (le « RIA »)

Le RIA est entré en vigueur le 1er août 2024 (3). Les obligations découlant de ce texte dépendent du niveau de risque du système d’IA pour les droits et libertés des individus : plus ceux-ci sont élevés, plus les obligations et règles liées à ce système sont strictes (4).

Or, afin d’apprécier le niveau de risques des systèmes d’IA utilisés dans l’entreprise, il est préalablement nécessaire (et obligatoire en vertu du RIA) de connaître leur existence et leurs cas d’usage – soit de cartographier ceux-ci.

Réaliser un tel audit peut s’avérer complexe voire impossible si l’employeur n’a prévu aucune obligation liée à l’utilisation des outils d’IA par les salariés.

C’est là que la charte peut se révéler comme un outil très utile pour améliorer la conformité de l’entreprise au RIA.

Le texte peut en effet prévoir une obligation, pour les salariés, d’utiliser seulement une liste limitée d’outils IA et/ou de déclarer à son employeur tout usage qui dérogerait à la liste. Dès lors, la cartographie rendue obligatoire pour le RIA devient relativement aisée pour l’entreprise qui a mis en œuvre une charte IA bien rédigée.

L’employeur sera en effet rapidement apte à identifier les niveaux de risques de chaque système et les obligations y afférents, certains pouvant être considérés « à haut risques » et devant être strictement encadrés sous peine de sanction – à l’instar des modèles d’IA parfois utilisés par les RH dans le cadre du recrutement.

Améliorer sa conformité au RGPD

L’un des principaux risques posés par l’usage de l’IA par les salariés est lié aux données à caractère personnel. Ce risque est majeur d’un point de vue juridique, puisque les règles applicables à cet égard sont sévères et nombreuses, et les sanctions en cas de violation de celles-ci sont lourdes. En France, ces règles sont établies principalement par le RGPD (5) et la loi informatique et libertés (6).

Ces textes interdisent, par exemple, de divulguer des données personnelles (7). Or, l’utilisation d’un outil d’IA génératif pour rédiger un email dont le nom du destinataire serait précisé (« Cher Monsieur Dupont… »), ou dans lequel des noms de tiers seraient indiqués (« comme évoqué avec votre collègue Mme Martin… ») pourrait être considéré comme une violation de données au sens du RGPD.

Ce risque est particulièrement élevé dans l’hypothèse très probable où ces données seraient réutilisées pour entraîner et/ou améliorer le système d’IA, qui pourrait les rendre accessibles à des tiers dans le cadre d’une requête subsidiaire.

Les risques sont identiques concernant les données, même non personnelles, couvertes par une obligation de confidentialité contractuelle ou légale, à l’instar du secret des affaires.

Si celles-ci étaient divulguées à des tiers par un outil d’IA à la suite d’une utilisation imprudente de celui-ci, les conséquences liées à cet incident pourraient être graves et conséquentes (violation contractuelle et/ou légale, désavantage concurrentiel lié à la perte de confidentialité, impact réputationnel, etc.)

Or, il est possible d’utiliser la charte d’IA pour interdire l’utilisation de données personnelles ou confidentielles dans le cadre de l’usage d’outils d’IA.

La charte peut ainsi jouer un rôle crucial dans la limitation des risques liés au droit des données personnelles et/ou à la violation d’une obligation de confidentialité, voire de leur interdiction pour les PME utilisant l’intelligence artificielle de manière très ponctuelle seulement.

En outre, le RIA et le RGPD poursuivent, à certains égards, des objectifs similaires en matière de transparence. Par exemple, le RIA pose des obligations d’information de l’utilisateur en cas d’utilisation de systèmes d’IA dits « à risques limités ».

Côté RGPD, la transparence est l’un des piliers du texte et l’un des droits principaux des personnes concernées (particulièrement lorsque leurs données sont traitées par une décision automatisée). Or, la Charte IA, en précisant les cas dans lesquels l’IA peut être utilisée, s’inscrit également dans cette obligation de transparence pesant sur l’employeur quant au traitement des données personnelles des salariés et autres personnes concernées.

Ce faisant, la Charte IA contribue à améliorer la conformité de l’entreprise au RGPD.

Conséquences sur le contrat de travail

Pour que ces règles soient opposables aux salariés et qu’en cas de violation de celles-ci ils puissent être sanctionnés, il est nécessaire de respecter les mêmes règles d’adoption et d’affichage que celles du règlement intérieur.

Cela implique, soit une modification de celui-ci, soit la rédaction d’une note de service qui sera soumise aux mêmes modalités de publicité et d’affichage que le règlement intérieur (consultation préalable du CSE, envoi du document à l’inspection du travail, respect d’un délai d’un mois en attendant les observations de l’inspection du travail, envoi au Conseil de Prud’hommes et communication aux salariés).

Le CSE devra également être informé et consulté en ce qui concerne la mise en place des éventuels outils de contrôle permettant de s’assurer du bon respect de la charte.

Le développement de l’IA risque enfin d’entraîner la suppression de certains postes nécessitant, pour les employeurs, la mise en place d’actions de formation et d’adaptation adaptées. Les entretiens professionnels pourraient ainsi être une occasion d’aborder ces problématiques et de préparer au mieux les salariés aux évolutions technologiques.

Marie-Laure Tredan, Avocate Counsel CMS Francis Lefebvre Avocats

Mûre Maestrati, Avocate, CMS Francis Lefebvre Avocats

(1) Le RIA est entré en vigueur le 1er août 2024.
(2) https://www.learnthings.fr/sondage-ifop-intelligence-artificielle-statistique/
(3) Cependant, toutes les dispositions du RIA ne deviendront applicables que le 2 août 2026.
(4) Le RIA distingue quatre niveaux de risques (par ordre croissant) : minimes, limités, hauts, inacceptables.
(5) Règlement général sur la protection des données EU 2016/679, en date du 27 avril 2016.
(6) Loi n°78-17 en date du 6 janvier 1978.
(7) A l’exception de certaines situations précisément définies qui ne seront pas développées ici.