Interaction entre le RGPD et l'AI Act : une perspective sur la protection des données dans le monde du travail

Le RGPD et l'AI Act (2024) créent un cadre pour protéger les données personnelles et assurer un développement éthique de l'IA dans les secteurs d'activité et les RH.

Avec l'essor de l'intelligence artificielle (IA), qui transforme non seulement les secteurs d'activité mais aussi les méthodes de gestion des ressources humaines et des processus de recrutement, le cadre réglementaire évolue également. Le Règlement Général sur la Protection des Données (RGPD), qui est la norme en matière de protection des données en Europe, se voit désormais complété par la loi européenne sur l'intelligence artificielle (AI Act), introduite en 2024. Ensemble, ces deux textes créent un cadre cohérent pour protéger les données personnelles, notamment dans les systèmes d'IA utilisés dans le monde du travail, tout en assurant un développement éthique de ces technologies.

Il existe plusieurs points de convergence clés entre le RGPD et l’AI Act

Licéité, Équité et Transparence

Le RGPD exige que les données personnelles soient traitées de manière licite, équitable et transparente, ce qui est essentiel lorsque les employeurs utilisent des systèmes d’IA pour des tâches telles que le recrutement ou l’évaluation des performances. Ces systèmes sont souvent perçus comme opaques, notamment pour les candidats ou employés. L’AI Act complète le RGPD en imposant des obligations supplémentaires de transparence pour les systèmes d’IA à haut risque. Par exemple, lorsqu’une IA est utilisée pour trier des candidatures, les candidats doivent être informés que leurs données sont traitées par une IA, et ils doivent comprendre comment ces données influencent les décisions de l'employeur.

Le RGPD confère également aux personnes le droit de demander une intervention humaine lorsqu'une décision les concernant a été entièrement automatisée, tandis que l’AI Act impose une supervision humaine continue, garantissant que les systèmes d’IA respectent des critères d’équité tout au long du processus décisionnel.

Limitation des finalités et minimisation des données

Le RGPD impose que les données personnelles ne soient collectées que pour des finalités spécifiques, légitimes et proportionnées. Dans le cadre des systèmes d'IA utilisés dans le recrutement ou la gestion des ressources humaines, cette exigence est essentielle pour éviter une collecte excessive de données. L'AI Act renforce ces exigences en exigeant que les systèmes d’IA définissent clairement leur finalité. Par exemple, une IA analysant des CV ne devrait traiter que les données pertinentes pour le poste à pourvoir, sans collecter d’informations personnelles sensibles, telles que des opinions politiques ou des informations sur les réseaux sociaux, sauf si cela est justifié​.

Exactitude et Mise à Jour des Données

Le RGPD exige que les données personnelles soient exactes et mises à jour, ce qui est fondamental pour éviter les erreurs dans les décisions automatisées, telles que l’attribution de promotions ou les évaluations de performance. Des données biaisées ou obsolètes peuvent entraîner des décisions discriminatoires, notamment dans des contextes de promotion ou d’évaluation du personnel. L'AI Act renforce cette exigence pour les systèmes à haut risque en imposant l'utilisation de données de haute qualité, exemptes de biais, afin de garantir des résultats équitables et non discriminatoires​.

Prise de décision automatisée

Le RGPD confère aux individus le droit de ne pas être soumis à des décisions prises uniquement sur la base de traitements automatisés qui pourraient avoir des effets significatifs, comme l'embauche ou le licenciement. Cela devient particulièrement important dans le cadre de l'utilisation accrue des IA dans les ressources humaines. Par exemple, un système d'IA peut être utilisé pour filtrer les candidats ou évaluer les performances, mais selon le RGPD, un employé ou candidat peut demander à ce qu'une décision automatisée soit révisée par un humain.

L’AI Act exige également une surveillance humaine significative pour les systèmes à haut risque, assurant que les décisions ne soient pas seulement revues, mais aussi évaluées sous l'angle de l'équité et des erreurs potentielles​. Ainsi, un système d’IA qui refuse une promotion à un employé devra être surveillé pour vérifier que la décision ne repose pas sur des données biaisées.

Sécurité des traitements

Tant le RGPD que l'AI Act insistent sur la sécurisation des données tout au long de leur cycle de traitement. Cela est crucial dans les systèmes d'IA utilisés en entreprise, où la manipulation des données ou des biais dans les algorithmes pourrait avoir un impact direct sur les employés ou les candidats. Par exemple, des données fausses ou manipulées dans un système de gestion de la paie ou de calcul des performances pourraient entraîner des erreurs dans la rémunération ou l’évaluation.

L'AI Act impose une surveillance continue et des tests réguliers des systèmes d'IA à haut risque pour s’assurer que ces systèmes respectent les normes de sécurité et d’équité. Cela est d’autant plus important dans les environnements à haut risque, comme ceux impliquant des décisions d’embauche ou de gestion du personnel.

Responsabilité et gestion des risques

La responsabilité est un principe fondamental du RGPD, obligeant les organisations à démontrer leur conformité à travers des outils comme les analyses d'impact sur la protection des données (DPIA) et la nomination de délégués à la protection des données (DPO). Dans le monde du travail, cela implique que les entreprises qui utilisent des systèmes d'IA pour évaluer des employés ou des candidats doivent documenter leur utilisation de l’IA et être en mesure de démontrer la conformité avec les deux textes législatifs.

L'AI Act ajoute un niveau de responsabilité supplémentaire, notamment pour les systèmes d'IA à haut risque utilisés dans le travail et l'emploi. Il exige des évaluations des risques fondamentaux (FRIA) pour anticiper et atténuer les risques liés à ces systèmes, en garantissant que les décisions automatisées ne mènent pas à des discriminations ou à des erreurs injustifiées.

Un cadre unifié pour l'IA et la protection des données dans le domaine de l’emploi

Le RGPD et l'AI Act forment ensemble un cadre solide pour assurer un développement et un déploiement responsable des systèmes d'IA dans le domaine de l’emploi en Europe. En alignant les principes de protection des données avec des exigences spécifiques à l’IA, ces réglementations visent à garantir que les systèmes d'IA soient transparents, équitables et sécurisés, tout en protégeant les droits des employés et des candidats. Alors que l’IA continue de redéfinir le monde du travail, cette approche unifiée sera essentielle pour favoriser l'innovation tout en garantissant la protection des droits des individus et la responsabilité des entreprises.