Les dernières recommandations de la CNIL sur l'IA en milieu de travail : un enjeu clé pour 2025

La CNIL a publié en février 2025 des recommandations pour encadrer l'usage de l'IA au travail, en conformité avec le RGPD, notamment dans les RH, le recrutement et la surveillance des employés.

En février 2025, la CNIL a publié de nouvelles recommandations visant à encadrer l’usage de l’intelligence artificielle (IA) dans le respect du RGPD, en tenant compte des spécificités des modèles d’IA utilisés dans le monde du travail. Ces recommandations sont particulièrement cruciales pour les entreprises qui déploient des systèmes d’IA dans les ressources humaines, le recrutement, la gestion des performances et la surveillance des employés.

RGPD et IA : une application adaptée aux modèles utilisés en entreprise

La CNIL rappelle que le RGPD s’applique dès qu’un modèle d’IA traite des données personnelles, notamment lorsque les bases d’entraînement contiennent des données identifiables, lorsque les modèles de langage (LLM) peuvent mémoriser et reproduire des informations personnelles, ou encore lorsque l’utilisation des modèles via des interactions (prompts) génère des sorties impliquant des individus.

En milieu de travail, cela signifie que toute entreprise utilisant l’IA pour analyser des CV, évaluer des employés, déterminer le temps de travail ou prédire des comportements professionnels doit garantir la conformité de ses systèmes avec les principes du RGPD.

Information et Transparence : une obligation renforcée pour les employeurs

La CNIL insiste sur l’importance de la transparence, en soulignant que l’information doit être accessible et intelligible, sans recours à un jargon technique qui pourrait la rendre incompréhensible. Elle doit être fournie dès la collecte des données, par exemple par une mention spécifique lors de l’envoi d’un CV, afin que les personnes concernées soient informées immédiatement de l’usage qui sera fait de leurs informations. De plus, cette information doit être adaptée au contexte de l’IA, en précisant clairement comment les algorithmes influencent les décisions, notamment dans le cadre du recrutement ou de l’évaluation des performances. Si les données sont collectées via des sources tierces (ex. bases de CV en ligne), l’entreprise peut se limiter à une information générale sur son site web, mais doit détailler les catégories de sources utilisées.

Droits des Travailleurs : un défi pour l’exercice du droit d’accès et de rectification

Le RGPD prévoit des droits d’accès, de rectification, d’opposition et d’effacement des données personnelles. Cependant, avec les modèles d’IA, l’exercice de ces droits est particulièrement complexe. Il est parfois impossible d’identifier précisément l’origine des données dans un modèle de langage, et ces modèles ne sont pas toujours conçus pour permettre des modifications individuelles, rendant difficile toute correction ou suppression des informations personnelles qu’ils contiennent.

Face à ces défis, la CNIL demande aux entreprises d’intégrer la protection des données dès la conception en adoptant des solutions techniques adaptées. Elle recommande notamment d’anonymiser les modèles autant que possible, d’éviter la mémorisation des données personnelles sensibles et de mettre en place des mécanismes facilitant l’effacement ou la rectification des informations lorsque cela s’avère nécessaire.

L’Utilisation de Bases de Données d’Entraînement : Un Contrôle Indispensable

De nombreuses entreprises réutilisent des bases de données accessibles en ligne pour entraîner leurs modèles d’IA (par ex. extraction de profils sur LinkedIn ou Indeed). La CNIL rappelle que cette pratique est légale uniquement si les données n’ont pas été collectées de manière illicite, et si la réutilisation est conforme aux finalités initiales.

Attention : l’utilisation de données issues de forums, réseaux sociaux ou CVthèques peut être problématique si elles n’étaient pas initialement destinées à des traitements par IA.

Vers une IA Responsable en milieu de travail

Les recommandations de la CNIL confirment que les exigences du RGPD restent adaptées aux évolutions de l’IA, mais demandent des efforts accrus aux entreprises pour garantir la transparence et la protection des données des travailleurs. Les organisations se doivent de cartographier leurs usages de l’IA en RH pour identifier les risques, ainsi que de mettre en place des mécanismes de transparence pour informer les utilisateurs et d’anticiper l’exercice des droits et prévoir des solutions techniques pour répondre aux demandes.

Avec l’entrée en application progressive du Règlement sur l’IA, ces recommandations de la CNIL s’inscrivent dans un mouvement plus large de régulation de l’IA en Europe. Elles soulignent l’importance d’un déploiement éthique et responsable de l’intelligence artificielle, notamment dans le monde du travail.