Intelligence artificielle et ressources humaines : une innovation encadrée ?

Écrit par Jérôme Scapoli, Maïra Rodrigo Paugam | Publié le
Intelligence artificielle et ressources humaines : une innovation encadrée ?
Les salariés se sont spontanément appropriés certains outils utilisant l’intelligence artificielle, grâce à leur mise à disposition en open source. Les services de ressources humaines, en particulier, se sont très tôt intéressés aux programmes leur permettant de recruter plus efficacement, ou de mieux mesurer la charge de travail des salariés. Cependant, la généralisation de l’usage de l’IA par les RH pose diverses questions juridiques, qu’il convient d’encadrer. Jérôme Scapoli et Maïra Rodrigo Paugam du cabinet Osborne Clarke France, nous aident à faire le point sur les interactions entre le droit et l’usage de cette nouvelle technologie.

L´avènement de l’intelligence artificielle (IA) est marqué par une explosion spectaculaire de son utilisation : ainsi, ChatGPT a enregistré 2,3 milliards de requêtes en janvier 2024, contre « seulement » 590 millions à la même période l’année précédente. L’engouement pour cet outil se vérifie également au sein des entreprises, notamment comme outil de gestion des ressources humaines, et de la part de leurs salariés.

La CNIL (Commission nationale de l’informatique et des libertés) définit l’IA comme un « procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies ». Pour le Parlement européen, l’objectif de l’intelligence artificielle est de reproduire des comportements humains tels que le raisonnement.

L’intrication des droits qui trouvent à s’appliquer est à l’image de la complexité de l’outil qui se situe à la convergence de plusieurs droits et notamment la protection des données personnelles, la propriété intellectuelle, le droit du travail…

Le 13 mars 2024, le Parlement européen a adopté un règlement ayant pour objectif d’encadrer l’utilisation de l’intelligence artificielle, la prohibition de certaines pratiques à la fixation de règles pour les dispositifs autorisés en fonction du degré de risque présenté pour les citoyens ou les acteurs économiques. Ce règlement devrait entrer en vigueur au sein des États de l’Union européenne graduellement de fin 2024 jusqu’à 2026.

Dans l’attente de l’entrée en vigueur de ce règlement, des dispositions générales encadrent l’utilisation de l’IA par les ressources humaines des entreprises pour la gestion du personnel et par les salariés de ces entreprises.

Utilisation de l’IA par les ressources humaines

Plusieurs outils de gestion des ressources humaines utilisant l’IA existent. Par exemple, pour contrôler la durée du travail des salariés ou gérer les offres d’emploi et la sélection de candidats.

Les apports de l’IA pour les ressources humaines sont nombreux et, même si son utilisation semble encore modeste dans les entreprises en France, il ne devrait plus s’agir que d’une question de temps.

La diversité des apports de l’IA

L’IA doit être perçue pour ce qu’elle est, à savoir un outil. Il convient alors de s’interroger sur  ce qu’elle peut apporter aux départements ressources humaines et comment elle permettra aux personnes de se concentrer sur des tâches stimulantes à valeur ajoutée.

Dès l’étape du recrutement, les outils sont variés : sourcing, parsing, matching.

Le sourcing permet de sonder le web et d’identifier des profils répondant à une liste de critères prédéfinis tandis que le parsing vient en aide aux recruteurs assaillis par les candidatures en « lisant » les CV, pour en extraire les données pertinentes. Le matching permet de fournir une première indication de la compatibilité des candidats apparaissant dans la CVthèque avec une offre d’emploi.

Les possibilités sont également nombreuses dans le cadre de l’exécution de la relation de travail : gestion des plannings, décompte de la durée du travail, autorisations de congés, la gestion de la paie, la rédaction automatisée de contrats. Des outils destinés à réaliser des analyses prédictives des départs, d’allouer les tâches aux salariés les mieux adaptées en fonction de leurs compétences et disponibilités, ou encore d’évaluer les besoins de formation des travailleurs ont même été développés.

Cependant, il n’est pas possible de « déléguer » ces tâches à l’intelligence artificielle sans veiller à ce que les règles classiques du droit soient respectées.

L’encadrement de l’IA

Si cet outil peut apparaître comme un facilitateur pour les responsables des ressources humaines, l’engouement sociétal à l’égard de l’intelligence artificielle est encadré tant par le droit du travail, que par celui des données personnelles.

La protection par le droit du travail

Un des arguments les plus courants en faveur des outils d’intelligence artificielle est qu’ils permettraient de résoudre les problématiques de biais induit par l’humain en retirant la subjectivité. En théorie, ce raisonnement semble sans faille mais, en pratique, ce n’est pas le cas.

Cela s’explique par un principe parlant : « garbage in, garbage out » soit littéralement, ordures à l’entrée, ordures à la sortie. La mécanique d’apprentissage de l’IA repose sur la qualité et la quantité des données qui lui sont fournies. Si l’on utilise des données non-représentatives, biaisées ou qui reflètent une inégalité du monde réel, les stéréotypes se trouveront reproduits dans les résultats de l’outil.

Il y a dix ans, Amazon avait mis au point un algorithme chargé d’examiner les candidatures et de faciliter le processus de recrutement. Le robot avait pour directive de comparer les nouveaux CV à ceux qui avaient été retenus par le passé, et aurait constitué une relation de travail réussie. Les hommes étant davantage représentés dans la discipline, et ayant fait l’objet de davantage d’embauche, le robot avait déduit de la base de données qu’il fallait embaucher des hommes.

L’IA ne permet ainsi pas d’écarter le risque de discrimination et seule l’intervention humaine permet de corriger ces biais et de respecter les dispositions de l’article L. 1132-1 Code du travail qui énonce clairement qu’aucune personne ne peut être écartée d’une procédure de recrutement, être sanctionnée, ou licenciée en raison d’un des 25 motifs discriminatoires reconnus par la loi.

Les outils d’intelligence artificielle n’échappent pas à cette règle et obligent les entreprises qui y ont recours à faire preuve de vigilance dans la formulation de leurs demandes et leurs utilisations d’autant que c’est l’entreprise, personne morale, qui pourrait être tenue responsable civilement ou pénalement.

Pour ne pas voir sa responsabilité engagée, l’employeur doit, selon l’article L. 1134-1 du Code du travail, pouvoir établir que sa décision dépend uniquement d’éléments objectifs et étrangers à toute discrimination. L’employeur doit donc veiller, dans les requêtes, à ce que les motifs discriminatoires soient respectés et donc sensibiliser, former les salariés à cette fin.

De même, lorsque l’IA est destinée à contrôler l’activité des salariés, les principes portant protection de la vie privée du salarié au temps et au lieu de travail s’appliquent.

Ainsi, l’employeur doit veiller à ce que l’outil d’IA mis en place respecte le secret des correspondances protégé par l’article 9 du Code civil, mais aussi par le droit pénal (C. pén., art. 226-15) et le droit européen (Conv. européenne de sauvegarde des droits de l’homme, art. 8). Cette protection fut notamment consacrée par la jurisprudence sociale dans l’arrêt Nikon1 interdisant aux employeurs l’accès aux messages personnels de leurs salariés.

L’outil d’IA doit respecter les mêmes conditions que tout autre outil de contrôle qui viendrait restreindre le droit à la vie privée des salariés : il est nécessaire que le dispositif soit justifié par la nature de la tâche à accomplir et proportionné au but recherché.

Par exemple, dès 2018, la CNIL s’est prononcée sur les keyloggers, qui permettent de suivre et d’enregistrer à distance toutes les actions réalisées par un salarié, et qui se lancent automatiquement sans aucun avertissement2. Cet outil a été considéré comme une atteinte démesurée à la vie privée des salariés, à moins que soit démontré un fort impératif de sécurité.

En outre, la mise en place d’outils utilisant l’intelligence artificielle est encadrée par le Code du travail et en particulier l’article L. 2312-8 qui impose que le comité social et économique (CSE) soit informé et consulté sur les questions intéressant l’organisation, la gestion et la marche générale de l’entreprise, notamment, selon le II.4° de cet article : « L’introduction de nouvelles technologies et tout aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail. »

Par ailleurs, le CSE doit être informé préalablement à l’introduction d’un outil de traitement automatisé de gestion du personnel (C. trav, art. L. 2312-38) et même consulté sur la mise en œuvre d’un moyen de contrôle de l’activité des salariés (C. trav, art. L. 2312-37).

Ainsi, la mise en place d’algorithmes qui interviendraient sur l’allocation des tâches, le contrôle de l’activité ou en matière d’évolution du salarié au sein de l’entreprise nécessiteraient une information-consultation des représentants du personnel.

En 2018, la chambre sociale de la Cour de cassation s’est prononcée sur l’introduction au Crédit Mutuel d’une application spécifique du programme d’IA Watson. L’ancien CSSCT, le CHSCT, avait décidé de recourir, dans le cadre de sa consultation, à un expert pour examiner l’impact de celle-ci sur les conditions de santé, de sécurité et de travail des salariés. La Cour de cassation avait retenu que le programme informatique, qui intervenait uniquement pour aider les salariés à traiter leurs courriels notamment en leur suggérant un ordre de priorité, n’ayant que des conséquences mineures sur les conditions de travail, le recours à l’expert n’était pas justifié. Si l’expertise est, en l’espèce, écartée, la décision a tout de même le mérite de nous donner une idée du type d’outil dont l’introduction suppose la consultation des représentants du personnel.

Certains craignent que l’intelligence artificielle vienne remplacer l’humain, et par extension le salarié. Quelle est la position du droit français à l’égard des suppressions de postes liées au développement de cette technologie ?

Un employeur ne peut licencier un salarié que pour un motif juridiquement valable. Le Code du travail prévoit que des mutations technologiques peuvent justifier un licenciement pour motif économique (C.trav, art. L.1233-3). Ces mutations s’apprécient au niveau de l’entreprise, ou, si elle appartient à un groupe, au niveau du secteur d’activité commun à l’entreprise et aux entreprises du groupe sur le territoire national. La jurisprudence considère que l’introduction d’une nouvelle technologie est à elle seule3, une cause réelle et sérieuse de licenciement, sans qu’il soit nécessaire de justifier de difficultés économiques. La technologie peut être nouvelle par rapport à l’avancée de la recherche, ou simplement par rapport aux habitudes de l’entreprise. Si la suppression de poste en raison d’une informatisation de l’entreprise est justifiée4, on peut considérer qu’il en serait de même pour l’introduction d’un outil d’intelligence artificielle.

Si l’utilité d’un salarié est remise en cause du fait du recours à un outil d’intelligence artificielle, certains garde-fous du droit social permettent tout de même de contenir l’impact des mutations technologiques. En effet, l’employeur doit effectuer tous les efforts d’adaptation du salarié à sa disposition, et tenter de le reclasser (C.trav, art. L. 1233-4).

La protection par le droit des données personnelles

Pour fonctionner, une intelligence artificielle doit être nourrie par une quantité de données. Aussi, la question de la protection des données personnelles vient naturellement se poser et deux textes fondamentaux s’imposent : le Règlement général sur la protection des données (RGPD)5 et la loi Informatique et Libertés6.

En premier lieu, seul un but précis, légal et légitime peut justifier que l’on recueille, enregistre et utilise des informations personnelles concernant une personne physique. Dans son Guide Recrutement publié en janvier 2023, la CNIL revient sur les fondamentaux en matière de protection des données personnelles à cette étape de la relation de travail. Elle précise à cette occasion que l’évaluation de la capacité du candidat à occuper un emploi, ou la présélection de candidats figurent parmi les finalités pouvant motiver un tel traitement. En revanche, il est impératif que, derrière le but annoncé, aucun autre objectif illicite, ne soit poursuivi. Un dispositif de géolocalisation imposé à des salariés dont les tâches impliquent une tournée véhiculée, et qui viserait à optimiser l’ordre des déplacements, ne peut avoir pour réel but de contrôler la vitesse adoptée par les salariés.

Quand bien même le traitement serait justifié, il ne peut être démesuré ou disproportionné. Cela signifie qu’on ne peut nourrir les algorithmes que de données strictement pertinentes et nécessaires et que les données ne peuvent pas être conservées de manière indéfinie. À titre d’exemple, la CNIL considère que conserver des logs de connexion au-delà de six mois représente un traitement qui excède le pouvoir de contrôle octroyé à l’employeur.

Par ailleurs, à tout instant, il est indispensable de respecter un principe de transparence qui se traduit par une information et une communication sur le traitement, qui soit claire, facilement compréhensible, et accessible. L’opération peut être rendue complexe en matière d’intelligence artificielle, puisque par principe ces outils sont des black boxes, c’est-à-dire que leurs opérations sont invisibles : on obtient un résultat sans totalement savoir comment ni pourquoi.

En second lieu, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, celui-ci doit être soumis à une analyse d’impact relative à la protection des données (AIPD). Ce processus impose de décrire de façon détaillée le traitement, d’en apprécier le caractère proportionné et d’en identifier les risques.

La CNIL a établi une liste des types d’opérations pour lesquelles une AIPD est requise, et a notamment identifié les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines et ceux ayant pour finalité de surveiller de manière constante l’activité des salariés. Elle donne comme exemple un dispositif de cyber surveillance qui procèderait à une analyse des flux de courriels sortant pour détecter d’éventuelles fuites d’information. Avant d’utiliser des outils algorithmiques pouvant correspondre à ces définitions, l’entreprise devra donc procéder à l’analyse et envisager des mesures de limitation des risques posés.

Enfin, l’usage de cette technologie suppose de respecter les droits reconnus aux salariés lorsque leurs données personnelles sont recueillies et traitées. Le RGPD octroie aux salariés d’abord un droit à l’information7 (sur la finalité poursuivie, les droits qui sont les leurs, sur la durée de conservation des données) mais également un droit d’accès aux informations qui les concernent et sur la base desquelles une décision a été prise à leur égard, et selon les cas, un droit de rectification ou d’effacement.

Utilisation de l’IA par les salariés : aide ou menace ?

Dans une étude sur l’impact de l’intelligence artificielle sur la quantité et la qualité des emplois publiée à l’été 2023, l’Organisation internationale du travail estimait que la majorité des postes étaient susceptibles d’être complétés par l’IA plutôt que remplacés. Dire qu’elle a vocation à devenir petit à petit un outil du quotidien des salariés n’est plus une utopie.

Les chargés de ressources humaines goûtent d’ores et déjà à la magie du futur, mais qu’en est-il du reste des salariés ? Selon une étude IFOP de janvier 2024, 22 % des salariés français ont déjà utilisé un outil d’intelligence artificielle dans le cadre professionnel, et parmi eux, 55 % l’ont fait sans en informer leur employeur. Or, l’employeur doit paradoxalement veiller à contrôler l’utilisation de ces outils par ses salariés dans la mesure où il peut être exposé à des risques mais il dispose déjà d’instruments pour poser ses propres limites.

Les risques encourus par l’entreprise et le salarié

Quels usages les salariés peuvent-ils bien faire de l’intelligence artificielle ? De la rédaction rapide d’emails, à la traduction instantanée, en passant par la structuration de rapports…

Les salariés peuvent d’ores et déjà utiliser des solutions d’IA, parfois accessibles gratuitement via leur ordinateur professionnel ou leur smartphone personnel sans toujours avoir conscience des risques juridiques ou simplement professionnels auxquels ils exposent l’entreprise.

« Le Premier ministre français est Jean Castex. » : c’est en tous cas ce que nous annonce l’outil français YIAHO. On trouve là la première limite d’une grande partie des chat-bots accessibles librement et gratuitement en ligne : les données sur lesquelles ils apprennent ne sont pas toujours à jour.

Au-delà de l’anecdote, cela peut être à l’origine de difficultés pour les entreprises si les salariés relaient, sans vérifier, des informations obsolètes ou tout simplement erronées parce qu’ils feraient aveuglément confiance à un outil d’intelligence artificielle. Même des avocats se laissent tenter, et duper par la simplicité et la rapidité de cette nouvelle technologie. Aux États-Unis, un justiciable américain a subi les conséquences directes de cet écueil alors qu’il poursuivait une compagnie aérienne, qu’il estimait responsable de ses blessures. L’avocat en charge de la rédaction du « mémoire », a utilisé ChatGPT, et réutilisé sans procéder à aucune vérification des jurisprudences qui n’existaient pas. Il s’avère donc nécessaire d’être attentif autant à l’actualité des données reprises par les salariés, qu’aux fausses informations, fruit de l’hallucination des agents conversationnels.

De plus, les outils d’IA présentent un défaut majeur : ils ne sont pas humains. Face à la question d’un utilisateur, ChatGPT ne réfléchit pas, il recherche des informations. Tout cela sans jamais citer de sources, d’œuvres, de plumes. Aussi, il en résulte un risque de violation du droit d’auteur pour l’entreprise si un salarié reprend, sans chercher davantage leur source, des éléments voire des pans entiers d’un texte attribuable à un tiers.

Face à cela, l’employeur doit mettre en place des formations et sensibiliser les salariés et peut même encadrer cette utilisation.

De plus, l’introduction d’une telle technologie peut générer un bouleversement des conditions de travail ayant un impact négatif sur la santé du salarié en raison du stress ou de la pénibilité qu’il peut générer. Face à cela, l’employeur ayant une obligation de sécurité et protection de la santé du salarié doit mettre en œuvre les moyens utiles de prévention.

Les outils de prévention envisageables

Pour prévenir les risques évoqués, les employeurs doivent former les salariés, les sensibiliser.

Ils peuvent (voire doivent) également poser un cadre à l’utilisation de l’intelligence artificielle.

Le moyen le plus adapté pour cela consiste à intégrer au document relatif à l’utilisation des outils informatiques (charte, politique etc.) des dispositions spécifiques à l’intelligence artificielle.

Ce document est à distinguer, tant par son contenu que par son effet à l’égard des salariés des « chartes éthiques concernant l’intelligence artificielle » publiées par plusieurs entreprises, dans lesquelles elles exposent leur vision de cette technologie. Le journal Le Monde8 s’est, par exemple, récemment, engagé à ce qu’aucun outil d’intelligence artificielle ne se substitue aux équipes éditoriales.

La charte ou politique informatique a pour objet d’encadrer et réguler l’utilisation par les salariés des outils informatiques, y compris l’IA. Dès lors, il conviendra de distinguer d’une part, les chartes destinées uniquement à poser des principes généraux, de celles ayant un effet contraignant.

Dans le premier cas, la charte peut être instituée sans formalisme. Dans le second cas, elle sera considérée comme une adjonction au règlement intérieur et il conviendra dès lors de respecter les formalités de mise en place fixées par le Code du travail (C. trav., art. L. 1321-4 et s.) (information-consultation du CSE, transmission à l’inspection du travail et dépôt au greffe du conseil de prud’hommes).

L’objectif de la charte est de poser un cadre, néanmoins, son contenu doit être mûrement réfléchi. Interdiction, autorisation partielle ou tolérance absolue. La prohibition totale n’est pas forcément le choix le plus sûr du point de vue de l’employeur : imposer une restriction aussi stricte implique de s’interroger sur le but poursuivi, et la proportionnalité de la mesure retenue.

Encourager une utilisation responsable de l’intelligence artificielle paraît être la solution appropriée pour l’heure. En pratique, cela peut se traduire par exemple par une obligation pour les salariés de systématiquement vérifier les contenus produits par l’IA et réutilisés à visée professionnelle. Ou encore, par une clause qui les contraindrait à indiquer ce qui est le fruit du travail d’une intelligence artificielle, quand bien même il s’agirait d’une « simple » traduction.

En tout état de cause, un rappel des engagements éthiques de l’entreprise, des règles liées à la protection des données, des questions de confidentialité paraît souhaitable.

Jérôme Scapoli
Avocat associé
Maïra Rodrigo Paugam
Juriste, Osborne Clarke France