Call center employees wearing headsets working at computer desks in an open office
Posts, Ressources pour chercheurs en droit

L’IA au travail : jusqu’où peut aller la surveillance de vos employés dans l’UE ?  Axel Beelen Part 1

I- Introduction

L’essor des outils d’intelligence artificielle (IA) résulte de la combinaison de puissances de calcul inédites et de nouveaux protocoles (algorithmes), donnant des systèmes extrêmement complexes. Ces systèmes traitent des centaines de milliards de données et de paramètres, mais leur fonctionnement reste en grande partie inintelligible (en ce compris pour ceux qui les conçoivent).

Les systèmes d’IA sont très performants et certainement utiles. Ils auront un impact sur l’emploi, pouvant d’abord détruire certains postes puis en créer de nouveaux, comme souvent (dit-on pour nous rassurer) avec les innovations technologiques.

Leur fiabilité est loin d’être parfaite : les réponses sont affectées par des biais (notamment liés à des données majoritairement américaines) et par une tendance à la complaisance, voire à la fabulation et à la flagornerie, même si des méthodes d’« alignement » cherchent à corriger ces dérives.

L’IA est pour l’instant très énergivore, ce qui pose des enjeux environnementaux. Les géants américains et chinois mènent une « course aux étoiles » autour de l’IA, avec des enjeux financiers colossaux et une possible hégémonie des gagnants, soulevant la question de notre dépendance européenne à leur égard.

Nous allons, dans le cadre de deux articles, analyser la portée juridique d’outils de « surveillance » que des employeurs voudraient implémenter dans leur entreprise vis-à-vis de leurs travailleurs.

L’implémentation en entreprise de tels outils ne peut se réaliser comme cela. La loi française et les réglementations européennes imposent, en effet, des garde-fous. Nous analyserons dans un premier temps (cet article-ci), les considérations à tenir à l’œil en fonction du Code du travail français ainsi que du RGPD européen et ensuite, dans le cadre d’un second article, les obligations à tenir à l’œil issues du Règlement européen sur l’IA (RIA).

II-     De quels genres d’outils parlons-nous ?

Parmi tous ceux que les entreprises peuvent implémenter pour mieux « optimiser » les activités de leurs différents départements, nous nous proposons de nous pencher, dans le cadre de nos deux articles, sur des outils qui seraient capables de surveiller et d’accompagner les équipes qui sont en contact avec la clientèle. Par exemple, l’éditeur anglo-saxon Verint commercialise de tels outils (ces outils sont souvent basés sur le « speech analytics »).

Généralement, ces outils fonctionnent en enregistrant et en analysant les conversations (e-mails voire téléphoniques) entre les conseillers et les clients en question. Ces outils (selon leurs possibilités) peuvent aussi écouter en direct les personnes qui ont des clients au téléphone pour leur suggérer instantanément des informations que l’IA considérerait pertinentes pour le salarié.

L’outil peut aussi générer à la fin de l’appel des synthèses des appels pour, d’une part, alimenter le dossier client dans l’outil de gestion (CRM) de l’entreprise et, d’autre part (et c’est ici que le bât blesse), pour analyser les discours des équipes en question pour évaluer les performances des personnes qui parlent à la clientèle.

Ces analyses, grâce à des algorithmes surpuissants, dissèquent chaque mot prononcé par les personnes, le rythme de leur voix et même leurs silences pour évaluer la performance des salariés par rapport à un script prédéfini. Le système détecte ainsi automatiquement les « écarts comportementaux » ou les défaillances et envoie des alertes et des rapports statistiques aux managers.

III- Les risques de ces outils et la procédure à suivre en France si un employeur veut en installer un

Avant d’aborder notre analyse juridique de ce genre d’outils, nous tenons d’abord à aborder quelques conséquences sociétales de l’implémentation de ces outils.

En effet, implémenter ces outils ne revient-il pas à se permettre une surveillance quasi permanente des salariés et donc de masse ? Ces outils, mal configurés, pourraient porter une atteinte disproportionnée aux droits et libertés des salariés des entreprises en question ainsi que des infractions au RGPD (nous y reviendrons au point suivant). Ces outils ne risquent-ils pas aussi de créer des risques psychosociaux majeurs, tels que le stress intense et la surcharge cognitive puisque l’on se sait continuellement surveillé par des outils que l’on ne peut désactiver ? N’y a-t-il pas là aussi un risque de déshumanisation de certains métiers, l’algorithme (dont on ne sait souvent comment il fonctionne) devenant le véritable « juge » de l’activité humaine ?

Il existe, en France, des obligations légales et conventionnelles strictes que les entreprises doivent respecter avant d’implémenter de nouveaux outils informatiques, particulièrement lorsque ces outils impactent les conditions de travail ou permettent une surveillance des salariés.

Selon le Code du travail français (surtout son art. L2312-8), toute introduction de nouvelles technologies ou tout projet modifiant les conditions de santé, de sécurité ou les conditions de travail des salariés d’une entreprise doit faire l’objet d’une consultation préalable des instances représentatives du personnel, notamment le Comité Social et Économique (CSE). La consultation doit être loyale et complète par rapport aux projets de l’entreprise permettant aux représentants des travailleurs de comprendre le potentiel réel des outils que l’entreprise va implémenter.

Au-delà du Code du travail français, les entreprises peuvent conclure des accords internes pour renforcer les obligations que nous venons d’énoncer.

IV-     L’encadrement actuel par le RGPD

Le déploiement de tels outils de surveillance a bien sûr des conséquences majeures au regard du RGPD tant sur le plan de la licéité que de la transparence.

Voyons brièvement lesquelles.

A. Licéité du traitement et information préalable

L’une des conséquences juridiques les plus importantes concerne la validité même du dispositif en question. Nous venons de le mentionner, selon le droit du travail français et aussi selon le RGPD européen, un employeur français ne peut pas mettre en œuvre un tel système de contrôle s’il n’a pas préalablement informé les salariés de manière individuelle. En cas de défaut d’information, le dispositif pourrait être considéré comme illicite. De plus, tout moyen de preuve ou score de performance qui en serait issu est considéré comme illicite.

A côté de ce questionnement sur les informations obligatoires et préalables issues du Code du travail français, l’entreprise (qualifiée de responsable de l’activité de traitement dans le contexte du RGPD) devra aussi s’interroger sur la bonne base juridique à saisir pour pouvoir implémenter et utiliser de tels outils de « conseil » et de surveillance.

Rappelons que l’article 6 du RGPD reprend les six bases juridiques qu’un responsable peut utiliser, cela va du fameux consentement, à la base juridique contractuelle à ses intérêts légitimes.

Écartons d’emblée la base juridique du consentement qui n’est pas valable entre employeur et employé. En effet, le consentement doit (e.a.) être libre et un consentement donné par un travailleur vis-à-vis de son employeur n’est jamais libre (car donné sous une forme de contrainte morale de suivre ce que son employeur lui demande de faire). La base juridique des intérêts légitimes ne peut être soulevée par les autorités publiques par rapport à des traitements effectués « dans l’exécution de leurs missions » (art. 6.1.f, dernier alinéa du RGPD.

En conclusion, il faudra faire une distinction selon le cas où le responsable du traitement est une institution publique ou une entreprise. Rappelons que le choix de la bonne base juridique est important et doit se faire avant le commencement des activités de traitement. Et que vous devrez documenter abondamment vos choix, vu la sensibilité accrue du sujet.

S’il s’agit d’une institution publique, nous pensons qu’elle ne pourra baser l’implémentation et l’utilisation (transparente, mais nous y reviendrons) de ces outils que sur la base juridique du contrat (art. 6.1.d du RGPD), que si ces traitements de « conseil » et de surveillance sont nécessaires au respect d’une obligation légale à laquelle l’institution publique est soumise (art. 6.1.c du RGPD) ou si ces traitements sont nécessaires à « l’exécution d’une mission d’intérêt publique ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » (art. 6.1.e du RGPD).

Si le responsable du traitement est une entreprise, les mêmes bases juridiques pourraient être soulevées avec en addition la possibilité de la base juridique des intérêts légitimes (de l’art. 6.1.f du RGPD). Le choix de cette base juridique oblige à réaliser une analyse particulière : le responsable du traitement a-t-il un ou des intérêt(s) légitime(s) à réaliser ces traitements ? Ces traitements sont-ils nécessaires pour atteindre ces intérêts légitimes ? Et, enfin, les intérêts de l’entreprise sont-ils réellement supérieurs à ceux des travailleurs à ne pas voir leurs données personnelles traitées pour réaliser les objectifs visés par leur employeur ?

La réalisation de cette analyse en trois étapes n’est pas évidente surtout lorsque l’employeur devra réaliser la mise en balance (troisième étape) (voyez nos considérations du début relativement aux conséquences psychologiques de ces outils sur les téléopérateurs constamment surveillées en ce compris sur le ton de leur voix).

B. Proportionnalité et minimisation des données

Le RGPD impose que les données collectées soient adéquates, pertinentes et limitées au strict nécessaire (art. 5.1.c) du RGPD). Dès lors, cette surveillance continue et de masse issue de ce genre d’outils d’IA (qui ne serait plus du simple coaching des employés) pourrait dépasser le principe de proportionnalité et de minimisation du RGPD. Un parallèle peut ici être réalisé avec l’affaire « CNIL contre Amazon France Logistique » dans lequel, le 23 décembre 2025, le Conseil d’Etat avait partiellement annulé la décision du 27 décembre 2023 de la CNIL (et réduit l’amende infligée par la CNIL au géant américain de 35 à 15 millions d’euros). En prenant dûment en considération la décision du Conseil d’Etat de 2025, une entreprise pourrait mettre en place en interne des indicateurs de temps par rapport à son personnel. Cependant, l’entreprise ne pourrait les implémenter que si ces outils sont strictement nécessaires, proportionnés, limités dans le temps et bien encadrés (information adéquate aux salariés et intérimaires, sécurité optimale des données personnelles récoltées et enregistrées, gouvernance des données veillant à ne pas les conserver de manière exagérée). Tout sera donc question de la manière dont l’entreprise agira et implémentera ses outils.

C. Transparence et droits des personnes

Dans le cas où un employeur voudrait implémenter ce genre d’outils, il devra être, tant vis-à-vis des travailleurs que de leurs représentants du personnel, très transparent quant aux fonctions des outils qu’il voudrait implémenter (application des articles 13 et 14 du RGPD). L’employeur devra leur fournir une description extrêmement détaillée des fonctions du futur outil, des algorithmes utilisés et de leur potentiel réel. L’information fournie devra aussi comporter des renseignements sur l’exercice des droits des salariés écoutés et analysés (comment toutefois pourront-ils exercer leur droit à l’oubli quand on sait que les éditeurs de tels outils sont généralement américains ?) ainsi que sur la protection effective des données et la sécurité de leur stockage.

D. Obligation de réaliser une analyse d’impact (AIPD)

L’article 35 du RGPD impose aux responsables des activités de traitement de réaliser, préalablement à l’activité de traitement, une analyse d’impact relative à la protection des données (une AIPD).

Une AIPD est obligatoire lorsqu’un traitement, « compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Chaque autorité de protection des données nationale doit publier une liste des types d’opérations pour lesquelles une AIPD est requise, et peut publier une liste de ceux qui en sont dispensés. La CNIL, dans sa délibération n° 2018-327 du 11 octobre 2018 a publié sa liste de cas où une AIPD, selon elle, est obligatoire, complétée par une liste des traitements dispensés (délibération n° 2019-118).

Les lignes directrices WP248 rev.01 de l’ancien Groupe de l’article 29 ont identifié neuf critères.

Selon ce document (approuvé par après par l’actuel EDPB, la réunion de l’ensemble des autorités de protection des données nationales), le franchissement de deux des neuf critères crée une présomption forte de risque élevé justifiant une AIPD.

Quels sont ces neuf critères ?

1.         l’évaluation ou notation (scoring, profilage) : ce critère vise tout traitement qui consiste à évaluer, noter ou classer des personnes, y compris au moyen d’un profilage et de prédictions sur des aspects concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, la fiabilité ou le comportement ;

2.         une décision automatisée avec effet juridique ou similaire : ce critère renvoie directement à l’article 22 du RGPD : il s’agit des traitements qui aboutissent à des décisions produisant un effet juridique (ex. : refus d’un contrat) ou affectant la personne de manière significative (ex. : exclusion automatique d’un service) ;

3.         la surveillance systématique : ce critère vise les traitements destinés à observer, surveiller ou contrôler les personnes, y compris la collecte de données via des réseaux ou la « surveillance systématique d’une zone accessible au public » (art. 35, §3, c) du RGPD). Le caractère systématique implique une dimension organisée, méthodique et continue. Le considérant 24 du RGPD précise que la surveillance comprend notamment le suivi en ligne du comportement ;

4.         les données sensibles ou à caractère hautement personnel : ce critère couvre, d’une part, les catégories particulières de données au sens de l’article 9 (santé, opinions politiques, convictions religieuses, données biométriques, données génétiques, orientation sexuelle, origine ethnique, etc.) et les données de l’article 10 (condamnations pénales). Mais il va au-delà : le WP248 vise aussi les données « hautement personnelles » qui, sans être formellement sensibles, touchent à l’intimité ou peuvent avoir un impact significatif sur la vie quotidienne ou professionnelle de la personne. Sont visées notamment les communications électroniques, données de localisation, données financières ;

5.         traitement à grande échelle : la notion de « grande échelle » n’est pas définie de manière chiffrée par le RGPD, mais le considérant 91 et le WP248 fournissent des facteurs d’appréciation : le nombre de personnes concernées (en valeur absolue ou en proportion d’une population), le volume de données, la durée ou la persistance du traitement, et l’étendue géographique ;

6.         croisement ou combinaison d’ensembles de données : ce critère vise les situations où des données issues de deux ou plusieurs opérations de traitement effectuées à des fins différentes ou par des responsables distincts sont combinées d’une manière qui dépasse les attentes raisonnables de la personne concernée ;

7.         personnes vulnérables (enfants, salariés, patients…) : le critère vise les traitements impliquant des personnes en situation de déséquilibre dans la relation avec le responsable du traitement, ce qui affecte leur capacité à consentir librement, à s’opposer ou à exercer leurs droits. Le WP248 mentionne à ce sujet expressément les salariés, qui par rapport à leur patron, sont dans une situation de déséquilibre structurel. C’est pour cela que l’on considère qu’il est quasi-impossible de fonder un traitement sur le consentement en matière de ressources humaines.

8.         usage innovant ou application de nouvelles solutions technologiques : c’est LE critère le plus important en matière d’utilisation de systèmes d’IA. A ce sujet, le considérant 89 du RGPD considère que « le recours à de nouvelles technologies » peut engendrer un risque élevé et donc rendre obligatoire la réalisation d’une AIPD. Le WP248 précise que l’innovation peut concerner aussi bien la technologie elle-même que l’usage qu’on en fait dans un contexte donné. Le lien avec le RIA est ici important : tout système d’IA à haut risque relevant de l’Annexe III tombera presque automatiquement dans ce critère huit, ce qui combiné avec un autre critère (par exemple le premier — évaluation) déclenchera l’obligation d’AIPD au titre de l’article 35 RGPD, en plus des obligations propres au RIA (notamment l’évaluation des droits fondamentaux pour les déployeurs publics, art. 27 du RIA) ;

9.         traitement empêchant l’exercice d’un droit ou le bénéfice d’un service : ce critère vise les situations où le traitement a pour effet d’exclure la personne d’un droit, d’un service ou d’un contrat. L’enjeu est l’effet discriminant ou excluant du traitement.

On le voit, l’implémentation de tels outils par une entreprise rendra obligatoire (par le cumul des critères un, trois et huit par exemple) la réalisation d’une AIPD. Rappelons que le but de la réalisation d’une AIPD est de mettre en évidence les risques majeurs des futurs traitements, l’implémentation par l’entreprise de mesures visant à diminuer ces risques et, si l’entreprise ne peut d’elle-même diminuer ces risques à un niveau acceptable, de faire appel à son autorité de protection pour qu’elle l’aide à diminuer ces risques. S’il leur est impossible, ensemble, de supprimer les risques majeurs des futurs traitements, ceux-ci ne peuvent être réalisés.

VI- Conclusion

De nombreuses obligations en matière de protection des données personnelles donc à mettre en place avant l’implémentation et donc l’utilisation effective de ce genre d’outils.

Nous verrons dans le cadre d’un second post que les obligations issues à respecter en fonction du RIA européen ne seront pas plus évidentes à respecter.

Axel Beelen

Consultant juridique et formateur en protection des données personnelles et IA

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.