Call center employees wearing headsets working at computer desks in an open office
Posts, Ressources pour chercheurs en droit

IA au travail: jusqu’où peut on aller? Part 2, Axel Beelen

I. Introduction   

Cet article constitue la suite d’un précédent article. Dans cette première partie, nous avions analysé l’essor des outils d’intelligence artificielle (IA) appliqués à la surveillance de salariés, en soulignant d’emblée leur complexité et leurs limites. Bien que ces technologies soient performantes et souvent utiles, elles demeurent en partie opaques, parfois biaisées et sources d’enjeux environnementaux et géopolitiques importants. Elles s’inscrivent ainsi dans un contexte ambivalent, à la fois prometteur et problématique.

Nous nous étions intéressés plus spécifiquement aux outils utilisés dans les centres d’appels, capables d’analyser en temps réel les conversations des téléopérateurs (les personnes qui aident au téléphone les clients d’une entreprise), de suggérer à ces téléopérateurs des réponses en temps réel et d’évaluer leurs performances de manière très fine. Ces dispositifs permettent une surveillance continue des salariés, fondée sur des critères détaillés comme les expressions utilisées par les téléopérateurs, le ton voire leurs silences. Nous avions d’emblée soulevé les questions éthiques majeures de l’utilisation excessive de ces outils, notamment en raison des risques de surveillance excessive, de stress, de déshumanisation du travail et du rôle croissant de l’algorithme comme seul arbitre des comportements professionnels.

Sur le plan juridique, leur mise en place est strictement encadrée par le droit du travail et le RGPD ainsi que par le Règlement européen sur l’IA (ci-après RIA).

Notre premier article s’était focalisé sur les obligations issues du Code de travail français et sur les obligations à respecter telles qu’elles sont écrites dans le RGPD. Nous avions conclu que le déploiement de ces outils suppose toujours une démarche rigoureuse et ne peut être envisagé comme une simple décision technique. Voyons maintenant les relations de ces outils avec le RIA européen.

 

II. L’encadrement juridique à venir par le Règlement sur l’IA (RIA)

A- Présentation du RIA

Mi-2024, l’Union européenne a adopté le règlement (UE) 2024/1689 (RIA) concernant les intelligences artificielles. Il s’agissait, pour l’UE, de pouvoir encadrer les risques des outils d’IA pour nos droits fondamentaux. A ce sujet, le règlement crée des obligations uniformes pour fournisseurs et déployeurs des systèmes d’IA, facilitant ainsi la circulation de systèmes d’IA conformes dans toute l’UE. Dans la lignée des lignes directrices du groupe d’experts de haut niveau de 2019 et du Livre blanc sur l’IA de 2020, l’UE a voulu faire de la confiance dans les outils d’IA un réel avantage compétitif européen, en suivant une approche fondée sur les risques. En effet, les obligations pour les fournisseurs et les déployeurs des systèmes d’IA sont plus importantes en fonction des risques pour notre santé, notre sécurité et nos droits fondamentaux que peut avoir l’un ou l’autre système d’IA.

Le RIA est un texte complexe, incomplet (car il appelle à l’écriture de nombreuses guidances et normes européennes). Par exemple, les articles concernant les obligations des fournisseurs et des déployeurs des systèmes d’IA renvoient à de futures normes européennes qui doivent encore être écrites. Les articles du RIA définissent en quelque sorte ce que sont ces différentes obligations mais renvoient à ces futures normes de CEN/CENELEC pour que l’on puisse véritablement savoir comment atteindre et remplir les obligations en question.  En outre, le RIA est un texte complexe. (Pour une présentation plus détaillée du RIA cf. l’ouvrage d’Olivia Tambou et de Morgan Sweeney, « Le règlement européen sur l’IA et au-delà – Quel encadrement de l’IA ? », Bruylant 2025 dont certains chapitres sont accessibles ici en libre accès.)

Le texte contient plusieurs dispositions spécifiques visant à protéger les travailleurs, en encadrant strictement l’utilisation de l’IA sur le lieu de travail. Le règlement se veut « axé sur l’humain » et précise qu’il ne doit pas porter atteinte au droit du travail national ou aux conventions collectives nationales.

B. Application des points clés du RIA pour un outil de surveillance des travailleurs

1)        La pratique interdite de la reconnaissance des émotions sur le lieu de travail

Le règlement (en son article 5 entré en vigueur le 2 février 2025) interdit formellement certaines utilisations de l’IA jugées inacceptables car elles portent atteinte à la dignité humaine et à nos droits fondamentaux. Concernant notre sujet, l’article 5.1.f) interdit expressément les systèmes d’IA qui permettent la reconnaissance des émotions. Dès lors, il est strictement interdit de mettre sur le marché européen ou d’utiliser dans l’UE des systèmes d’IA destinés à inférer les émotions d’une personne physique sur le lieu de travail. Une exception très stricte existe : ces outils sont permis uniquement pour des raisons médicales ou de sécurité (par exemple, détecter la fatigue d’un conducteur de camion pour éviter un accident).

L’article 3.39 du RIA définit le « système de reconnaissance des émotions » comme un système d’IA destiné à identifier ou à inférer les émotions ou intentions de personnes physiques sur la base de leurs données biométriques. Le considérant 18 du même règlement précise que la notion de données biométriques couvre des émotions comme la joie, la tristesse, la colère, la surprise, le dégoût, l’embarras, l’excitation, la honte, le mépris, la satisfaction et l’amusement — mais n’inclut pas les états physiques (douleur, fatigue) ni la simple détection d’expressions, gestes ou mouvements visibles, sauf s’ils servent à inférer une émotion.

2)        Classification de l’IA de gestion du personnel comme « à haut risque »

Le RIA classe comme systèmes à haut risque la plupart des outils d’IA utilisés pour la gestion du personnel, car ils peuvent influencer considérablement les carrières et les moyens de subsistance des employés. Sont concernés les systèmes destinés à :

•          le recrutement et la sélection des candidats (analyse de CV, ciblage d’offres, évaluation des candidats) ;

•          la prise de décision contractuelle (promotion, licenciement, conditions de travail) ;

•          l’attribution des tâches basée sur le comportement ou les traits de personnalité ;

•          le suivi et l’évaluation des performances et du comportement des salariés.

Lorsqu’un système d’IA est catégorisé comme étant à haut risque, il devra être conforme à de multiples exigences strictes en matière de transparence, de gouvernance, de qualité des données et de contrôle humain telles qu’elles sont mentionnées à la section 2 du RIA. La conformité doit être réalisée avant toute utilisation et la mise sur le marché européen de l’outil en question.

Nous pensons que les outils de surveillance des travailleurs qui sont en contact avec la clientèle d’une entreprise en ce qu’ils sont appelés à analyser les émotions des travailleurs et qu’ils risquent d’avoir de lourds impacts sur la carrière des travailleurs écoutés et analysés relèvent soit de la pratique interdite de l’article 5.1.f) (voyez notre point 1) ci-dessus), soit d’un système d’IA à haut risque.

Comme toujours, l’analyse juridique finale va dépendre des possibilités de l’outil développé et implémenté en interne.

Attention pour l’employeur aux manquements de ses obligations !

En effet, le RIA prévoit, comme pour le RGPD, la possibilité d’imposer des amendes administratives (et donc financières) très importantes. Ces amendes peuvent aller jusqu’à 7 % du chiffre d’affaires annuel mondial total de l’entreprise contrevenante lorsque l’on contrevient à l’article 5 qui concerne, rappelons-le, l’utilisation en Europe de systèmes d’IA qualifiés de « pratiques interdites »

3)        Obligations d’information de l’employeur

Lorsqu’un employeur prévoit de déployer un système d’IA à haut risque dans son entreprise, le RIA lui impose des obligations de transparence :

•          information préalable (art. 26.7 du RIA) : avant toute mise en service, l’employeur (appelé « déployeur » dans le texte du règlement) doit informer les représentants des travailleurs et les salariés concernés qu’ils seront soumis à l’utilisation d’un système d’IA. Cette information devra passer en France par une information du CSE. L’objectif est clairement de garantir que les travailleurs et leurs représentants soient informés en temps utile et dans un format clair du déploiement de systèmes d’IA à haut risque les concernant ;

•          droit à l’explication : tout employé faisant l’objet d’une décision prise sur la base d’un système d’IA à haut risque, et produisant des effets juridiques ou l’affectant de manière significative, a le droit d’obtenir une explication claire et pertinente sur le rôle du système dans la décision ;

•          enfin, notons que le règlement précise explicitement qu’il s’applique sans préjudice des législations sociales et du travail déjà en vigueur dans l’Union ou les États membres. Autrement dit, le RIA n’empêche pas les États membres d’introduire des dispositions plus favorables aux travailleurs ou de permettre l’application de conventions collectives renforçant leur protection face à l’IA.

C.        Conclusion

1)        Quid de l’éthique ?

Les analyses qui précèdent démontrent toute la complexité juridique que soulève l’implémentation, par une entreprise, de tels outils d’IA de « conseils » et de surveillance de ses travailleurs.

Loin d’être un simple choix managérial ou technologique, le déploiement de tels dispositifs se situe au carrefour de plusieurs corps de règles qui se cumulent et se complètent : le droit du travail national, le RGPD et, depuis peu, le RIA européen.

Nous tenons à terminer en nous interrogeant à nouveau sur l’opportunité d’implémenter de tes outils. Ils forcent à nous questionner sur le sens même que nous voulons donner à la relation de travail moderne. Une surveillance algorithmique permanente, opaque dans son fonctionnement et productrice de scores de performance, ne risque-t-elle pas de déshumaniser des métiers déjà éprouvants, de générer des risques psychosociaux majeurs et de transformer l’algorithme en juge silencieux de l’activité humaine ? Ces questions ne sont pas accessoires : elles doivent guider la réflexion préalable de toute entreprise tentée par ce type de solutions. Nous ne voulons pas empêcher l’implémentation de tels outils (qui peuvent être parfaitement utiles faire gagner du temps aux entreprises et aux institutions publiques), juste souligner que leur utilisation à outrance risque de transformer certaines parties du personnel des organisations en robots obligés de suivre les consignes d’outils automatisés.

Tout va être dans le calibrage et paramétrage des outils en question.

2)        Quid sur le plan juridique ?

Sur le plan juridique, le constat est sans équivoque. Du côté du RGPD, l’absence d’information préalable individuelle des salariés rend le dispositif illicite, comme les preuves qui en seraient tirées. Les principes de licéité, de proportionnalité, de minimisation et de transparence (art. 5, 13 et 14) imposent un encadrement strict, et la réalisation d’une AIPD (art. 35) sera quasi systématiquement obligatoire, le cumul des critères du WP248 — notamment la surveillance systématique de personnes vulnérables que sont les salariés et l’usage d’une technologie innovante — étant aisément atteint.

Du côté du RIA, la qualification juridique de l’outil est déterminante. Soit il infère les émotions des travailleurs, et il relève alors de la pratique interdite de l’article 5, §1, f), exposant l’entreprise à une amende pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Soit il se limite à l’évaluation des performances et du comportement, et il constitue alors un système à haut risque au sens de l’Annexe III, déclenchant les exigences de la section 2 du chapitre III du règlement, ainsi que les obligations d’information préalable du CSE et des salariés (art. 26, §7) et le droit à l’explication des décisions individuelles.

Le message à retenir pour les employeurs est donc clair : avant d’implémenter un tel outil, il convient d’en analyser méticuleusement les fonctionnalités réelles, de qualifier juridiquement le dispositif, de mener une concertation loyale avec les représentants du personnel, de réaliser l’AIPD et, le cas échéant, de vérifier qu’il ne franchit pas la ligne rouge des pratiques interdites. À défaut, les risques — financiers, réputationnels et humains — seront bien supérieurs aux gains de productivité escomptés.

En définitive, la régulation européenne ne s’oppose pas à l’innovation, mais elle exige qu’elle se déploie dans le respect de la dignité des travailleurs et de l’État de droit (nous refusons le discours « Le droit bloque tout et empêche toute innovation ! »).

C’est précisément cet équilibre, exigeant mais nécessaire, que les juristes seront appelés à faire vivre dans les mois et années à venir lorsqu’ils seront confrontés à des demandes de leur employeur quant à l’utilisation de tels outils.

Axel Beelen

Consultant juridique et formateur en protection des données personnelles et IA

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.