Travailler avec l'intelligence artificielle : n'oubliez pas vos obligations

Trois réglementations à connaître

1. CCT n° 39 sur l’introduction d’une nouvelle technologie
   1. Toute entreprise comptant 50 travailleurs ou plus doit respecter l’obligation d’information et de consultation prévue par la CCT n° 39 avant l’introduction de nouvelles technologies, comme les outils d’IA.
2. RGPD
   Les outils d’IA traitent souvent des données à caractère personnel. Dans ce cas, votre entreprise doit respecter les règles du RGPD :
   1. Chaque traitement doit figurer dans le registre des activités de traitement.
   2. Les personnes concernées doivent être informées via une déclaration de confidentialité adaptée.
   3. En cas de risque élevé, une analyse d’impact relative à la protection des données (AIPD) est obligatoire.
3. Règlement européen sur l’IA
   Ce règlement est directement applicable dans tous les États membres et introduit :
   1. L’interdiction de certaines pratiques d’IA, telles que le scoring social ou la manipulation.
   2. L’obligation relative à la maîrise de l’IA au sein des équipes.
   3. Des mesures techniques et organisationnelles ainsi que des exigences strictes pour les systèmes d’IA à haut risque (à partir de février 2026).
   4. Des obligations de transparence.

Les amendes pour violation du règlement sur l’IA peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Échéances RH importantes

Février 2025 : maîtrise de l’IA et interdiction de certains systèmes d’IA

1. Les systèmes interdits doivent être retirés.
2. La maîtrise de l’IA du personnel doit être assurée.

Août 2025 : obligations pour les modèles d’IA à usage général (GPAI)

• Obligations de transparence pour les développeurs et fournisseurs de GPAI.
• Documentation technique et résumé des données d’utilisation.
• Les États membres doivent avoir fixé les sanctions nationales pour l’application du règlement.

Août 2026 : entrée en vigueur de la plupart des dispositions du règlement IA

• Obligation d’informer les travailleurs de l’utilisation d’un système d’IA à haut risque.
• Exigences supplémentaires pour certains systèmes à haut risque (annexe III), tels que ceux utilisés en biométrie, infrastructures critiques, éducation, emploi, accès aux services publics essentiels, application de la loi, immigration et justice.

Août 2027 : obligations pour les systèmes d’IA à haut risque de l’annexe I

• Exigences supplémentaires pour certains systèmes intégrés dans d’autres réglementations européennes (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, véhicules agricoles, sécurité aérienne civile, etc.).

Que devez-vous faire concrètement ?

1. Recenser les outils d’IA utilisés ou envisagés.
2. Vérifier si la technologie est soumise à la CCT n° 39 et, le cas échéant, organiser la consultation préalable.
3. Évaluer si des données personnelles sont traitées et mettre à jour la documentation RGPD.
4. Déterminer le niveau de risque de vos systèmes d’IA (interdit, élevé, limité, minimal).
5. Cesser immédiatement l’utilisation des systèmes interdits.
6. Mesurer la maîtrise de l’IA de vos employés et proposer des formations ciblées.
7. Élaborer une politique interne en matière d’IA ou d’informatique.
8. Des questions sur le règlement sur l’IA ou besoin d’aide pour la mise en œuvre ? N’hésitez pas à nous contacter, nous vous aiderons volontiers à aborder l’avenir en toute conformité. 

En détail

CCT nr. 39

L’IA est considérée comme une nouvelle technologie. La CCT n° 39 impose des obligations d’information et de consultation préalables concernant les conséquences sociales de son introduction.

Champ d’application

La CCT s’applique aux employeurs qui occupent en moyenne au moins 50 travailleurs. De plus, 50 % des travailleurs ou au moins 10 personnes doivent être concernées par l’introduction de la nouvelle technologie.

Procédure préalable à la mise en œuvre d’une nouvelle technologie (par ex. : outils d’IA)

Au plus tard 3 mois avant l’introduction d’une nouvelle technologie ayant des conséquences collectives importantes sur l’emploi, l’organisation du travail ou les conditions de travail, l’employeur doit :

• Fournir par écrit des informations sur la nature de la technologie, les raisons qui en justifient l’introduction et ses impacts sociaux.
• Consulter les représentants du personnel sur ces impacts.

Les informations sont communiquées au conseil d’entreprise ou, à défaut, à la délégation syndicale. La consultation en question a lieu, selon le cas, au sein du conseil d’entreprise, du comité pour la sécurité et la santé, et avec la délégation syndicale.

Protection contre le licenciement

Le non-respect de la procédure entraîne une protection contre le licenciement. L’employeur ne peut pas résilier unilatéralement le contrat de travail, sauf pour des raisons sans lien avec l’introduction de la nouvelle technologie. La charge de la preuve de ces raisons incombe à l’employeur. La protection commence le jour où les informations auraient dû être communiquées au conseil d’entreprise ou à la délégation syndicale et prend fin trois mois après la mise en service de la technologie. Passé ce délai, le travailleur doit prouver que le licenciement est la conséquence de l’introduction de la nouvelle technologie.

Si le contrat de travail est unilatéralement résilié en raison de la technologie, le travailleur a droit à une indemnité forfaitaire équivalente à trois mois de salaire brut.

RGPD

Champ d’application

Tout outil qui traite des données à caractère personnel, y compris les outils d’IA, doit se conformer aux règles du RGPD. Cela s’applique à toutes les entreprises, y compris les PME.

Action concrète
 

Votre entreprise doit, pour chaque traitement inscrit dans le registre des activités de traitement, déterminer une base juridique et une finalité. Elle doit également fournir des informations à ce sujet au moyen d’une déclaration de confidentialité.

Il est important que ces documents soient régulièrement mis à jour afin d’offrir en permanence une image correcte aux personnes concernées. Cela est particulièrement vrai lors de l’introduction d’un outil d’IA.

Lorsque le traitement de données personnelles présente un risque élevé pour les droits et libertés des personnes physiques, une analyse d’impact relative à la protection des données doit être effectuée.

Bien que l’élaboration d’une politique informatique conforme au RGPD ne soit pas une obligation légale, l’Autorité de protection des données estime qu’elle fait partie de la mise en œuvre effective de vos obligations RGPD en tant qu’employeur. En outre, il s’agit tout simplement d’un outil utile pour éviter les discussions ou litiges.

Sanctions

En cas de non-respect des règles du RGPD, les sanctions peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Règlement européen sur l’IA

Le règlement sur l’IA encadre l’accès des systèmes d’IA au marché intérieur de l’UE et impose des obligations aux fournisseurs ainsi qu’aux utilisateurs responsables des technologies d’IA. Ce règlement est d’application directe dans tous les États membres.

Champ d’application

Les dispositions du règlement sur l’IA s’appliquent à toutes les entreprises, quel que soit leur nombre de salariés.

Approche fondée sur les risques

La particularité du règlement sur l’IA est de placer une approche fondée sur les risques au centre. Les systèmes d’IA sont classés en différentes catégories, selon leur impact.

1. Pratiques d’IA interdites
   1. Le règlement interdit les systèmes d’IA qui manipulent le comportement cognitif, pratiquent le scoring social, mènent des activités de police prédictive basées sur le profilage, classent les personnes dans des catégories spécifiques (par exemple, race, religion ou orientation sexuelle) à l’aide de données biométriques.
2. Haut risque
   1. Lorsqu’un système peut avoir une influence significative sur les perspectives de carrière, les moyens de subsistance ou les droits des travailleurs, il sera considéré comme présentant un « haut risque ».
      Exemple : un système d’IA qui sélectionne automatiquement les CV pour la suite d’une procédure de recrutement.
   2. Ces systèmes sont jugés à haut risque car ils peuvent créer ou perpétuer des schémas discriminatoires. Ils doivent respecter des exigences strictes, telles que des tests approfondis, des obligations de transparence, un contrôle humain.
   3. À partir d’août 2026, des mesures techniques et organisationnelles seront obligatoires pour s’assurer que ces systèmes sont utilisés conformément à leur mode d’emploi.
   4. Lorsqu’un système d’IA à haut risque prend des décisions concernant des personnes physiques (ou y contribue), les personnes concernées doivent être informées qu’elles sont soumises à l’utilisation d’un tel système.
3. Risque limité
   1. L’usage de chatbots ou de systèmes d’IA génératifs est classé comme risque limité. Ces systèmes sont autorisés, mais soumis à certaines obligations de transparence afin que les utilisateurs sachent qu’ils interagissent avec une IA.
4. Risque minimal
   1. Un filtre anti-spam dans une boîte mail est considéré comme un outil d’IA à risque minimal. Ces outils sont autorisés sans restrictions.

Maîtrise de l’IA

Depuis février 2025, votre entreprise doit veiller à assurer un niveau suffisant de maîtrise de l’IA chez les employés et les personnes qui utilisent des systèmes d’IA en son nom.

L’entreprise doit s’assurer que les personnes concernées, ainsi que les fournisseurs et responsables de l’utilisation, disposent des connaissances, compétences et insights nécessaires. Cela doit leur permettre d’utiliser les systèmes d’IA de manière éclairée, d’être conscients des opportunités et des risques de l’IA, ainsi que des éventuels dommages qu’elle peut causer.

Le règlement sur l’IA ne précise pas quelles mesures spécifiques doivent être prises par l’entreprise. Les organisations sont donc libres dans leur approche.

Comment aborder concrètement la maîtrise de l’IA ?

Pour appliquer concrètement cette obligation, il est essentiel de savoir quels employés utilisent (ou utiliseront) quels outils d’IA. Il faut aussi prendre en compte les outils que les collaborateurs utilisent spontanément. En effet, chaque système d’IA est unique et son impact diffère : une IA de traitement de texte ne se compare pas à un système qui scanne les visages à l’entrée d’un chantier.

Ensuite, un test peut être réalisé auprès des collaborateurs concernés afin de mesurer leur niveau de maîtrise de l’IA. Sur la base des résultats, une formation adaptée pourra être proposée pour renforcer ce niveau. Cela peut passer par de courtes formations en ligne par type de fonction, des ateliers interactifs, ou encore un guide d’utilisation de l’IA spécifique à chaque outil.

Pour plus d’informations sur la maîtrise de l’IA, nous vous renvoyons à notre article publié précédemment.

Mise en œuvre progressive des autres parties

À partir du 2 août 2025, des obligations spécifiques s’appliqueront aux modèles d’IA à usage général (General Purpose AI – GPAI).

Les développeurs et fournisseurs de ces modèles devront alors :

1. Respecter des obligations de transparence, notamment fournir des informations sur le fonctionnement, les limites et les risques du modèle ;
   1. Disposer d’une documentation technique et d’un résumé de l’utilisation du modèle.

Par ailleurs, tous les États membres de l’UE devront, à cette date, avoir fixé leurs sanctions nationales pour les infractions au Règlement sur l’IA. Ces sanctions devront être efficaces, proportionnées et dissuasives.

À partir d’août 2026, la plus grande partie du Règlement sur l’IA entrera en vigueur. Cela aura également des conséquences pour les employeurs utilisant des systèmes d’IA à haut risque, tels que décrits à l’annexe III du Règlement.

Parmi les exemples de ces systèmes figurent des applications d’IA dans le contexte de :

1. du recrutement et de la sélection,
2. l’accès à l’éducation ou aux services publics essentiels,
3. la santé et la justice,
4. l’identification biométrique,
5. la migration et le contrôle aux frontières.

Si, en tant qu’employeur, vous utilisez pour la première fois un tel système d’IA sur le lieu de travail, vous êtes tenu :

1. D’informer vos employés et leurs représentants (par exemple syndicats ou représentation du personnel) de l’utilisation du système ;
2. Si le système d’IA est considéré comme l’introduction d’une nouvelle technologie au sens de la CCT n°39, une consultation du conseil d’entreprise est également obligatoire.

En outre, chaque système d’IA à haut risque doit répondre à des exigences strictes en matière d’évaluation des risques, de transparence, de contrôle humain et de gestion des données.

Enfin, en août 2027, les obligations s’appliqueront aux systèmes d’IA visés à l’annexe I du Règlement sur l’IA. Il s’agit de systèmes intégrés dans la réglementation européenne existante sur les produits et déjà soumis au marquage CE. On pense notamment aux :

1. jouets,
2. équipements radio,
3. dispositifs médicaux de diagnostic in vitro,
4. véhicules agricoles ou forestiers,
5. systèmes de sécurité dans l’aviation civile.

Les organisations qui utilisent des systèmes d’IA dans ces secteurs devront démontrer, d’ici août 2027, qu’elles respectent pleinement les exigences spécifiques liées à ces applications.

Sanctions

Les sanctions prévues par le Règlement sur l’IA sont sévères. Certaines infractions entraînent des amendes expressément prévues dans le texte.

Pour les infractions les plus graves, telles que la violation des pratiques d’IA interdites, une amende pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’entreprise (selon le montant le plus élevé) peut être infligée.

Pour le non-respect des obligations liées aux systèmes d’IA à haut risque ou aux obligations de transparence, l’amende peut s’élever jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial de l’année précédente (selon le montant le plus élevé).

Les amendes pour la transmission d’informations fausses ou trompeuses aux autorités peuvent atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Les États membres doivent définir leurs propres règles pour les sanctions relatives aux infractions qui ne sont pas explicitement prévues dans le Règlement. Ils sont également tenus de prendre toutes les mesures nécessaires pour garantir l’application effective de ces sanctions. Celles-ci doivent être efficaces, proportionnées et dissuasives.

En savoir plus ?

Des questions sur le Règlement sur l’IA ou besoin d’un accompagnement dans sa mise en œuvre ? N’hésitez pas à nous contacter. Nous vous aidons à rester conformes face aux évolutions à venir.