IA et RH: Cadre juridique et obligations clés
Cornelia Mattig
Cornelia Mattig, avocate, MLaw, LL.M., chez Roesle Frick & Partner. Elle est spécialisée dans le droit de la protection des données et le droit des technologies de l'information, ainsi que dans les domaines de l'ESG, de la technologie et du droit des sociétés.
Aides de travail appropriées
En bref
L’utilisation de l’IA dans les RH en Suisse est autorisée, mais strictement encadrée par le droit existant, notamment la LPD, le droit du travail et les droits de la personnalité. Les systèmes d’IA doivent rester des outils d’aide à la décision, avec une supervision humaine obligatoire. Les entreprises doivent garantir transparence, proportionnalité et absence de discrimination.
À retenir :
→ L’IA RH implique souvent du profilage, parfois à haut risque
→ Une AIPD est requise en cas de risques élevés
→ La décision finale doit toujours rester humaine
→ Les outils de surveillance doivent respecter la personnalité des collaborateurs
→ Les biais algorithmiques peuvent engager la responsabilité de l’employeur
Principaux domaines juridiques dont les RH doivent tenir compte
En Suisse, l’utilisation de systèmes d’IA dans le contexte des ressources humaines doit être évaluée en premier lieu au regard de la loi sur la protection des données (LPD), car les processus RH impliquent régulièrement le traitement de données à caractère personnel (sensibles). Les applications basées sur l’IA, telles que la sélection automatisée des candidats, les analyses de performance ou les prévisions, constituent souvent, au regard de la législation sur la protection des données, un profilage, voire un profilage à haut risque, ce qui implique des exigences accrues en matière de transparence, de limitation des finalités, de minimisation des données et de sécurité des données. Les RH doivent donc s’assurer qu’il existe une base juridique valable, que les personnes concernées sont informées de manière appropriée et, en cas de risques accrus, qu’une analyse d’impact relative à la protection des données est effectuée.
Les limites en matière de droit du travail et de droits de la personnalité sont étroitement liées à cette question, en particulier lors de l’utilisation d’outils de surveillance ou d’analyse basés sur l’IA sur le lieu de travail. Selon le droit suisse, les applications qui servent principalement à surveiller le comportement des collaborateurs ou qui portent atteinte de manière disproportionnée à leur personnalité sont interdites. Pour les systèmes autorisés, cette limite consiste à informer préalablement les collaborateurs, à ce que les mesures soient proportionnées et à ce qu’il n’y ait pas de surveillance permanente ou dissimulée.
En outre, l’utilisation de l’IA dans le contexte des ressources humaines soulève des questions relevant du droit du travail, notamment en matière d’embauche, de promotion, d’évaluation des performances ou de licenciement. Si ces décisions sont prises de manière entièrement ou partiellement automatisée, il existe un risque d’arbitraire, de violation du devoir d’assistance ou de licenciements abusifs. Les systèmes d’IA ne doivent donc être utilisés qu’à titre d’auxiliaires, et la décision finale doit dans tous les cas rester humaine. En outre, les processus décisionnels de l’IA doivent être documentés de manière compréhensible.
Il est également essentiel de garantir que l’IA ne donne pas lieu à des discriminations. Les systèmes d’IA peuvent reproduire les biais sociaux ou historiques existants dans les données d’entraînement et ainsi désavantager systématiquement certains groupes de personnes. Même si les décisions discriminatoires sont prises de manière involontaire, elles peuvent entraîner des conséquences juridiques. Les RH doivent donc prendre des mesures pour identifier, tester et corriger ces effets dans un contexte IA et RH.
De nombreuses questions relatives au droit des contrats et à la responsabilité civile peuvent également se poser. C’est notamment le cas lorsque les systèmes d’IA sont achetés auprès de fournisseurs externes. Dans ces cas, la responsabilité des parties en matière de protection des données ainsi que leurs droits et obligations (p. ex. mise en œuvre de mesures techniques et organisationnelles, relations avec les sous-traitants, violations de la protection des données ou décisions erronées) doivent être clairement définies. Dans ce contexte, il convient également de régler la responsabilité respective des parties en cas de dommages patrimoniaux ou d’atteintes à la personnalité.
Les aspects liés à la propriété intellectuelle doivent également être pris en compte lors de l’utilisation d’applications d’IA, notamment ceux concernant l’origine et la légalité des données d’apprentissage utilisées par les systèmes d’IA ainsi que les droits sur les résultats générés par l’IA. Dans le contexte des ressources humaines, cela peut concerner, par exemple, les textes, profils ou évaluations générés. Il convient donc de s’assurer qu’aucun contenu protégé par le droit d’auteur n’est utilisé de manière illicite et que les droits d’utilisation des résultats de l’IA sont clairement réglementés.
Enfin, les aspects transfrontaliers jouent un rôle important, car de nombreux fournisseurs d’IA exploitent leurs infrastructures à l’étranger ou ont des structures internationales. Dans de tels cas, les exigences suisses en matière de protection des données, en particulier celles relatives à la communication de données à l’étranger, doivent être respectées. Parallèlement, il peut exister un lien de fait avec certaines réglementations étrangères, telles que le droit de l’Union européenne. Cela requiert quelquefois de mettre en place une stratégie coordonnée, même si le droit suisse reste formellement applicable.
Tableau comparatif: IA et RH
| Domaine juridique | Risque principal IA | Exigence légale clé | Action RH recommandée |
|---|---|---|---|
| Protection des données (LPD) | Profilage à risque, traitement illicite | Transparence, finalité, minimisation, sécurité | Réaliser AIPD, informer, sécuriser les données |
| Droit du travail & personnalité | Surveillance abusive, atteinte à la personnalité | Proportionnalité, interdiction de surveillance excessive | Limiter les outils, informer, éviter le monitoring constant |
| Décisions RH automatisées | Arbitraire, licenciement abusif | Primauté de la décision humaine | Maintenir validation humaine systématique |
| Discrimination | Biais algorithmiques | Interdiction de discrimination | Tester, auditer et corriger les biais |
| Contrats & responsabilité | Flou sur responsabilités | Répartition claire des obligations | Encadrer contractuellement fournisseurs IA |
| Propriété intellectuelle | Usage illégal de processus/ contenus | Respect droits d’auteur | Vérifier sources et droits d’utilisation |
| Transferts internationaux | Données hors Suisse non conformes | Respect règles transfert de données | Vérifier localisation et conformité fournisseur |
Obligations essentielles des responsables RH en matière de protection des données
Les responsables RH doivent s’assurer que l’utilisation de systèmes d’IA dans tous les processus RH est compatible avec la législation suisse sur la protection des données. Cela implique notamment de vérifier les aspects liés à la protection des données décrits ci-dessus. La vérification de ces aspects peut être effectuée à l’aide de la checklist suivante.
Checklist relative à la protection des données pour l’utilisation d’applications d’IA par les RH :
→ Réalisation d’une analyse d’impact relative à la protection des données (AIPD) afin de garantir le respect des règles en matière de protection des données lors de l’utilisation du système d’IA, notamment en ce qui concerne sa finalité
→ Mise en œuvre des mesures identifiées dans l’AIPD (p. ex. conclusion de certains contrats, chiffrement ou mise en œuvre de processus et de directives internes)
→ Garantir la transparence et l’accessibilité des informations nécessaires afin que les candidats ou les collaborateurs sachent comment et pourquoi l’IA est utilisée
→ Garantir une possibilité d’intervention humaine et, en règle générale, l’intervention d’une personne humaine dans les évaluations rendues par l’IA
→ Conclusion de contrats avec les fournisseurs (contrat de sous-traitance, sous-traitants, inclusion d’exigences de sécurité et de dispositions en matière de responsabilité)
→ Tests de biais et audits réguliers de l’IA pour détecter les effets discriminatoires
→ Implication de différents services internes (RH, service juridique, direction) dans la sélection, la mise en œuvre et la documentation des applications d’IA
IA et RH : Perspectives d’évolution du cadre juridique en Suisse
À l’heure actuelle, la Suisse ne dispose pas d’une loi complète et autonome sur l’IA et continue de miser sur une réglementation sectorielle ainsi que sur l’application des dispositions générales existantes, telles que la législation sur la protection des données.
Recommandations de produits
Afin de clarifier la future réglementation de l’IA en Suisse, le Conseil fédéral a publié le 12 février 2025 un aperçu des possibilités de réglementation de l’IA. Cela comprenait la signature de la convention du Conseil de l’Europe sur l’IA et la mise en œuvre des adaptations nécessaires du droit existant ainsi que d’autres dispositions sectorielles adaptées à l’IA. Le conseiller fédéral Albert Rösti a ensuite signé cette convention le 27 mars 2025. D’ici fin 2026, un projet mis en consultation concernant les adaptations législatives nécessaires à la mise en œuvre de la convention devrait être disponible. Parallèlement, des adaptations sectorielles devraient également être annoncées en 2026. Dans ce contexte, la motion Gössi, qui vise à améliorer la protection de la propriété intellectuelle lors de l’utilisation de l’IA, a franchi une nouvelle étape au Conseil des États le 11 décembre 2025. Les premières dispositions sectorielles spécifiques à l’IA dans la législation suisse devraient donc voir le jour prochainement.
Pour le domaine des ressources humaines, cela signifie que le cadre juridique de l’IA ne sera pas créé de manière isolée ou indépendante du droit existant. Les services RH sont plutôt tenus d’évaluer les applications de l’IA à la lumière du droit en vigueur (en particulier le droit relatif à la protection des données). Cela signifie que l’IA ne constituera probablement pas à l’avenir un domaine juridique à part entière. C’est pour cette raison que les entreprises – et en particulier les services RH – doivent veiller encore davantage à appliquer correctement les lois existantes aux nouveaux outils d’IA et à tenir compte des règles spécifiques à leur secteur.
Il est prévisible que la réglementation en matière d’IA continuera d’évoluer. Des dispositions nationales spécifiquement adaptées à l’IA devraient entrer en vigueur en Suisse à partir de 2026. Les entreprises ont donc tout intérêt à mettre en place dès aujourd’hui des structures, des processus et des mécanismes de gouvernance qui répondront également aux exigences réglementaires de demain.
Remarques pratiques
L’utilisation de l’IA dans le contexte des RH nécessite une préparation minutieuse, une mise en œuvre rigoureuse et une intégration juridique au sein de l’entreprise. La réalisation d’analyses d’impact relatives à la protection des données (AIPD) et le respect des obligations de transparence envers les candidats et les collaborateurs constituent les éléments essentiels de ces mesures préparatoires et de cette mise en œuvre.
Outre les questions relatives à la protection des données, il convient également de tenir compte des aspects liés au droit du travail, à la responsabilité civile et à d’autres aspects sectoriels lors de l’implémentation et de l’utilisation de l’IA dans le contexte des ressources humaines. La checklist ci-dessous peut vous y aider.
Checklist : IA et RH - Utilisation juridiquement sûre de l’IA dans les RH
-> Contrats avec des fournisseurs d’IA
-> Traitement et vérification de la checklist relative à la protection des données pour l’utilisation d’applications d’IA par les RH
-> Documenter soigneusement l’utilisation et le recours à l’IA ainsi que les mesures de protection prises, et mettre en œuvre les processus correspondants
-> Respecter les droits de la personnalité dans le cadre des relations de travail, en particulier dans le cadre de fonctions de surveillance ou d’analyse
-> Encourager une communication ouverte et, si nécessaire, obtenir les consentements requis
En résumé
Si l’utilisation de l’IA dans les RH offre de grandes opportunités, elle est néanmoins juridiquement complexe et nécessite une bonne préparation, une mise en œuvre optimale ainsi qu’une application minutieuse de processus clairement définis. Les services RH sont tenus de garantir de manière cohérente la transparence, la proportionnalité, la primauté de l’humain dans la prise de décision et la protection contre la discrimination dans tout projet IA et RH. En mettant en place dès aujourd’hui des processus clairs, des structures de gouvernance et des contrôles juridiques, vous renforcez votre sécurité juridique. Vous serez également, de surcroît, bien préparé lorsqu’il s’agira de répondre aux exigences légales à venir.
Les responsables RH doivent s’assurer que l’utilisation des systèmes d’IA dans tous les processus RH est conforme à la loi, en particulier à la législation suisse sur la protection des données.
IA et RH : FAQ
L’IA peut-elle prendre seule une décision RH ?
Non. En Suisse, les décisions importantes (embauche, licenciement, promotion) doivent rester sous contrôle humain.
Une AIPD est-elle toujours obligatoire ?
Non, mais elle est fortement recommandée — et requise en cas de profilage à haut risque.
Les outils d’IA peuvent-ils surveiller les collaborateurs ?
Uniquement de manière proportionnée, transparente et non permanente.
Qui est responsable en cas d’erreur d’un système d’IA ?
L’employeur reste responsable, même en cas d’utilisation d’un fournisseur externe.
L’IA peut-elle être discriminatoire sans intention ?
Oui. Les biais algorithmiques peuvent produire des discriminations involontaires mais juridiquement problématiques.
