IA et Cybersécurité : le DRH en première ligne de la confiance numérique

En quelques années, les outils d’intelligence artificielle se sont glissés partout dans les RH. Outils de tri automatisé des CV, assistants pour rédiger des offres, analyse de verbatim d’entretiens, recommandation personnalisée de parcours de formation : la fonction RH s’appuie désormais massivement sur l’IA pour gagner en rapidité, en finesse d’analyse et en capacité de pilotage.

Mais derrière cette promesse d’efficacité se cache un enjeu moins visible, mais crucial : la sécurité des données collaborateurs.

Plus l’IA est utilisée, plus les données collaborateurs circulent d’un outil à l’autre, se croisent, se stockent parfois chez plusieurs prestataires. Et plus ces données circulent, plus elles deviennent vulnérables. IA et cybersécurité ne sont plus seulement des dossiers de la DSI, elles deviennent un enjeu stratégique pour le DRH.

L’IA dans les RH : accélération technologique, vulnérabilité accrue

L’IA a apporté aux RH une capacité inédite à traiter des volumes d’informations qui, auparavant, restaient sous-exploités. Des tâches répétitives ont été automatisées, des décisions sont mieux éclairées grâce aux données, et certaines analyses qui prenaient des jours se font maintenant en quelques minutes. Vu sous cet angle, l’adoption de l’IA est une évidence.

Mais cette même IA repose sur un carburant unique : la donnée RH. Profils, historiques de carrière, informations de rémunération, évaluations, retours de managers ou de collaborateurs sont désormais mobilisés pour nourrir des algorithmes et produire des recommandations. Si le choix des outils n’a pas été anticipé avec un prisme cybersécurité, ces informations sensibles peuvent se retrouver dans des environnements insuffisamment maîtrisés.

Au début, beaucoup d’équipes ont testé et adopté des solutions IA avec enthousiasme, dans une logique d’expérimentation. Aujourd’hui, la prise de conscience progresse : il n’est plus possible de dissocier “transformation IA des RH” et “protection rigoureuse des données collaborateurs”. Les deux doivent être pensés ensemble.

IA et cybersécurité : pourquoi les données RH sont devenues un enjeu critique ?

Les bases RH ont toujours été sensibles, mais l’IA les a rendues encore plus stratégiques. Elles concentrent un ensemble d’informations personnelles, parfois très intimes, qui intéressent autant les métiers que les attaquants. On y trouve des données d’identification, des éléments liés au parcours professionnel, des informations de rémunération et, dans certains cas, des données de santé ou des indicateurs relatifs à la situation personnelle.

Pour un cybercriminel, ce type de base est extrêmement attractif, parce qu’elle est fiable, structurée et régulièrement mise à jour. Une fois ces données compromises, elles peuvent servir de support à des usurpations d’identité, à des campagnes d’hameçonnage ciblées sur des dirigeants ou des fonctions clés, ou encore à des tentatives d’accès à d’autres systèmes de l’entreprise.

L’enjeu ne se limite pas à la technique. Une fuite de salaires, d’évaluations ou de données liées à la santé peut générer des tensions durables, nourrir des incompréhensions et entamer profondément la confiance. Elle peut par exemple :

  • remettre en cause le sentiment d’équité interne si les écarts de rémunération sont exposés brutalement ;
  • fragiliser des collaborateurs dont des informations sensibles se retrouvent divulguées ;
  • nuire à la marque employeur en donnant l’image d’une entreprise négligente sur la protection de ses équipes.

Dans ce contexte, la sécurité de la donnée RH devient à la fois un enjeu juridique, social et réputationnel.

 

L’IA au quotidien : de petits gestes qui créent de grands risques

Les risques liés à l’IA dans les RH ne viennent pas uniquement d’attaques sophistiquées. Ils naissent souvent de gestes ordinaires, accomplis de bonne foi, par des professionnels qui cherchent simplement à gagner du temps.

On voit ainsi des recruteurs copier-coller des listes de candidats dans un assistant IA grand public pour rédiger des messages plus personnalisés. Des RH soumettent des comptes rendus d’entretiens à un outil d’IA pour obtenir une synthèse rapide. Des gestionnaires de formation exportent l’historique de suivi des collaborateurs afin de tester un nouveau service d’analyse en ligne, sans se demander précisément où les données seront stockées ni comment elles seront réutilisées.

 

Pris isolément, chacun de ces gestes peut paraître anecdotique. Mis bout à bout, ils créent un flux permanent de données sensibles vers des outils qui n’ont parfois jamais été audités ni validés par la DSI ou le DPO. C’est cette exposition diffuse, peu visible, qui constitue l’un des principaux risques à l’ère de l’IA.

Face à cela, la réponse ne peut pas être uniquement technique. Il est indispensable de développer une véritable culture de l’usage responsable de l’IA au sein des équipes RH, avec des messages simples :

  • quels types de données sont jugés sensibles,
  • quels outils sont autorisés ou proscrits,
  • quelles questions se poser avant de coller des informations collaborateurs dans un service externe.

IA et cybersécurité : mettre en place une gouvernance IA adaptée aux enjeux RH

Pour que la cybersécurité ne soit pas gérée de manière réactive, il est nécessaire de structurer une gouvernance IA. L’objectif n’est pas de multiplier les contraintes, mais de définir un cadre commun qui évite les dérives, les doublons ou les oublis.

Une gouvernance solide repose généralement sur une collaboration étroite entre la DSI, le juridique / DPO et les RH. Chacun apporte sa lecture : les risques techniques pour les uns, les exigences réglementaires pour les autres, l’impact humain pour la fonction RH. Ensemble, ils peuvent clarifier les règles du jeu et définir quelques principes directeurs, par exemple :

 

  • quels types de projets IA RH doivent systématiquement être revus avant déploiement ;
  • quels critères minimaux de sécurité, d’hébergement et de gestion des données doivent être exigés des fournisseurs ;
  • dans quels cas une information spécifique des collaborateurs est nécessaire, voire une consultation des instances représentatives ;
  • comment gérer le cycle de vie des données (collecte, usage, conservation, suppression) lorsque l’IA est en jeu.

Côté RH, un travail de fond est également à mener sur la cartographie des outils déjà en place. Beaucoup d’organisations découvrent, en creusant, qu’elles utilisent bien plus de solutions IA qu’elles ne l’imaginaient : ATS dotés de scoring automatique, systèmes de recommandation intégrés aux plateformes de formation, outils d’écoute collaborateurs reposant sur des modèles algorithmiques… Connaître cet écosystème est la condition pour reprendre la main.

Faire de la cybersécurité une compétence RH durable

L’IA ne va pas se retirer des RH ; elle va, au contraire, continuer à s’étendre à de nouveaux processus. La question n’est donc pas de savoir s’il faut l’adopter ou non, mais comment la déployer de manière sûre et responsable.

Pour le DRH, cela implique d’assumer un double rôle. D’un côté, celui de facilitateur de l’innovation, en identifiant les cas d’usage pertinents de l’IA pour les équipes et les managers, et en soutenant les projets qui créent réellement de la valeur. De l’autre, celui de protecteur des collaborateurs, en veillant à ce que leurs données soient traitées avec mesure, sécurisées tout au long de leur cycle de vie, et jamais utilisées à des fins opaques ou disproportionnées.

Concrètement, cela passe par quelques actions clés, qui doivent être vues comme un investissement à long terme plutôt qu’un chantier ponctuel :

 

  • intégrer systématiquement un volet “données et cybersécurité” dans les projets RH impliquant l’IA ;
  • inscrire la formation des équipes RH à ces enjeux dans la durée, avec des rappels réguliers et des cas concrets ;
  • suivre les incidents ou quasi-incidents pour ajuster les règles et les pratiques plutôt que les minimiser ;
  • faire de la transparence vis-à-vis des collaborateurs un principe : expliquer ce que l’on fait avec leurs données, pourquoi et avec quelles garanties.

En plaçant la sécurité des données au même niveau que la performance des outils, la fonction RH renforce sa crédibilité et sa légitimité. Elle montre qu’elle est capable d’articuler innovation et responsabilité, efficacité et respect des personnes. À l’ère de l’IA, c’est sans doute l’une des conditions essentielles pour continuer à attirer, engager et fidéliser les talents sur le long terme.