Comment garantir la protection des données salariés à l’ère de l’IA ?

Après avoir compris qu’avec l’émergence de l’IA, la cybersécurité devient une responsabilité RH stratégique, une question s’impose : comment passer de la prise de conscience à l’action ? 

Les experts de la table ronde de Septeo Future Insights HR 2025 « Cybersécurité RH : protéger les données à l’ère de l’IA » livrent plusieurs pistes pour construire une approche responsable et opérationnelle de la protection des données salariés. 

En résumé │ 3 leviers pour garantir la protection des données salariés à l’ère de l’IA

• Anticiper la confidentialité dès la conception : appliquer le principe du privacy by design pour intégrer la protection des données salariés avant tout déploiement d’un outil IA RH. 
• Évaluer les risques avant d’agir : réaliser une analyse d’impact (DPIA) pour identifier les menaces et documenter les mesures de sécurité, en s’appuyant sur les ressources de la CNIL et les modèles de gouvernance existants. 
• Savoir réagir en cas d’incident : déclarer sans délai toute fuite ou faille à la CNIL, documenter les actions correctives et former les équipes RH pour préserver la conformité et la confiance. 

Concrètement, le privacy by design repose sur sept grands principes2 : 

1. Anticiper plutôt que corriger : identifier les risques pour la vie privée avant qu’ils ne surviennent. 
2. Protéger par défaut : garantir de manière automatique un haut niveau de sécurité sans que l’utilisateur ait besoin d’intervenir. 
3. Traiter les données de manière conforme : penser la protection des données dès la création de l’outil. 
4. Assurer la sécurité de bout en bout : protéger les données à chaque étape de leur cycle de vie, de la collecte à la suppression. 
5. Allier performance et sécurité : ne pas opposer innovation et protection, mais faire coexister les deux. 
6. Rendre les pratiques transparentes : permettre d’auditer et de comprendre comment les données sont utilisées. 
7. Respecter les droits des personnes : donner aux collaborateurs la maîtrise de leurs données (accès, rectification, suppression). 

Appliqué à la sphère RH, le privacy by design n’est donc pas une contrainte technique, mais un cadre de confiance. Il permet de concevoir des projets digitaux et, a fortiori, des systèmes IA alliant respect des données personnelles des salariés et performance RH. 

Autrement dit, plus la protection des données des salariés est anticipée, plus elle favorise la réussite des projets IA. En intégrant cette dimension au cœur de leur démarche, les directions RH instaurent un climat de confiance : les collaborateurs savent que leurs informations personnelles sont protégées et l’entreprise peut innover sereinement. 

Intégrer la confidentialité dès la conception est une première étape vers une IA responsable. Mais pour qu’un projet soit vraiment maîtrisé, les RH doivent aller plus loin : évaluer les risques potentiels liés à son déploiement, afin d’assurer une protection durable et documentée des données salariés. 

Evaluer les risques : l’analyse d’impact comme levier de protection des données salariés 

L’analyse d’impact, une étape clé avant tout déploiement IA 

Avant d’intégrer une solution d’intelligence artificielle dans les processus RH, il est essentiel de mesurer les risques qu’elle peut faire peser sur la protection des données salariés. C’est tout l’objet de l’analyse d’impact relative à la protection des données (Data Protection Impact Assessment ou DPIA), une exigence prévue par le RGPD (article 353) et renforcée par l’IA Act européen (article 274). Cette démarche consiste à identifier, évaluer et documenter les risques liés à un traitement automatisé avant sa mise en service. 

Caroline Chopinaud, Directrice générale du Hub France IA explique : « Aujourd’hui, de nombreuses entreprises, en particulier les PME, ne se sentent pas concernées par l’IA Act, mais il faut avoir en tête que toute organisation utilisant un système d’IA pour gérer ou évaluer des collaborateurs doit être capable de prouver qu’elle a identifié et anticipé les risques liés à ces traitements. »

Comment conduire une analyse d’impact efficace 

Pour réaliser une analyse d’impact dans le cadre d’un projet IA RH et ainsi renforcer la protection des données salariés, les étapes clés sont les suivantes : 

• Identifier les données traitées et préciser leur finalité (par exemple : évaluer la performance, automatiser le tri de CV, prédire les besoins en formation). 
• Lister les différentes menaces qui pourraient affecter la confidentialité des données des salariés (accès non autorisé au système, erreur technique, erreur humaine…) 
• Evaluer la probabilité de chaque menace et le niveau d’impact pour en déduire un niveau de priorité. 
• Documenter les mesures envisagées pour réduire ces risques. 

Pour accompagner cette démarche, Caroline Chopinaud recommande de s’appuyer sur les ressources et modèles proposés par la CNIL, qui met à disposition un guide complet sur l’analyse d’impact. 

Elle invite également les organisations à s’inspirer des bonnes pratiques déjà mises en œuvre dans de grands groupes. C’est le cas du Groupe La Poste, qui a créé un Comité d’éthique et de gouvernance de l’IA5 chargé d’évaluer les usages de l’intelligence artificielle et leurs impacts sur les collaborateurs comme sur les clients.

Ce type d’initiative montre qu’une gouvernance claire et anticipée de l’IA est un levier essentiel pour renforcer la protection des données salariés et bâtir une culture numérique de confiance. 

Mais même avec des dispositifs préventifs solides, aucune organisation n’est à l’abri d’un incident. La capacité à réagir rapidement et en conformité en cas de fuite ou de faille de sécurité devient alors le dernier maillon essentiel de la protection des données salariés. 

• Administratif : La CNIL peut sanctionner l’entreprise en lui mettant une amende dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, pour les manquements les plus graves. 
• Pénal : Le chef d’entreprise engage sa responsabilité pénale. Il peut être condamné à une peine de prison en cas par exemple de négligence grave, de manquement à l’obligation de sécurité ou encore s’il est avéré qu’il a donné son accord pour mettre en place un système IA interdit par l’IA Act ou en cas d’absence d’analyse d’impact pour les IA à haut risque. 
• Civil : L’entreprise peut être condamnée à verser des dommages et intérêts aux salariés auxquels elle a causé un préjudice.  

La non-conformité peut prendre plusieurs formes, et l’une de celles que les entreprises sous-estiment le plus est l’absence de déclaration d’un incident à la CNIL. En effet, ne pas signaler une fuite de données constitue en soi une violation du règlement et expose l’entreprise à des sanctions ainsi qu’à une perte de crédibilité si l’incident venait à être découvert plus tard. 

D’où l’importance de savoir comment réagir concrètement en cas d’incident : au-delà de la déclaration, il faut être capable d’identifier, documenter et corriger rapidement la faille pour limiter son impact. 

Protection des données salariés et RGDP : les bons réflexes en cas d’incident 

Voici les principales étapes à suivre si les données de vos salariés sont compromises : 

A retenir

La protection des données salariés ne se résume plus à une exigence réglementaire : elle devient un pilier de la stratégie RH à l’ère de l’IA. En intégrant la confidentialité dès la conception des projets, en évaluant rigoureusement les risques et en réagissant avec transparence en cas d’incident, les entreprises construisent une culture numérique responsable. Pour les DRH, mettre la protection des données salariés au cœur des démarches IA, c’est faire le choix d’une innovation durable, où la technologie reste au service de l’humain, et non l’inverse.