Usage des outils d’IA en entreprise : entre généralisation et nécessité d’encadrement
par Myriam Bennari, avocate spécialisée IP / IT / IA chez act legal France
L’utilisation des outils d’IA génératives (ChatGPT, Copilot, Mistral) se généralise dans les entreprises françaises : 43% des salariés les utilisent, 32 % des PME/ETI les ont intégrées.
Pourtant, derrière la généralisation de ces usages, se cache une réalité plus contrastée : seuls 15% des collaborateurs ont été formés à leur utilisation. Résultat ? Beaucoup recourent à ces outils en « shadow IA », c’est-à-dire sans accord ni supervisation de leur entreprise. Par exemple, copier un dossier interne dans un chatbot pour en obtenir un résumé ou une présentation.
Si, pour le salarié cette pratique permet de gagner en temps et en productivité, pour l’entreprise, elle soulève de sérieux risques en matière de sécurité.
-
Risques d’un usage non encadré
Depuis janvier 2025, les fuites de données liées à l’IA ont été multipliées par 2,5. L’utilisation de ces outils, souvent invisibles, peut entrainer l’exportation d’informations confidentielles vers des serveurs hors UE, avec des risques de conservation ou de réutilisation. Ces usages compromettent autant la confidentialité que la conformité au RGPD : collecte disproportionnée, base légale incertaine et droit d’opposition souvent illusoire.
Au-delà de la sécurité, la qualité du travail est aussi en jeu : ces outils peuvent produire des erreurs qui nuisent à la crédibilité de l’entreprise si elles ne sont pas détectées.
-
Un cadre juridique qui se renforce
Côté données personnelles, le Règlement général sur la protection des données personnelles (RGPD) s’applique dès qu’un outil d’IA, interne ou externe, traite des données personnelles (nom, prénom, commentaire d’un client, CV, etc.). L’entreprise devient alors soumise à plusieurs obligations du RGPD passant de l’information claire et accessible aux personnes dont les données sont traitées, à la définition des finalités du traitement (par exemple, la rédaction automatique de réponses clients, l’analyse de feedback RH, etc.) et à la sécurisation des traitements.
Depuis quelques mois, les géants du numérique, notamment Meta, invoquent de plus en plus sur l’une l’intérêt légitime pour entraîner leurs modèles. Ce fondement permet de justifier l’usage des données personnelles si celui-ci est nécessaire à la poursuite d’un objectif légitime, tel que l’amélioration d’un service ou la sécurisation d’une plateforme, et ce, sans porter atteinte aux droits des personnes concernées. Autrement dit, nul besoin du consentement des personnes concernées en présence d’un intérêt légitime .
Dans ses recommandations du 19 juin 2025, la CNIL accepte que l’intérêt légitime de l’entreprise puisse être la base légale de certains traitements par des outils d’IA, mais sous de strictes conditions, tenant notamment à la licéité des traitements, leur nécessité ainsi que la mise en œuvre de garanties lourdes.
La CNIL encadre également le web scraping, qui consiste à extraire des données tirées de contenus en ligne (comme des commentaires publics ou des conversations avec des chatbots). Désormais, les acteurs devront démontrer, au cas par cas, que cette pratique respecte les droits des personnes et s’inscrit dans un usage raisonnable et encadré. Par exemple, utiliser des conversations issues de chatbots pour entraîner une IA peut être envisageable, à condition que les utilisateurs soient informés et que leurs données soient protégées.
Côté règlementation de l’intelligence artificielle, les premières obligations de l’IA Act, le règlement européen sur l’intelligence artificielle du 13 juin 2024 et premier texte international à réguler l’intelligence artificielle, s’appliquent depuis le 2 février 2025, : toute entreprise quel que soit sa taille ou son secteur doit les systèmes dits « à risque inacceptable » sont interdits : notation sociale, manipulation subliminale, détection d’émotions au travail. Les IA RH font partie des IA classées « haut risque » et soumises à d’importantes obligations: audit, documentation, supervision humaine.
Les sanctions pouvant atteindre jusqu’à 35 millions d’euros ou 7 % du Chiffre d’affaires mondial.
Côté droit du travail, le Tribunal judiciaire de Nanterre[1] s’est penché sur la question en février 2025, à l’occasion du déploiement de nouvelles applications informatiques caractérisées par l’intelligence artificielle. En application de l’article L.2312-8 du Code du travail, les entreprises d’au moins 50 salariés ont l’obligation de consulter le Comité social et économique (CSE) avant toute décision introduisant une nouvelle technologie ou modifiant de manière significative les conditions de travail. Cette consultation s’inscrit dans les attributions générales du CSE. Après avoir constaté que le projet d’IA avait été mis en œuvre sans consultation préalable du Comité social et économique (CSE), le Tribunal a considéré qu’un tel outil modifiait les conditions de travail et imposait, dès sa phase de test, une information et une concertation formelles du CSE.
Cette décision constitue une évolution, en ce que le Tribunal a considéré que ce projet de déploiement d’outils IA était déjà suffisamment abouti pour justifier l’obligation de consultation du CSE. L’introduction de l’IA, même à titre expérimental, marquait selon lui un stade d’avancement nécessitant l’implication préalable des représentants du personnel.
-
Concilier productivité et sécurité
Tirer parti du potentiel productif des outils d’IA sans sacrifier la conformité et les droits des salariés suppose une gouvernance claire (charte, comité IA, cartographie des usages), des outils sécurisés (environnements fermés, anonymisation, relecture systématique), une acculturation progressive (formations, bonnes pratiques) et un suivi continu (audits, indicateurs, mises à jour).
Aux entreprises d’intégrer ces principes dans leurs feuilles de route.
[1] Tribunal judiciaire de Nanterre, ordonnance de référé, 14 février 2025, n°24/01457
Paru dans #MagCAPIDF
