Quelles sont les responsabilités RH en cas d'erreur liée à une IA utilisée en RH ?
Réponse courte
La responsabilité en cas d'erreur d'une intelligence artificielle utilisée en RH repose avant tout sur l'employeur, en tant que responsable du traitement au sens du RGPD. Il ne peut se décharger sur le fournisseur de l'outil ; il lui appartient de choisir un prestataire conforme, de paramétrer correctement la solution, et d'assurer une supervision humaine effective.
En cas de préjudice pour un salarié ou un candidat (discrimination, décision injustifiée, fuite de données), l'employeur s'expose à une sanction CNPD, à une action en réparation du préjudice subi, et potentiellement à des poursuites pour discrimination. Le fournisseur peut être tenu pour sous-traitant (art. 28 RGPD) et engagé en cascade, mais la responsabilité principale reste celle de l'employeur.
Définition
La responsabilité RH en matière d'IA recouvre l'ensemble des obligations juridiques, organisationnelles et éthiques imposées à l'employeur utilisateur d'un outil d'intelligence artificielle dans la gestion du personnel. Elle concerne aussi bien les décisions automatisées en recrutement que les outils d'évaluation, de gestion des carrières, de détection de fraude ou d'analyse prédictive. La responsabilité s'étend à l'ensemble du cycle de vie de l'outil, du choix au déploiement et jusqu'au retrait.
Conditions d’exercice
L'employeur est responsable de traitement par défaut (art. 4.7 RGPD), le fournisseur d'IA intervient comme sous-traitant (art. 28), et une supervision humaine est obligatoire pour toute décision significative.
| Condition | Détail |
|---|---|
| Responsable du traitement | L'employeur, par défaut (art. 4.7 RGPD) |
| Sous-traitant | Le fournisseur est souvent sous-traitant (art. 28) |
| Accountability | L'employeur doit démontrer sa conformité |
| Intervention humaine | Obligatoire pour les décisions significatives |
| Supervision continue | Obligation de contrôler l'outil dans le temps |
| Recours possible | Contre le fournisseur en cas de défaillance technique |
Modalités pratiques
La maîtrise des risques IA repose sur un contrat article 28 avec le fournisseur, des audits périodiques, une procédure d'incident et une couverture assurantielle dédiée.
| Étape | Détail |
|---|---|
| Contrat | Clauses de l'art. 28 RGPD avec le fournisseur |
| Audit | Contrôle initial et périodique de l'outil |
| Documentation | Fiche de conformité et registre des traitements |
| Procédure d'incident | Gestion des erreurs et des plaintes |
| Information | Transparence vis-à-vis des salariés |
| Assurance | Couverture spécifique des risques IA |
Pratiques et recommandations
Contractualiser rigoureusement la relation avec le fournisseur de l'outil d'IA, en intégrant les clauses obligatoires de l'article 28 du RGPD et des engagements sur la qualité, la documentation et l'assistance.
Superviser systématiquement les décisions produites par l'outil par un humain qualifié, en documentant les validations et les éventuels écarts constatés.
Formaliser une procédure de gestion des incidents liés à l'IA, incluant la détection, l'analyse, la correction, la notification éventuelle à la CNPD et l'information des personnes concernées.
Auditer régulièrement l'outil pour vérifier l'absence de biais, de dérives et de dysfonctionnements, et conserver les rapports d'audit pendant toute la durée d'utilisation.
Assurer un niveau de formation suffisant des équipes RH utilisatrices, pour qu'elles puissent exercer un regard critique sur les résultats et alerter en cas d'anomalie.
Cadre juridique
Le cadre juridique combine RGPD, règlement IA et droit du travail.
| Référence | Objet |
|---|---|
| Art. 4.7 RGPD | Définition du responsable de traitement |
| Art. 22 RGPD | Décision individuelle automatisée |
| Art. 24 RGPD | Responsabilité générale du responsable |
| Art. 28 RGPD | Relation avec le sous-traitant |
| Art. 82 RGPD | Droit à réparation en cas de dommage |
| Règlement (UE) 2024/1689 | Règlement européen sur l'IA |
| Art. L.251-1 Code du travail | Non-discrimination |
Note
L'article 82 du RGPD ouvre un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait d'un traitement non conforme. En pratique, l'employeur reste en première ligne même si l'erreur trouve son origine chez le fournisseur de l'outil.