L'employeur doit-il documenter les algorithmes utilisés dans ses outils RH ?
Réponse courte
La documentation des algorithmes RH relève à la fois du RGPD et du futur règlement européen sur l'IA. Le RGPD impose au responsable de traitement, via son obligation d'accountability (art. 5.2 et 24), de démontrer sa conformité par des documents écrits : registre des traitements, analyses d'impact, notices d'information, contrats avec les fournisseurs.
Le règlement IA 2024/1689 imposera, pour les systèmes à haut risque (dont les outils RH), une documentation technique complète : description du système, données d'entraînement, performance, mesures de supervision humaine, gestion des risques. L'ensemble doit être tenu à disposition des autorités et conservé pendant 10 ans après la mise sur le marché du système.
Définition
La documentation des algorithmes RH est l'ensemble des éléments écrits, techniques et organisationnels décrivant la conception, le fonctionnement, l'usage et la gouvernance d'un outil automatisé utilisé dans la gestion du personnel. Elle concerne aussi bien les dispositifs internes que les solutions achetées auprès d'un prestataire. Elle constitue un instrument essentiel de preuve de conformité et de pilotage des risques, en particulier pour démontrer le respect des principes de licéité, d'équité et de transparence.
Conditions d’exercice
L'accountability du RGPD (art. 5.2, 24, 30, 35) et le règlement IA 2024/1689 imposent pour les systèmes à haut risque une documentation technique complète conservée pendant dix ans.
| Condition | Détail |
|---|---|
| Accountability | Art. 5.2 et 24 RGPD : démontrer la conformité |
| Registre | Art. 30 RGPD : inscription de chaque traitement |
| AIPD | Art. 35 RGPD : analyse d'impact préalable |
| Documentation technique | Règlement IA 2024/1689 pour les systèmes à haut risque |
| Contrats | Art. 28 RGPD : clauses avec les sous-traitants |
| Conservation | 10 ans après la mise sur le marché du système |
Modalités pratiques
Chaque algorithme RH fait l'objet d'une fiche d'identification, d'une description technique, d'une analyse de risques, d'une gouvernance formalisée et d'une journalisation des décisions.
| Étape | Détail |
|---|---|
| Fiche d'identification | Finalité, responsable, fournisseur, statut |
| Description technique | Architecture, données, modèles, paramètres |
| Gouvernance | Rôles et responsabilités, supervision humaine |
| Risques | Analyse d'impact et plan de mitigation |
| Journalisation | Traçabilité des décisions et des audits |
| Mise à jour | Revue annuelle et à chaque évolution |
Pratiques et recommandations
Centraliser la documentation de chaque algorithme RH dans un dossier structuré tenu par le DPO, accessible aux auditeurs internes et externes, pour faciliter les contrôles.
Utiliser un modèle standard de fiche par outil, reprenant les informations imposées par le RGPD et, de manière anticipée, celles du règlement IA, afin d'harmoniser la documentation.
Associer le fournisseur de l'outil à la constitution de la documentation technique, en l'intégrant dans les clauses contractuelles prévues à l'article 28 du RGPD.
Mettre à jour régulièrement la documentation à chaque évolution significative de l'outil, et conserver les versions successives pour assurer la traçabilité historique.
Former les équipes RH à la lecture et à l'utilisation de la documentation, afin qu'elle devienne un outil de gouvernance vivant et non un simple document d'archive.
Cadre juridique
Les règles applicables combinent RGPD et règlement IA.
| Référence | Objet |
|---|---|
| Art. 5.2 RGPD | Principe de responsabilité |
| Art. 24 RGPD | Responsabilité du responsable de traitement |
| Art. 30 RGPD | Registre des activités de traitement |
| Art. 35 RGPD | Analyse d'impact |
| Art. 28 RGPD | Relation avec les sous-traitants |
| Règlement (UE) 2024/1689 | Règlement européen sur l'IA, documentation technique |
| Loi du 1er août 2018 | Régime national et CNPD |
Note
L'absence de documentation ou sa pauvreté constitue un manquement autonome sanctionnable par la CNPD, indépendamment de toute violation effective du traitement. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.