Le contrôle par intelligence artificielle des salariés est-il autorisé au Luxembourg ?
Réponse courte
Le contrôle par intelligence artificielle des salariés est autorisé au Luxembourg uniquement s'il poursuit une finalité légitime, qu'il est proportionné et qu'il respecte les droits fondamentaux. Toute décision produisant des effets juridiques ou affectant significativement le salarié doit faire l'objet d'une intervention humaine effective (article 22 du RGPD).
Avant la mise en œuvre, l'employeur doit réaliser une AIPD (article 35 RGPD), informer individuellement les salariés sur la logique du traitement (articles 13-14 RGPD) et consulter la délégation du personnel (article L.414-9). Les algorithmes doivent être auditables, sans biais discriminatoire, et la question rejoint l'encadrement de l'IA dans le recrutement lorsque le dispositif sert à évaluer ou trier les salariés.
Définition
Le contrôle par intelligence artificielle désigne l'usage de systèmes automatisés fondés sur l'apprentissage ou l'analyse prédictive pour évaluer les comportements, performances ou présences des salariés, dont le profilage algorithmique constitue la forme la plus risquée. Ces systèmes traitent des données à caractère personnel, parfois sensibles, et peuvent produire des décisions automatisées au sens de l'article 22 du RGPD.
Le recours à l'IA en RH soulève des enjeux de transparence, de non-discrimination et de vie privée qui imposent un encadrement humain effectif et un audit régulier des modèles.
Questions fréquentes
Conditions d’exercice
L'article 22 du RGPD interdit en principe les décisions individuelles entièrement automatisées ayant un effet juridique ou significatif : l'IA ne peut donc pas remplacer la décision humaine en matière disciplinaire ou d'évaluation.
| Condition | Exigence |
|---|---|
| Finalité légitime | Sécurité, protection des intérêts économiques, vérification des obligations contractuelles |
| Proportionnalité | Aucune surveillance généralisée ; alternatives moins intrusives privilégiées |
| Intervention humaine | Décision finale prise et motivée par une personne (article 22 RGPD) |
| Non-discrimination | Audit des biais algorithmiques, vérification de l'égalité de traitement |
| Transparence | Information sur la logique sous-jacente et les conséquences (articles 13-14 RGPD) |
| Consultation | Délégation du personnel selon l'article L.414-9 (≥ 150 salariés) |
Modalités pratiques
L'AIPD est systématiquement requise pour les dispositifs de contrôle algorithmique compte tenu du risque élevé qu'ils présentent pour les droits des salariés.
| Démarche | Précision |
|---|---|
| Analyse d'impact (AIPD) | Article 35 du RGPD, obligatoire avant déploiement |
| Information individuelle | Logique, importance et conséquences prévues du traitement |
| Consultation de la délégation | Procès-verbal préalable à la mise en service |
| Audit des algorithmes | Détection des biais, vérification de l'absence de discrimination |
| Encadrement humain | Procédure documentée de revue des décisions automatisées |
| Registre des traitements | Description du modèle, finalités, données, destinataires |
| Exercice des droits | Accès, rectification, opposition, intervention humaine (articles 15-22 RGPD) |
Pratiques et recommandations
Limiter le recours à l'IA aux situations où aucune alternative moins intrusive n'est disponible.
Auditer régulièrement les algorithmes pour vérifier leur exactitude, leur explicabilité et l'absence de biais discriminatoires.
Documenter chaque décision fondée sur l'IA et conserver la trace de la revue humaine effectuée.
Former les utilisateurs internes à la lecture critique des résultats et à la procédure d'intervention humaine.
Réviser périodiquement le dispositif avec la délégation du personnel et le DPO.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Art. L.241-1 du Code du travail | Égalité de traitement et non-discrimination |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 13-14, 22, 35 |
| Règlement (UE) 2024/1689 (IA Act) | Encadrement des systèmes d'IA à haut risque dans l'emploi |
Note
Une décision disciplinaire ou d'évaluation entièrement automatisée sans intervention humaine est nulle et expose l'employeur à des sanctions de la CNPD jusqu'à 4 % du chiffre d'affaires mondial. La preuve issue d'un dispositif IA non conforme est irrecevable devant le tribunal du travail.