Quelles sont les limites juridiques du profilage algorithmique en entreprise ?

Réponse courte

Le profilage algorithmique en entreprise est strictement encadré : il ne peut être mis en œuvre que sur une base légale valable (exécution du contrat, obligation légale, intérêt légitime). Toute décision automatisée produisant des effets juridiques ou significatifs sur le salarié est en principe interdite sans intervention humaine (article 22 du RGPD).

L'employeur doit garantir la non-discrimination, réaliser une analyse d'impact (article 35 RGPD), informer les salariés sur la logique du traitement et consulter la délégation du personnel (article L.414-9). Les algorithmes doivent être auditables, sans biais, et permettre l'exercice des droits d'accès, de rectification, d'opposition et d'intervention humaine prévus aux articles 15-22 du RGPD.

Définition

Le profilage algorithmique désigne tout traitement automatisé de données personnelles visant à évaluer des aspects relatifs à un salarié ou candidat (performances, comportements, aptitudes), en vue de prendre ou d'influencer une décision RH (recrutement, évaluation, promotion, sanction), dans la continuité des dispositifs d'IA appliqués au recrutement.

Lorsqu'il aboutit à une décision automatisée produisant des effets juridiques ou affectant significativement la personne, il relève du régime spécifique de l'article 22 du RGPD, qui en interdit le principe sauf garanties appropriées.

Questions fréquentes

Comment auditer un algorithme de profilage en entreprise ?

Par vérification régulière des biais, de l'exactitude et de l'égalité de traitement (L.241-1). Les critères et paramètres doivent être documentés et la traçabilité des choix techniques opérés conservée.

Faut-il consulter la CNPD avant un profilage RH automatisé ?

Oui, la consultation préalable de la CNPD (article 36 RGPD) est requise si le risque résiduel reste élevé après l'AIPD. Le profilage RH figure parmi les traitements à risque élevé listés par la CNPD.

Le salarié peut-il s'opposer à un profilage algorithmique ?

Oui, il dispose des droits d'accès, de rectification, d'opposition et d'intervention humaine prévus aux articles 15-22 du RGPD. L'employeur doit garantir l'exercice effectif de ces droits.

Quand l'article 22 du RGPD interdit-il une décision automatisée ?

Lorsqu'elle produit des effets juridiques ou affecte significativement la personne. Trois exceptions strictes existent : nécessité contractuelle, autorisation légale, consentement explicite, toutes assorties de garanties dont l'intervention humaine.

Quelles sanctions en cas de décision RH automatisée illégale ?

La décision est nulle et l'employeur s'expose à des sanctions CNPD jusqu'à 4 % du chiffre d'affaires mondial. Le DPO doit être associé dès la conception et la documentation conditionne la recevabilité des preuves.

Quelles sont les limites juridiques du profilage algorithmique en entreprise au Luxembourg ?

Le profilage exige une base légale valable (contrat, obligation légale, intérêt légitime). Toute décision automatisée produisant des effets juridiques ou significatifs sur le salarié est interdite sans intervention humaine (article 22 RGPD).

Conditions d’exercice

L'article 22 du RGPD pose une interdiction de principe des décisions entièrement automatisées : seules trois exceptions strictes sont admises (nécessité contractuelle, autorisation légale, consentement explicite), toutes assorties de garanties dont l'intervention humaine.

Condition	Exigence
Base légale	Article 6 RGPD : contrat, obligation légale ou intérêt légitime documenté
Proportionnalité	Aucune alternative moins intrusive ; minimisation stricte des données
Intervention humaine	Décision finale par une personne, motivée et documentée
Non-discrimination	Audit des biais, vérification de l'égalité de traitement (L.241-1)
Transparence	Information sur la logique sous-jacente (articles 13-14 RGPD)
Consultation	Délégation du personnel (article L.414-9)

Modalités pratiques

Le profilage à des fins RH est listé par la CNPD parmi les traitements à risque élevé : l'AIPD est de fait obligatoire et la consultation préalable de la CNPD requise si le risque résiduel reste élevé (article 36 RGPD).

Démarche	Précision
Analyse d'impact (AIPD)	Article 35 du RGPD, préalable et documentée
Information individuelle	Logique, importance et conséquences (articles 13-14 RGPD)
Exercice des droits	Accès, rectification, opposition, intervention humaine (articles 15-22 RGPD)
Consultation préalable	CNPD si risque résiduel élevé (article 36 RGPD)
Consultation délégation	Article L.414-9, procès-verbal préalable
Audit des algorithmes	Vérification régulière des biais et de l'exactitude
Registre des traitements	Description du modèle, finalités, données, durées

Pratiques et recommandations

Limiter le profilage aux situations où aucune alternative moins intrusive n'est possible.

Documenter précisément les critères et paramètres utilisés par l'algorithme et les choix techniques opérés.

Auditer régulièrement la pertinence, l'exactitude et l'absence de biais discriminatoires.

Associer les salariés et la délégation du personnel à la réflexion sur l'introduction des dispositifs.

Garantir une intervention humaine effective avant toute décision RH significative.

Cadre juridique

Référence	Objet
Art. L.261-1 du Code du travail	Traitement de données pour surveillance des salariés
Art. L.414-9 du Code du travail	Consultation/co-décision de la délégation du personnel
Art. L.241-1 du Code du travail	Égalité de traitement et non-discrimination
Loi modifiée du 1er août 2018	Protection des données à caractère personnel
Règlement (UE) 2016/679 (RGPD)	Articles 5, 6, 13-14, 15-22, 35, 36
Règlement (UE) 2024/1689 (IA Act)	Systèmes d'IA à haut risque dans l'emploi

Note

Toute décision RH fondée exclusivement sur un profilage automatisé sans intervention humaine est nulle et expose l'employeur à des sanctions de la CNPD jusqu'à 4 % du chiffre d'affaires mondial. Le DPO doit être associé dès la conception du dispositif et la documentation des choix algorithmiques conditionne la recevabilité des preuves.