L'IA peut-elle traiter des données sensibles des salariés au Luxembourg ?
Réponse courte
Le traitement de données sensibles par l'IA est en principe interdit par l'article 9 du obligations RGPD, sauf dérogation limitativement prévue. Les données sensibles comprennent les données de santé, les données biométriques, les opinions politiques, l'appartenance syndicale, l'origine raciale ou ethnique et les convictions religieuses. En contexte RH, les plus fréquentes sont les données de santé (arrêts maladie, handicap) et les données biométriques.
Le traitement n'est possible que si une exception de l'article 9, paragraphe 2, s'applique : obligations en matière de droit du travail, protection des intérêts vitaux ou consentement explicite. L'article L.261-1 impose l'information de la délégation du personnel et une AIPD est systématiquement obligatoire. L'AI Act interdit toute classification biométrique pour en déduire des caractéristiques protégées.
Définition
Les données sensibles (ou catégories particulières de données) sont des données personnelles qui, par leur nature, présentent un risque accru pour les droits et libertés fondamentaux des personnes. Le RGPD en donne une liste exhaustive à l'article 9, paragraphe 1, qui inclut les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé et les données relatives à la vie sexuelle ou à l'orientation sexuelle.
En contexte professionnel, le traitement de ces données par l'IA est particulièrement risqué car les algorithmes peuvent inférer des informations sensibles à partir de données apparemment neutres. Un système analysant les patterns d'absence peut révéler des informations de santé ; un algorithme de recrutement entraîné sur des données historiques peut reproduire des biais discriminatoires fondés sur des caractéristiques protégées.
Conditions d’exercice
Le traitement de données sensibles par l'IA est soumis à un régime dérogatoire strict.
| Dérogation Art. 9, §2 | Conditions | Application RH |
|---|---|---|
| Droit du travail et sécurité sociale | Traitement nécessaire à l'exécution des obligations légales | Gestion des arrêts maladie, handicap, médecine du travail |
| Consentement explicite | Consentement libre, spécifique, éclairé et univoque | Limité en contexte salarié (déséquilibre de pouvoir) |
| Intérêts vitaux | Protection des intérêts vitaux de la personne | Situations d'urgence médicale |
| Données rendues publiques | Données manifestement rendues publiques par la personne | Très exceptionnel en contexte RH |
| Médecine préventive | Médecine du travail, évaluation de la capacité de travail | Sous la responsabilité d'un professionnel de santé |
Modalités pratiques
Le traitement de données sensibles par l'IA nécessite des garanties renforcées à chaque étape.
| Mesure | Détail |
|---|---|
| Évaluation préalable | Vérifier l'applicabilité d'une dérogation de l'article 9, §2, avant tout traitement |
| AIPD obligatoire | Réaliser systématiquement une AIPD pour tout traitement de données sensibles |
| Minimisation stricte | Ne traiter que les données sensibles strictement nécessaires à la finalité |
| Séparation des données | Isoler les données sensibles des autres données et limiter les accès |
| Chiffrement | Chiffrer les données sensibles au repos et en transit |
| Information renforcée | Informer les salariés de manière explicite sur le traitement de leurs données sensibles |
| Information délégation | Information préalable de la délégation du personnel (Art. L.261-1) |
Pratiques et recommandations
Éviter autant que possible le traitement de données sensibles par l'IA en recherchant des alternatives qui n'impliquent pas de catégories particulières de données.
Vérifier que le système d'IA n'infère pas de données sensibles à partir de données apparemment neutres, en auditant les corrélations identifiées par l'algorithme.
Restreindre l'accès aux données sensibles traitées par l'IA au strict minimum de personnes habilitées, en mettant en place un contrôle d'accès par rôle et une journalisation des consultations.
Consulter la CNPD en cas de doute sur la licéité du traitement, car le traitement illicite de données sensibles expose à des sanctions pénales au titre de l'article L.261-2 du Code du travail (emprisonnement de 8 jours à 1 an et amende de 251 à 125 000 euros).
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD - Article 9 | Interdiction de principe et dérogations pour les données sensibles |
| RGPD - Article 35 | AIPD obligatoire pour le traitement de données sensibles à grande échelle |
| AI Act - Article 5 | Interdiction de la catégorisation biométrique fondée sur des caractéristiques protégées |
| Art. L.261-1 | Information préalable de la délégation pour le traitement de données des salariés |
| Art. L.261-2 | Sanctions pénales pour traitement illicite de données |
| Art. L.251-1 | Non-discrimination fondée sur les caractéristiques protégées |
Note
Le traitement de données sensibles par l'IA est le domaine le plus risqué juridiquement. L'interdiction de principe de l'article 9 du RGPD ne peut être levée que par une dérogation strictement encadrée. Les sanctions cumulées (RGPD, AI Act, Code du travail) peuvent être considérables en cas de traitement illicite.