L'employeur peut-il surveiller l'utilisation des outils d'IA par ses salariés ?
Réponse courte
L'employeur peut surveiller l'utilisation des outils d'IA par ses salariés, mais cette surveillance est strictement encadrée par le obligations RGPD, le Code du travail et les recommandations de la CNPD. Toute surveillance doit respecter les principes de finalité légitime, de proportionnalité et de transparence envers les salariés concernés.
La mise en place d'un dispositif de surveillance nécessite une information préalable des salariés, une consultation de la délégation du personnel et, dans la plupart des cas, une analyse d'impact (AIPD). La surveillance permanente et systématique est interdite. L'employeur doit privilégier des contrôles ciblés et documentés, fondés sur un intérêt légitime démontrable.
Définition
La surveillance de l'utilisation des outils d'IA par les salariés désigne tout dispositif technique ou organisationnel permettant à l'employeur de contrôler, enregistrer ou analyser les interactions des employés avec les systèmes d'intelligence artificielle mis à leur disposition dans le cadre professionnel.
Au Luxembourg, cette surveillance est encadrée par l'article L.261-1 du Code du travail, qui régit le traitement de données à caractère personnel à des fins de surveillance sur le lieu de travail. La CNPD a émis des lignes directrices spécifiques sur la surveillance des salariés, exigeant un équilibre entre les intérêts légitimes de l'employeur et le droit à la vie privée des travailleurs.
Conditions d’exercice
La surveillance de l'utilisation des outils d'IA est soumise à des conditions cumulatives strictes.
| Condition | Détail |
|---|---|
| Finalité légitime | La surveillance doit poursuivre un objectif précis et légitime : protection de la confidentialité, prévention des fuites de données, respect de la charte IA, sécurité informatique |
| Proportionnalité | Les moyens de surveillance doivent être proportionnés à l'objectif poursuivi ; interdiction de la surveillance permanente et systématique |
| Information préalable | Les salariés doivent être informés individuellement et collectivement de l'existence, de la nature et de la finalité de la surveillance avant sa mise en œuvre |
| Consultation de la délégation | La délégation du personnel doit être consultée préalablement à l'introduction du dispositif de surveillance (article L.414-4) |
| AIPD | Une analyse d'impact est obligatoire lorsque la surveillance est susceptible d'engendrer un risque élevé pour les droits et libertés des salariés |
| Base juridique RGPD | Intérêt légitime de l'employeur (article 6.1.f RGPD) ou exécution du contrat de travail (article 6.1.b), avec mise en balance des intérêts |
| Durée de conservation | Les données de surveillance doivent être conservées pour une durée limitée et proportionnée à la finalité |
Modalités pratiques
La mise en place d'un dispositif de surveillance suit un processus réglementaire précis.
| Étape | Détail |
|---|---|
| Définition de la finalité | Identifier précisément les objectifs de la surveillance (sécurité des données, respect de la charte, prévention des usages non autorisés) |
| AIPD | Réaliser l'analyse d'impact en évaluant la nécessité, la proportionnalité et les risques pour les droits des salariés |
| Consultation de la délégation | Présenter le projet à la délégation du personnel et recueillir son avis avant le déploiement |
| Information des salariés | Communiquer individuellement sur la nature, la finalité et les modalités de la surveillance via la charte IA ou un avenant au règlement intérieur |
| Paramétrage technique | Configurer les outils de surveillance pour collecter uniquement les données nécessaires à la finalité déclarée |
| Revue périodique | Évaluer régulièrement la pertinence et la proportionnalité du dispositif et adapter les paramètres si nécessaire |
Pratiques et recommandations
Privilégier une approche par la sensibilisation plutôt que par la surveillance, en formant les salariés aux bonnes pratiques d'utilisation de l'IA et en clarifiant les règles dans une charte d'utilisation accessible et compréhensible.
Limiter la surveillance aux métadonnées d'utilisation (fréquence, volume, types de requêtes) plutôt qu'au contenu des échanges avec les outils d'IA, sauf cas justifié par un risque avéré de fuite de données confidentielles.
Documenter systématiquement la justification de chaque mesure de surveillance mise en place, en conservant les analyses de proportionnalité et les avis de la délégation du personnel pour démontrer la conformité en cas de contrôle.
Éviter toute surveillance discriminatoire ciblant certaines catégories de salariés sans justification objective liée à leur fonction ou à leur niveau d'accès aux données sensibles.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Traitement de données à caractère personnel à des fins de surveillance des salariés sur le lieu de travail |
| Art. L.414-4 | Consultation obligatoire de la délégation du personnel sur les dispositifs de surveillance |
| RGPD - Article 6.1.f | Base juridique : intérêt légitime du responsable de traitement |
| RGPD - Article 13 | Obligation d'information des personnes concernées |
| RGPD - Article 35 | Analyse d'impact relative à la protection des données (AIPD) |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg et compétences de la CNPD |
| AI Act - Article 26 | Obligations du déployeur en matière de supervision et de contrôle de l'utilisation |
Note
La surveillance des salariés dans leur utilisation de l'IA doit respecter un équilibre entre les intérêts légitimes de l'employeur (protection des données d'entreprise, respect de la conformité) et le droit à la vie privée des travailleurs. La CNPD sanctionne les dispositifs de surveillance disproportionnés ou mis en place sans information préalable.
L'employeur doit privilégier une approche de confiance encadrée par une charte IA claire, plutôt qu'une surveillance systématique qui risque de détériorer le climat social et d'engendrer des contentieux.