Si l’utilisation de l’IA s’est désormais répandue au point de devenir parfois systématique, elle n’est toutefois pas exempte de risques. Cela vaut encore plus pour les entreprises qui voient leurs méthodes d’exploitation et de traitement des données se transformer. Les structures doivent alors mettre en place des systèmes pour protéger vos données, notamment dans les directions des ressources humaines où la conciliation entre IA et RH s’impose.
Intelligence artificielle et données de l’entreprise : quels enjeux ?
Les intelligences artificielles soulèvent divers enjeux en matière de transparence, de protection et de sécurité. D’une part, il faut noter une augmentation des risques de cyberattaques et de fuites liée à la centralisation d’une grande masse de données. D’autre part, la réutilisation des données par les systèmes intelligents peut effriter la confiance du public et exposer l’entreprise à un risque de non-conformité légale.
D’après une étude menée par Metomic en juillet 2025, 68 % des organisations interrogées auraient signalé des fuites de données liées à une utilisation interne d’outils d’IA par leurs employés. Pour limiter les dangers, les États imposent une utilisation responsable de l’IA fondée sur la sécurité, la conformité et l’éthique.
En France, par exemple, le traitement des données personnelles doit respecter le cadre posé par le Règlement général sur la protection des données (RGPD) qui vise trois objectifs principaux :
- renforcer les droits des personnes ;
- responsabiliser les acteurs traitant des données ;
- crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.
Quels sont les risques liés à l’utilisation de l’IA dans la gestion des ressources humaines ?
Les responsables des ressources humaines sont appelés à gérer des informations sensibles. Voici quelques exemples de risques en lien avec l’utilisation des intelligences artificielles.
Une fuite possible des données personnelles
Les données personnelles regroupent toutes les informations permettant d’identifier directement ou indirectement une personne :
- l’identité : nom, prénom, date de naissance, numéro de sécurité sociale, photographie ;
- les coordonnées : adresse, téléphone, email ;
- la situation professionnelle : le CV, les évaluations, le salaire, les postes occupés ;
- les données de connexion : identifiants, adresses IP, historique d’accès aux systèmes
Les données à caractère plus personnel regroupent aussi les informations bancaires collectées pour le paiement des salaires, les informations liées à l’activité syndicales ou encore à la santé (par exemple des indications dans le cas de travailleurs handicapés).
Une perte de confidentialité sur les données stratégiques
Hormis les données liées aux individus, les RH sont responsables de certaines informations sensibles. Il s’agit par exemple :
- des données de fonctionnement : politique salariale, critères d’augmentation, plans de licenciement ou de restructuration ;
- des données stratégiques et financières : résultats et projections, projets d’acquisition ou de négociations, politique commerciale ou plans de financement ;
- des données techniques : innovations, brevets, résultats de tests confidentiels.
Qu’il s’agisse de données personnelles ou d’informations opérationnelles, une éventuelle fuite pourrait dégrader l’image de l’entreprise, compromettre les projets en cours ou exposer l’entreprise à des actions ciblées de la concurrence.
IA et RH : comprendre le parcours du risque
Il faut compter plusieurs étapes entre le moment de la fuite des données et celui de l’apparition du problème.
Étape 1 : la saisie de données sensibles
Afin d’obtenir une analyse rapide et complète, un collaborateur renseigne dans un outil d’IA des informations internes : CV non anonymisés, données salariales, informations médicales ou projets de restructuration en cours.
Étape 2 : la transmission vers un serveur externe
L’ensemble des données est transféré dans des serveurs hébergés par un prestataire externe, parfois situés hors de l’Union européenne. À ce moment, l’entreprise perd le contrôle sur les conditions de traitement.
Étape 3 : l’accès non autorisé ou la conservation explicite
En ce qui concerne l’accès non autorisé, il peut s’agir d’une faille de sécurité ou d’un piratage permettant à un tiers d’accéder aux données transmises. Pour ce qui est de la conservation explicite, elle fait souvent partie des conditions d’utilisation des IA gratuites.
Étape 4 : les différentes hypothèses d’exposition de l’entreprise
Une fois partagées, vos données confidentielles peuvent être réutilisées pour l’entraînement des systèmes d’IA. Les équipes de support technique peuvent aussi accéder à vos conversations et donc à des informations sensibles. Dans tous les cas, la perte de confidentialité affaiblit votre position concurrentielle, expose votre marque employeur et peut même pousser vos meilleurs talents vers d’autres structures.
Que dit la loi sur la protection des données ?
Le RGPD fixe un certain nombre d’obligations pour toutes les structures, privées ou publiques, qui collectent ou traitent des données personnelles sur le territoire de l’Union européenne. De manière concrète, le responsable RH a l’obligation :
- de recueillir le consentement clair et éclairé des personnes dont les données sont collectées ;
- de leur garantir un droit d’accès et de rectification, un droit à l’oubli, un droit à la limitation des traitements et à la portabilité de leurs données ;
- d’assurer la sécurité des données à travers la pseudonymisation, des analyses d’impact et des tests d’intrusion ;
- de tenir un registre des traitements régulièrement mis à jour ;
- dans certains cas, de nommer un Délégué à la protection des données (DPO).
En cas de non-respect de ces obligations, le RGPD prévoit des amendes administratives jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires pour les cas les plus graves.
IA et RH : comment protéger vos efficacement données ?
Le responsable des ressources humaines se charge de la collecte, de l’utilisation et de la conservation des données personnelles et opérationnelles. Il doit en garantir la confidentialité et veiller à la conformité des pratiques internes. Voici quelques actions à mettre en œuvre au plus tôt pour protéger vos données :
- Pratiquer l’anonymisation systématique : que ce soit pour poser une question ou analyser un projet, prenez le temps de supprimer toute donnée nominative ;
- Choisir un outil conforme et sécurisé : privilégiez un logiciel certifié à la place des outils gratuits qui comportent souvent des risques critiques (conservation explicite des données, accès technique élargi ou réutilisation de vos informations) ;
- Mettre en place une gouvernance interne : instaurez un cadre juridique et une charte IA à l’intention de vos collaborateurs ;
- Former les collaborateurs à une utilisation sécurisée de l’IA : optez, par exemple, pour une sensibilisation aux risques de fuite et aux réflexes de cybersécurité à adopter.
Si les entreprises peuvent profiter librement des technologies actuelles, elles sont néanmoins tenues de garantir la confidentialité et la protection des données. Afin d’harmoniser IA et RH, l’entreprise peut mettre en place diverses politiques de sécurité et envisager des formations régulières au profit des employés.
Adoptez dès maintenant les bonnes pratiques dans votre utilisation l’IA et protéger vos données.