Conformité8 min de lecture

IA et surveillance des salariés : ce que la loi autorise vraiment

L'IA Act interdit la lecture des émotions au travail depuis le 2 février 2025. Le reste de la surveillance par IA reste possible, mais encadré par le RGPD.

Par Pierre de ONYRI

Réponse courte : une partie de la surveillance par IA est interdite, le reste est très encadré. Depuis le 2 février 2025, l'IA Act interdit les systèmes d'IA qui déduisent les émotions d'une personne sur son lieu de travail. Les seules exceptions sont médicales ou de sécurité. Le reste de la surveillance n'est pas libre pour autant. L'IA appliquée à l'emploi et à la gestion des travailleurs est classée à haut risque par l'annexe III du même règlement. Et le RGPD continue de gouverner chaque donnée collectée. Il faut une base légale, une nécessité, une proportionnalité. Le consentement d'un salarié est rarement valable : le lien de subordination le fausse.

Interdit : l'IA qui prétend lire les émotions des salariés

L'article 5 de l'IA Act, le règlement (UE) 2024/1689, liste les pratiques interdites. L'une d'elles vise les systèmes d'IA qui infèrent les émotions d'une personne physique sur le lieu de travail. Les établissements d'enseignement sont visés de la même façon. L'article 3, point 39, définit ces systèmes : ils identifient ou déduisent des émotions ou des intentions à partir de données biométriques. Le visage. La voix. Les signaux du corps.

Cette interdiction s'applique depuis le 2 février 2025. Elle n'est pas théorique. Le manquement à l'article 5 relève de la tranche de sanctions la plus haute du règlement. Elle peut atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. C'est le montant le plus élevé des deux qui s'applique. La Commission européenne a adopté début février 2025 des lignes directrices non contraignantes pour expliquer la lecture de ces interdictions.

La portée mérite d'être précise. L'interdiction vise l'inférence d'émotions à partir de données biométriques. Détecter un état physique, comme la douleur ou la fatigue, relève d'un autre régime. Les exceptions médicales et de sécurité existent : un dispositif anti-somnolence pour un conducteur ou un opérateur de machine, par exemple. Mais un outil vendu comme lisant l'humeur, le stress ou la sincérité d'un salarié sur son visage tombe dans l'interdiction. « Sécurité » est une exception étroite, pas un permis de noter le moral des équipes.

Une précision géographique s'impose. Cette interdiction est européenne. Elle ne s'applique pas au Royaume-Uni. Les employeurs britanniques relèvent du UK GDPR et de la guidance de l'ICO. L'ICO n'interdit pas frontalement la reconnaissance des émotions. Mais elle la rend très difficile à justifier : donnée biométrique en catégorie particulière, analyse d'impact obligatoire, consentement peu fiable. À l'inverse, un groupe européen qui déploie un tel système sur ses salariés de l'UE est couvert par l'interdiction, où que soit son fournisseur.

Haut risque : l'IA RH n'est pas interdite, elle est encadrée

L'annexe III, point 4, de l'IA Act classe à haut risque l'IA utilisée dans l'emploi et la gestion des travailleurs. Quatre usages sont visés.

  • Le recrutement et la sélection : diffusion ciblée d'offres, tri des candidatures, évaluation des candidats.
  • Les décisions sur les conditions de la relation de travail, la promotion ou la rupture du contrat.
  • L'attribution de tâches fondée sur le comportement individuel ou sur des traits personnels.
  • Le suivi et l'évaluation des performances et du comportement des travailleurs.

Haut risque ne veut pas dire interdit. Cela veut dire des obligations. Gestion des risques. Gouvernance des données. Journalisation. Surveillance humaine effective. Transparence envers ceux qui déploient le système. Information des travailleurs concernés.

Le calendrier, lui, a bougé en 2026. Ces obligations devaient s'appliquer au 2 août 2026. Le paquet « Digital Omnibus » de l'Union les reporte au 2 décembre 2027 pour les systèmes autonomes de l'annexe III. L'accord politique date du 7 mai 2026. Le Parlement l'a validé le 16 juin 2026, le Conseil le 29 juin 2026. Les obligations de transparence de l'article 50 restent applicables au 2 août 2026. Et, encore une fois, les interdictions de l'article 5 n'ont pas été reportées.

Le RGPD gouverne les données, quel que soit l'outil

Surveiller, c'est traiter des données personnelles. Le RGPD, règlement (UE) 2016/679, exige une base légale (article 6). Le traitement doit rester nécessaire et proportionné. Les données biométriques et de santé sont des catégories particulières : il faut en plus une condition de l'article 9. Et une décision entièrement automatisée qui affecte un emploi tombe sous l'article 22.

Le consentement du salarié est un piège. L'ICO l'écrit sans détour. Il n'est généralement pas approprié en contexte d'emploi, à cause du déséquilibre de pouvoir. Un salarié se sent rarement libre de refuser. La plupart des employeurs se rabattent donc sur l'intérêt légitime. Cette base impose un test de mise en balance, écrit et documenté.

L'analyse d'impact vient avant le déploiement, pas après la plainte. L'article 35 du RGPD impose une AIPD (analyse d'impact relative à la protection des données) quand le risque pour les personnes est élevé. La surveillance systématique en est le déclencheur classique. L'ICO cite des exemples parlants : données biométriques des salariés, enregistrement des frappes clavier, surveillance pouvant causer une perte financière. Le processus inclut la consultation des travailleurs.

Ce que l'employeur supposeCe que dit la règle
« On peut analyser l'humeur de l'équipe par webcam »Interdit dans l'UE depuis le 2 février 2025 (IA Act, art. 5)
« Les salariés ont signé, donc ils consentent »L'ICO juge le consentement rarement valable au travail (déséquilibre)
« On fera l'analyse d'impact si ça pose problème »Le RGPD (art. 35) l'exige AVANT une surveillance systématique
« Techniquement, on peut tout enregistrer »L'ICO demande le moyen le moins intrusif, pas le plus disponible
« Une IA peut décider seule d'un licenciement »L'article 22 du RGPD encadre les décisions entièrement automatisées
Surveillance des salariés par l'IA : les cinq raccourcis qui coûtent le plus cher.

Transparence : la surveillance cachée est l'exception

L'ICO est le régulateur britannique de la protection des données. Sa guidance sur la surveillance des travailleurs pose un principe simple. Les salariés ont le droit d'être informés. L'information doit être accessible et facile à comprendre. Sauf circonstances très exceptionnelles, l'employeur doit dire ce qu'il surveille.

La surveillance secrète reste possible, mais l'ICO la juge rarement justifiable. Quand elle est utilisée, elle est strictement bornée.

  • Une autorisation de la direction générale.
  • Une analyse d'impact préalable.
  • Des motifs de soupçonner une activité criminelle, ou une faute grave équivalente.
  • La durée la plus courte possible.
  • Aucun enregistrement audio ou vidéo caché là où l'on attend de l'intimité : toilettes, vestiaires.
  • Aucune capture des communications que les salariés peuvent raisonnablement croire privées.

« On peut le logger » n'est pas « on peut l'analyser »

C'est le cœur du sujet. La capacité technique ne crée pas le droit. L'ICO le dit clairement : ce n'est pas parce qu'une forme de surveillance existe qu'elle est la bonne. L'employeur doit être clair sur sa finalité. Il doit ensuite choisir le moyen le moins intrusif pour l'atteindre.

L'exemple de l'ICO parle de lui-même. Quelques salariés à distance déclarent mal leur heure de début. L'employeur déploie alors une capture par webcam sur toute l'équipe. Pour l'ICO, cette réponse est probablement excessive. L'intrusion doit être pesée face au bénéfice réel. Et les salariés peuvent demander l'accès aux données personnelles produites par la surveillance.

Schéma : un salarié assis à son bureau émet trois flux de surveillance en ambre — frappes clavier, captures d'écran, lecture du visage et des émotions ; le flux émotions est barré par un panneau d'interdiction. Dans une seconde voie, les deux flux restants sont réduits à des jetons cobalt, avec une coche derrière un cadenas.
D'après l'IA Act (règlement (UE) 2024/1689, art. 5 et annexe III), le RGPD (règlement (UE) 2016/679) et la guidance de l'ICO sur la surveillance des travailleurs.

La marche à suivre

Côté employeur, l'ordre des opérations compte plus que l'outil choisi.

  1. 1Faites l'analyse d'impact avant le déploiement, jamais après la plainte.
  2. 2Identifiez une base légale qui n'est pas le consentement du salarié.
  3. 3Dites ce que vous surveillez, pourquoi, et pendant combien de temps.
  4. 4Choisissez l'option la moins intrusive qui atteint réellement l'objectif.
  5. 5Ne déployez jamais de reconnaissance des émotions sur vos équipes.
  6. 6Gardez un humain compétent dans la boucle de toute décision qui touche un emploi.
  7. 7Anticipez : l'IA RH est à haut risque, avec des obligations au 2 décembre 2027.

Côté salarié, vos droits sont concrets. Vous avez le droit d'être informé de la surveillance (articles 12 à 14 du RGPD). Vous pouvez demander l'accès aux données personnelles qu'elle produit (article 15). Et dans l'Union, une IA qui prétend lire vos émotions au travail est interdite, aujourd'hui.

Il reste un angle mort, et il est fréquent. Beaucoup d'employeurs versent aujourd'hui du texte relatif à leurs salariés dans un LLM externe. Entretiens annuels. Comptes rendus RH. Tickets internes. L'employeur reste responsable de traitement, avec toutes ses obligations RGPD. C'est là qu'ONYRI Sanitize intervient. Le moteur détecte les noms, adresses e-mail, identifiants et données sensibles, puis les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Le modèle ne voit que des jetons, jamais vos salariés.

Questions fréquentes

Un employeur peut-il surveiller ses salariés avec de l'IA ?
En partie seulement. Depuis le 2 février 2025, l'IA Act interdit les systèmes d'IA qui déduisent les émotions d'une personne au travail, sauf raisons médicales ou de sécurité. Les autres usages RH — recrutement, attribution de tâches, suivi des performances — ne sont pas interdits, mais classés à haut risque par l'annexe III. Le RGPD s'applique en plus : base légale, nécessité, proportionnalité, information des salariés et analyse d'impact.
Le consentement des salariés suffit-il à légaliser la surveillance ?
Non, presque jamais. L'ICO explique que le consentement n'est généralement pas approprié en contexte d'emploi, à cause du déséquilibre de pouvoir entre l'employeur et le travailleur. Un salarié se sent rarement libre de refuser. La plupart des employeurs s'appuient donc sur l'intérêt légitime, ce qui impose un test de mise en balance documenté avant tout déploiement.
L'interdiction de la reconnaissance des émotions vaut-elle au Royaume-Uni ?
Non. L'interdiction de l'IA Act est européenne et ne s'applique pas au Royaume-Uni. Les employeurs britanniques relèvent du UK GDPR et de la guidance de l'ICO. L'ICO n'interdit pas explicitement ces systèmes, mais les rend très difficiles à justifier : les données biométriques sont en catégorie particulière, l'analyse d'impact est requise et le consentement des salariés est peu fiable.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi