Guide7 min de lecture

Peut-on utiliser l'IA pour les RH sans risque ? (données salariés, RGPD, AI Act)

Oui, mais jamais avec des données brutes de salariés. Salaires, santé et adresses sont protégés par le RGPD — anonymisez avant tout prompt IA.

Par Pierre de ONYRI

Oui, les équipes RH peuvent utiliser l'IA sans danger — mais pas avec des données brutes de salariés. L'IA peut rédiger une politique, un courrier ou un résumé sans le moindre nom. Le problème commence quand vous collez un vrai dossier. Les RH détiennent les données les plus sensibles de l'entreprise. Les salaires. Les entretiens d'évaluation. Les arrêts maladie et le suivi de santé au travail. Les adresses personnelles. Les coordonnées bancaires. Certaines relèvent même des données « sensibles » au sens du RGPD (le Règlement général sur la protection des données). Collées dans un chatbot grand public, ces données peuvent être retenues, relues par des humains ou réutilisées pour l'entraînement. La parade est simple : anonymisez les noms, les salaires, les détails de santé et les adresses avant d'envoyer le prompt.

Ce que contient vraiment un dossier RH

Les RH reposent sur une réserve profonde de données personnelles. Pensez à une seule fiche salarié. Elle peut indiquer un salaire et une grille de rémunération. Elle peut contenir des évaluations et d'anciennes notes. Elle peut porter des remarques disciplinaires. Elle peut stocker une adresse personnelle et un contact d'urgence. Elle peut inclure des coordonnées bancaires pour la paie. Chaque champ est une donnée personnelle. Chaque champ mérite du soin.

Certains dossiers vont plus loin. Les arrêts maladie et les notes de santé au travail décrivent la santé d'un salarié. Le suivi de la diversité peut capter l'origine, le handicap ou la religion. Ces champs sont plus sensibles qu'une ligne de salaire. Le RGPD les traite comme une catégorie à part. Nous l'expliquons juste après.

Données sensibles : le niveau le plus protégé

Le RGPD trace une ligne entre deux types de données. La donnée personnelle ordinaire d'un côté. La donnée sensible de l'autre. L'article 9 du RGPD liste les catégories sensibles. Leur traitement est interdit, sauf condition légale précise. Les RH doivent donc les manier avec un soin renforcé.

  • Les données de santé, dont les arrêts maladie et les aménagements de handicap.
  • L'origine raciale ou ethnique, souvent présente dans le suivi de la diversité.
  • L'appartenance à un syndicat.
  • Les convictions religieuses ou philosophiques.
  • Les données génétiques et biométriques servant à identifier une personne.
  • La vie sexuelle et l'orientation sexuelle.

Voici le piège classique. Tous les champs RH ne sont pas sensibles. Les salaires, les grilles et les coordonnées bancaires ne le sont pas. Les adresses et les contacts d'urgence non plus. Les évaluations et les dossiers disciplinaires non plus. Mais ce sont toujours des données personnelles. Elles exigent toujours une base légale. Elles restent pleinement protégées par le RGPD.

Le règlement IA : les systèmes RH sont à haut risque

Il faut connaître un second corpus de règles. Le règlement européen sur l'IA, l'AI Act (règlement 2024/1689), encadre la conception et l'usage de l'IA. Son annexe III liste les usages « à haut risque ». L'IA pour l'emploi et la gestion des travailleurs y figure. Cela couvre le recrutement et la sélection. Cela couvre l'attribution de tâches selon le comportement ou des traits. Cela couvre le suivi et l'évaluation des performances. Et cela couvre les décisions de promotion, de conditions ou de rupture.

« Haut risque » ne veut pas dire interdit. Cela veut dire des obligations en plus. Une organisation peut encore utiliser ces systèmes légalement. Mais elle doit respecter les exigences du règlement. Elles incluent la gestion des risques, la supervision humaine, la transparence et la traçabilité. L'employeur qui déploie un tel système doit aussi informer les salariés concernés.

Deux risques distincts, à ne pas confondre

Mieux vaut séparer deux fils. Le premier fil, c'est l'AI Act. Il s'applique quand vous construisez ou déployez un système de décision RH. Le second fil, c'est la protection des données au quotidien. Elle s'applique dès que vous collez un dossier dans un chatbot. Ce second geste relève surtout du RGPD, pas d'une violation de l'AI Act. Les deux comptent, mais ce ne sont pas le même problème.

La crainteCe que c'est vraiment
Bâtir une IA qui note la performance du personnelUn usage à haut risque au sens de l'AI Act, avec des obligations
Coller un arrêt maladie dans un chatbot publicUn enjeu RGPD : une donnée sensible envoyée à un tiers
Partager une grille de salaires avec une IA grand publicUne donnée personnelle divulguée, souvent sans base légale
Anonymiser d'abord le dossier, puis interroger l'IAMinimisation des données — le modèle voit des jetons, pas des personnes
Les RH ont deux devoirs distincts : l'AI Act sur les systèmes, et le RGPD sur chaque dossier exposé.

La parade : anonymiser avant le prompt

Voici la bonne nouvelle. L'IA reste utile pour le travail RH. Elle peut rédiger une politique, une lettre d'avertissement ou un résumé d'évaluation. Pour cela, elle n'a besoin ni de vrais noms ni de vrais chiffres. Retirez donc les identifiants d'abord. Remplacez les noms, les salaires, les détails de santé et les adresses par des jetons. Laissez l'IA travailler sur les jetons. Puis restaurez les vraies valeurs sur votre propre machine.

Schéma en deux temps : en haut, une fiche salarié dont les lignes salaire, santé (avec une petite croix médicale) et adresse sont en clair (ambre) part vers une carte IA qui reçoit le dossier exposé, avec une alerte haut risque ambre ; en bas, la même fiche anonymisée ne montre que des jetons cobalt, et l'IA ne reçoit que des jetons avec une coche.
D'après l'article 9 du RGPD (EUR-Lex), l'annexe III de l'AI Act (règlement 2024/1689, EUR-Lex) et la guidance emploi de l'ICO.

Le modèle ne voit jamais que du texte anonymisé. La rétention, la revue humaine ou l'entraînement ne peuvent donc pas exposer un vrai salarié. Vous gardez néanmoins vos propres contrôles à faire. Une AIPD (analyse d'impact relative à la protection des données) et une revue juridique restent de votre ressort. Anonymiser le prompt, c'est de la minimisation, pas une garantie totale de conformité.

  1. 1Repérez les champs sensibles : noms, salaires, notes de santé, adresses, coordonnées bancaires.
  2. 2Remplacez chacun par un jeton réversible, côté navigateur.
  3. 3N'envoyez que le texte anonymisé à l'IA.
  4. 4Restaurez les vraies valeurs dans la réponse, en local.

C'est précisément le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, salaires, détails de santé, adresses, numéros bancaires — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA ne voit que des jetons, jamais un vrai dossier salarié. Votre équipe obtient l'aide à la rédaction, pendant que les données protégées par le RGPD et l'AI Act restent sous votre contrôle.

Questions fréquentes

Peut-on utiliser l'IA pour les RH sans risque ?
Oui pour le travail général, non avec des données brutes de salariés. L'IA peut rédiger une politique, un courrier ou un résumé sans aucune donnée personnelle. Mais ne collez jamais des salaires, des évaluations, des arrêts maladie ou des adresses dans un chatbot grand public. Sous le RGPD, la santé et certaines données de diversité sont sensibles, avec une protection renforcée. Anonymisez le dossier avant de l'envoyer.
Les données de santé des salariés sont-elles « sensibles » au sens du RGPD ?
Oui. Les arrêts maladie, les notes de santé au travail et les données de handicap sont des données de santé. L'article 9 du RGPD traite la santé comme une donnée sensible, avec des conditions plus strictes. Les données de diversité peuvent aussi être sensibles quand elles captent l'origine, la religion ou l'orientation sexuelle. Le salaire, l'adresse et les coordonnées bancaires ne sont pas sensibles — mais ils restent des données personnelles.
Le règlement IA de l'UE interdit-il l'IA dans les RH ?
Non. L'AI Act classe l'IA d'emploi et de gestion des travailleurs comme à haut risque, pas interdite. Le haut risque signifie des obligations en plus : gestion des risques, supervision humaine, transparence et traçabilité. L'employeur qui déploie de tels systèmes doit aussi informer les salariés concernés. C'est distinct du risque quotidien de coller des données salariés dans un chatbot, qui relève surtout du RGPD.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi