Peut-on utiliser l'IA pour les RH sans risque ? (données salariés, RGPD, AI Act)
Oui, mais jamais avec des données brutes de salariés. Salaires, santé et adresses sont protégés par le RGPD — anonymisez avant tout prompt IA.
Oui, les équipes RH peuvent utiliser l'IA sans danger — mais pas avec des données brutes de salariés. L'IA peut rédiger une politique, un courrier ou un résumé sans le moindre nom. Le problème commence quand vous collez un vrai dossier. Les RH détiennent les données les plus sensibles de l'entreprise. Les salaires. Les entretiens d'évaluation. Les arrêts maladie et le suivi de santé au travail. Les adresses personnelles. Les coordonnées bancaires. Certaines relèvent même des données « sensibles » au sens du RGPD (le Règlement général sur la protection des données). Collées dans un chatbot grand public, ces données peuvent être retenues, relues par des humains ou réutilisées pour l'entraînement. La parade est simple : anonymisez les noms, les salaires, les détails de santé et les adresses avant d'envoyer le prompt.
Ce que contient vraiment un dossier RH
Les RH reposent sur une réserve profonde de données personnelles. Pensez à une seule fiche salarié. Elle peut indiquer un salaire et une grille de rémunération. Elle peut contenir des évaluations et d'anciennes notes. Elle peut porter des remarques disciplinaires. Elle peut stocker une adresse personnelle et un contact d'urgence. Elle peut inclure des coordonnées bancaires pour la paie. Chaque champ est une donnée personnelle. Chaque champ mérite du soin.
Certains dossiers vont plus loin. Les arrêts maladie et les notes de santé au travail décrivent la santé d'un salarié. Le suivi de la diversité peut capter l'origine, le handicap ou la religion. Ces champs sont plus sensibles qu'une ligne de salaire. Le RGPD les traite comme une catégorie à part. Nous l'expliquons juste après.
Données sensibles : le niveau le plus protégé
Le RGPD trace une ligne entre deux types de données. La donnée personnelle ordinaire d'un côté. La donnée sensible de l'autre. L'article 9 du RGPD liste les catégories sensibles. Leur traitement est interdit, sauf condition légale précise. Les RH doivent donc les manier avec un soin renforcé.
- Les données de santé, dont les arrêts maladie et les aménagements de handicap.
- L'origine raciale ou ethnique, souvent présente dans le suivi de la diversité.
- L'appartenance à un syndicat.
- Les convictions religieuses ou philosophiques.
- Les données génétiques et biométriques servant à identifier une personne.
- La vie sexuelle et l'orientation sexuelle.
Voici le piège classique. Tous les champs RH ne sont pas sensibles. Les salaires, les grilles et les coordonnées bancaires ne le sont pas. Les adresses et les contacts d'urgence non plus. Les évaluations et les dossiers disciplinaires non plus. Mais ce sont toujours des données personnelles. Elles exigent toujours une base légale. Elles restent pleinement protégées par le RGPD.
Le règlement IA : les systèmes RH sont à haut risque
Il faut connaître un second corpus de règles. Le règlement européen sur l'IA, l'AI Act (règlement 2024/1689), encadre la conception et l'usage de l'IA. Son annexe III liste les usages « à haut risque ». L'IA pour l'emploi et la gestion des travailleurs y figure. Cela couvre le recrutement et la sélection. Cela couvre l'attribution de tâches selon le comportement ou des traits. Cela couvre le suivi et l'évaluation des performances. Et cela couvre les décisions de promotion, de conditions ou de rupture.
« Haut risque » ne veut pas dire interdit. Cela veut dire des obligations en plus. Une organisation peut encore utiliser ces systèmes légalement. Mais elle doit respecter les exigences du règlement. Elles incluent la gestion des risques, la supervision humaine, la transparence et la traçabilité. L'employeur qui déploie un tel système doit aussi informer les salariés concernés.
Deux risques distincts, à ne pas confondre
Mieux vaut séparer deux fils. Le premier fil, c'est l'AI Act. Il s'applique quand vous construisez ou déployez un système de décision RH. Le second fil, c'est la protection des données au quotidien. Elle s'applique dès que vous collez un dossier dans un chatbot. Ce second geste relève surtout du RGPD, pas d'une violation de l'AI Act. Les deux comptent, mais ce ne sont pas le même problème.
| La crainte | Ce que c'est vraiment |
|---|---|
| Bâtir une IA qui note la performance du personnel | Un usage à haut risque au sens de l'AI Act, avec des obligations |
| Coller un arrêt maladie dans un chatbot public | Un enjeu RGPD : une donnée sensible envoyée à un tiers |
| Partager une grille de salaires avec une IA grand public | Une donnée personnelle divulguée, souvent sans base légale |
| Anonymiser d'abord le dossier, puis interroger l'IA | Minimisation des données — le modèle voit des jetons, pas des personnes |
La parade : anonymiser avant le prompt
Voici la bonne nouvelle. L'IA reste utile pour le travail RH. Elle peut rédiger une politique, une lettre d'avertissement ou un résumé d'évaluation. Pour cela, elle n'a besoin ni de vrais noms ni de vrais chiffres. Retirez donc les identifiants d'abord. Remplacez les noms, les salaires, les détails de santé et les adresses par des jetons. Laissez l'IA travailler sur les jetons. Puis restaurez les vraies valeurs sur votre propre machine.
Le modèle ne voit jamais que du texte anonymisé. La rétention, la revue humaine ou l'entraînement ne peuvent donc pas exposer un vrai salarié. Vous gardez néanmoins vos propres contrôles à faire. Une AIPD (analyse d'impact relative à la protection des données) et une revue juridique restent de votre ressort. Anonymiser le prompt, c'est de la minimisation, pas une garantie totale de conformité.
- 1Repérez les champs sensibles : noms, salaires, notes de santé, adresses, coordonnées bancaires.
- 2Remplacez chacun par un jeton réversible, côté navigateur.
- 3N'envoyez que le texte anonymisé à l'IA.
- 4Restaurez les vraies valeurs dans la réponse, en local.
C'est précisément le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, salaires, détails de santé, adresses, numéros bancaires — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA ne voit que des jetons, jamais un vrai dossier salarié. Votre équipe obtient l'aide à la rédaction, pendant que les données protégées par le RGPD et l'AI Act restent sous votre contrôle.
Questions fréquentes
- Peut-on utiliser l'IA pour les RH sans risque ?
- Oui pour le travail général, non avec des données brutes de salariés. L'IA peut rédiger une politique, un courrier ou un résumé sans aucune donnée personnelle. Mais ne collez jamais des salaires, des évaluations, des arrêts maladie ou des adresses dans un chatbot grand public. Sous le RGPD, la santé et certaines données de diversité sont sensibles, avec une protection renforcée. Anonymisez le dossier avant de l'envoyer.
- Les données de santé des salariés sont-elles « sensibles » au sens du RGPD ?
- Oui. Les arrêts maladie, les notes de santé au travail et les données de handicap sont des données de santé. L'article 9 du RGPD traite la santé comme une donnée sensible, avec des conditions plus strictes. Les données de diversité peuvent aussi être sensibles quand elles captent l'origine, la religion ou l'orientation sexuelle. Le salaire, l'adresse et les coordonnées bancaires ne sont pas sensibles — mais ils restent des données personnelles.
- Le règlement IA de l'UE interdit-il l'IA dans les RH ?
- Non. L'AI Act classe l'IA d'emploi et de gestion des travailleurs comme à haut risque, pas interdite. Le haut risque signifie des obligations en plus : gestion des risques, supervision humaine, transparence et traçabilité. L'employeur qui déploie de tels systèmes doit aussi informer les salariés concernés. C'est distinct du risque quotidien de coller des données salariés dans un chatbot, qui relève surtout du RGPD.
Sources et références
- RGPD — Article 9 : traitement des catégories particulières de données (santé, origine, appartenance syndicale, etc.) — EUR-Lex (Office des publications de l'UE)
- Règlement IA (règlement 2024/1689) — Annexe III : emploi et gestion des travailleurs comme usage à haut risque — EUR-Lex (Office des publications de l'UE)
- Employment : guidance sur le traitement des données des salariés sous le UK GDPR — Information Commissioner's Office (ICO)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt