Le règlement européen sur l'intelligence artificielle du 13 juin 2024 (AI ACT) : quels impacts sur les droits des travailleurs et la gestion des ressources humaines ?

#IA #AI #UE #RH #RGPD #travail #2024 #règlement #union #européenne #intelligence #artificielle

Les technologies du numérique bouleversent profondément notre société, au point que certains, s'inspirant des révolutions industrielles, évoquent une révolution numérique.

Parmi ces technologies, l'intelligence artificielle (IA) est l'une de celles qui suscite le plus de questions, voire de fascination.

Tantôt présentée comme un moyen d'améliorer notre rapport au travail, tantôt envisagée comme une menace pour l'emploi, l'IA provoque de nombreuses discussions.

C'est dans ce contexte que le règlement européen (UE) 2024/1689 sur l'intelligence artificielle du 13 juin 2024 (ou AI Act) est paru au journal officiel de l'Union européenne le 12 juillet 2024.

Ce texte est la première règlementation au monde spécifiquement dédiée à l'IA.

Il s'insère dans un arsenal juridique européen dense, notamment concernant la protection de données personnelles et la vie privée (i.e. : le directive e-privacy, le RGPD et la directive police justice) et les services numériques (ex. : le Digital Service Act, le Digital Market Act...), etc...

Sur le plan juridique, l'article 3 du règlement sur l'IA définit un système d'IA comme :

Il s'agit d'une définition très large, susceptible de concerner un nombre important de technologies.

L'AI Act permet de conjuguer Intelligence artificielle et ressources humaines à certaines conditions juridiques, dont l'essentiel est abordé dans le présent article.

Présentation du règlement sur l'IA

Le règlement sur l'IA est-il applicable aux employeurs ?

Afin de comprendre les impacts du règlement sur les droits des travailleurs et la gestion des ressources humaines, il convient de préciser son champ d'application.

En substance, le règlement sur l'IA s'applique aux personnes physiques ou morales (publiques ou privées) ou tout autre organisme qui développe, fait développer, utilise à des fins professionnelles et/ou met sur le marché ou en service un système ou un modèle d'IA.

Il s'applique que ces personnes soient situées sur le territoire de l'UE ou d'un Etat tiers, dès lors qu'il y a utilisation, mise sur le marché, mise en service ou que le système d'IA produit un résultat sur le territoire de l'UE.

Compte tenu de la portée du règlement, celui-ci est pleinement applicable à un employeur public ou privé, pouvant être assimilé à un déployeur d'IA.

De plus, il s'applique conjointement avec le RGPD aux travailleurs, lorsque l'utilisation de l'IA entraîne le traitement de données personnelles.

Quelles sont les garanties prévues par le règlement sur l'IA ?

Le règlement sur l'IA procède à une classification des systèmes d'IA en fonction du niveau de risque qu'ils présentent pour les droits et libertés.

Ces risques sont répartis en 4 catégories, décrites sur l'image ci-après.

Le règlement prévoit des droits et obligations particuliers pour chaque niveau de risque.

Les pratiques d'IA présentant un risque dit inacceptable (i.e. contraires aux valeurs de l'UE et aux droits fondamentaux) sont interdites.

Tel est le cas notamment des pratiques qui :

• ont pour objectif d'altérer le comportement d'une personne ou d'un groupe de personnes (et donc, notamment de travailleurs) en l'amenant à prendre une décision qu'elle n'aurait pas prise autrement et/ou d'exploiter une vulnérabilité (âge, handicap, etc.) d'une manière qui pourrait lui causer un préjudice,

  
  

• infèrent les émotions de personnes physiques sur le lieu de travail, sauf lorsque le système d'IA est destiné à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité,

• ou encore, des pratiques qui ont pour finalité la catégorisation biométrique de personnes physiques, afin d'arriver à des déductions ou inférences concernant notamment leur affiliation à une organisation syndicale, leur orientation sexuelle, etc...

Les systèmes d'IA dits à haut risque (i.e. susceptibles de porter atteinte à la sécurité des personnes et leurs droits fondamentaux) sont, quant à eux, particulièrement encadrés.

Ils sont listés aux annexes I et III du règlement.

Il s'agit notamment des systèmes d'IA :

• destinés au recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d'emploi ciblées, analyser et évaluer les candidats,

  
  

• ou encore, des systèmes d'IA destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion, le licenciement,

  
  

• pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations,

  
  

• de reconnaissance des émotions.

Assez étonnamment, donc, le règlement ne prohibe pas totalement la reconnaissance des émotions sur le lieu de travail, lorsque le système d'IA a été mis place pour des raisons médicales ou de sécurité.

Néanmoins, un tel système d'IA devra être fortement encadré au regard des exigences imposées par ailleurs par le RGPD.

Le règlement sur l'IA indique que l'employeur agissant en qualité de déployeur du système d'IA à haut risque devra notamment :

• établir une analyse d'impact au sens du RGPD avant sa mise en œuvre,

  
  

• confier la surveillance du système d'IA à des personnes qui ont les compétences, la formation, l'autorité et le soutien nécessaires pour y procéder,

  
  

• veiller à ce que les données d'entrée du système d'IA soient suffisamment pertinentes et représentatives au regard de la finalité du système d'IA à haut risque,

  
  

• prévoir des mesures techniques et organisationnelles pour utiliser le système d'IA conformément aux instructions d'utilisation qui l'accompagne,

  
  

• informer les représentants du personnel (et les consulter en application du code du travail) avant la mise en œuvre du système d'IA,

  
  

• informer les personnes concernées (et donc les travailleurs) au sens du RGPD,

• conserver les journaux générés automatiquement par l'IA,

  
  

• indiquer que des images, audios ou vidéos ont été générés artificiellement, si tel est le cas...

  
  

Par ailleurs, le règlement prévoit des obligations de transparence pour les systèmes d'IA présentant un risque faible (ex. chatbots, etc.).

Enfin, le règlement ne prévoit pas d'obligation spécifique pour les systèmes d'IA présentant un risque minimum.

Quel est le calendrier de mise en œuvre du règlement ?

L’entrée en application du règlement se fera de façon échelonnée :

• 2 février 2025 (6 mois après l'entrée en vigueur) :

  • Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.

  
  

• 2 août 2025 (12 mois après l'entrée en vigueur) :

  • Application des règles pour les modèles d’IA à usage général,

  • Nomination des autorités compétentes au niveau des États membres.

    
    

• 2 août 2026 (24 mois après l'entrée en vigueur) :

  • la quasi intégralité des dispositions du règlement sur l'IA devient applicables

    
    

• 2 août 2027 (36 mois après l'entrée en vigueur)

  • Application des règles relatives aux systèmes d'IA à haut risque de l'annexe I (ex: jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles, etc.).

  
  

Au reste, l’entrée en application s’appuiera sur des « normes harmonisées » au niveau européen qui doivent définir précisément les exigences applicables aux systèmes d’IA concernés.