Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Actuellement, différentes entreprises reçoivent des courriers des autorités chargées de la protection des données concernant l'utilisation de l'IA. Ces courriers se fondent sur une demande d'informations conformément à l'article 58, paragraphe 1, point a). RGPD, par lequel les autorités exercent leur compétence de contrôle. Les autorités de surveillance souhaitent ainsi obtenir une vue d'ensemble actualisée de l'utilisation de l'IA dans les entreprises, en particulier dans le domaine des ressources humaines. Quelles sont les questions concrètes posées par les autorités chargées de la protection des données et comment les entreprises doivent-elles réagir lorsqu'elles reçoivent une demande d'informations ?.
Contexte : enquête des autorités de protection des données sur l'utilisation de l'IA
Nous avons reçu une lettre originale du délégué régional à la protection des données et à la liberté d'information de Rhénanie-Palatinat. L'objectif de cette enquête est de “l'état des lieux de la numérisation dans les ressources humaines d'évaluer” et d'analyser dans quelle mesure les entreprises utilisent des outils basés sur l'IA.
L'autorité souligne expressément à cet égard que l'IA peut être utilisée en particulier pour la Traitement de grandes quantités de données crée de nouveaux potentiels d'efficacité, ce qui augmente encore le besoin de contrôle.
Les entreprises doivent répondre à ces 7 questions sur l'utilisation de l'IA
La demande de renseignements comprend sept questions détaillées. L'objet de la lettre indique déjà clairement son orientation : „Traitement des données dans la gestion des ressources humaines ; utilisation de Intelligence artificielle Outils (d'intelligence artificielle)“
Les entreprises doivent répondre aux points suivants :
- Quel logiciel/outil informatique utilisez-vous dans votre entreprise pour maîtriser la gestion des ressources humaines ? Veuillez décrire les fonctions de l'outil informatique et indiquer les catégories de données à caractère personnel qu'il traite.
- Veuillez fournir tous les registres de traitement pertinents conformément à l'article 30 de la directive sur la protection des données. RGPD qui sont en rapport avec la Traitement de données personnelles.
- Si des analyses d'impact sur la protection des données ont été réalisées dans le cadre de la maîtrise de la gestion des ressources humaines, veuillez les fournir.
- Si vous n'avez pas déjà répondu à la question 1 : Quels logiciels/outils informatiques utilisez-vous pour mener à bien les procédures de candidature. Veuillez décrire le traitement des données.
- Votre entreprise utilise-t-elle un outil informatique qui fonctionne sur la base de l'intelligence artificielle ou qui, dans certains domaines de sa fonctionnalité, est basé sur l'intelligence artificielle ? Intelligence artificielle à l'aide d'un ordinateur ? Si oui, veuillez décrire son utilisation et son fonctionnement. Indiquez également le modèle d'IA sur lequel l'outil informatique s'appuie.
- Si vous avez répondu oui à la question 5 : Ces outils informatiques sont-ils utilisés par des employés ou servent-ils à traiter des données personnelles ? Veuillez décrire en particulier les mesures prises dans ce contexte. Traitement de données personnelles.
- Si vous avez répondu oui à la question 5 : Des outils d'IA sont-ils utilisés dans le cadre des procédures de candidature ?
Dans toutes les réponses, les entreprises doivent également expliquer comment les outils sont exploités techniquement (par exemple SaaS, IaaS, sur site).
Quand faut-il répondre aux questions 6 et 7 ?
Les entreprises devraient être attentives à la formulation des questions :
La question 5 concerne l'utilisation de l'IA dans l'ensemble de l'entreprise, et pas seulement dans le domaine des ressources humaines.
Cela signifie que
- Si un outil d'IA est utilisé dans l'entreprise (par exemple MS 365 Copilot, ChatGPT, outils d'analyse basés sur l'IA),
- même si aucune donnée à caractère personnel n'est traitée,
- il faut répondre „ oui “ à la question 5.
Dans ce cas, il faut également répondre aux questions 6 et 7. Si l'utilisation de l'IA ne concerne pas la gestion du personnel, les questions peuvent être répondues par la négative.
Cela augmente la charge de travail liée à la documentation et aux contrôles.
Conseil de lecture : C'est pourquoi les cartes modèles sont si importantes pour la documentation IA.
Recommandations d'action pour les entreprises
Les entreprises ne devraient pas sous-estimer la demande d'information des autorités. Les étapes suivantes sont utiles :
1. inventaire complet de tous les outils informatiques et d'intelligence artificielle utilisés
Il faut également tenir compte des fonctions d'IA cachées dans les logiciels standard (par exemple les suites RH, les systèmes de gestion des candidatures, les outils bureautiques).
2. mise à jour des registres de traitement
En collaboration avec les départements spécialisés, il convient de s'assurer que tous les processus selon l'art. 30 RGPD sont correctement documentés.
3) Examen de l'obligation d'établir un DSFA pour les opérations basées sur l'IA
L'IA qui traite des données personnelles, comme dans le recrutement, peut obligatoirement avoir une Analyse d'impact sur la protection des données (DSFA).
4. documenter les modèles techniques d'exploitation
Les autorités accordent de plus en plus d'importance aux informations concernant l'hébergement, les lieux de stockage, les centres de données et l'architecture des services.
5. clarifier les responsabilités internes
RH, IT, protection des données et éventuellement. Conformité doivent agir de manière coordonnée afin de respecter les délais.
6. faire vérifier la lettre par un juriste
Des informations erronées ou incomplètes peuvent entraîner des demandes de précisions ou des contrôles approfondis. Afin d'éviter des mesures prises par les autorités de contrôle, vous devriez donc faire vérifier la demande par un expert en protection des données.
Conclusion
Les demandes d'information actuelles montrent clairement que les autorités de contrôle s'intéressent de plus en plus à l'utilisation de l'IA dans la gestion des ressources humaines et dans les entreprises en général. Les entreprises devraient examiner attentivement ces lettres et s'assurer que toutes les informations sont complètes, correctes et juridiquement solides.
Vous avez besoin d'aide pour répondre à la demande d'information des autorités ou pour évaluer votre utilisation de l'IA ? Nos experts en protection des données examinent votre lettre, préparent les documents nécessaires et vous assistent pour toutes les exigences réglementaires. Contactez-nous pour une première consultation sans engagement.
Conseil : avec Gouvernance de l'IA Ailance vous avez une vue d'ensemble de tous les modèles d'IA utilisés dans votre entreprise. Les Documentation pour les Autorité de surveillance vous pouvez créer rapidement et facilement.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French