Retrouvez l'actualité du Tourisme pour les professionnels du secteur tourisme avec l'Echo Touristique : agences de voyages, GDS, prestataires spécialisés, voyagistes

[TRIBUNE] « L’usage incontrôlé de l’IA générative peut exposer l’employeur à des risques majeurs »

E-tourismeTechnologie
Par Rédaction L'Echo Touristique

Quelles sont les sont les préconisations de Maître Tarragano pour déployer l’intelligence artificielle en entreprise de manière sécurisée ? Dans cette tribune de l’avocate, L’Écho touristique poursuit sa série d’articles autour de l’IA, en partenariat avec DTMV Avocats.

[TRIBUNE] L'obligatoire et indispensable sécurisation du déploiement de l’IA au sein de l’entreprise
Marie-Laure Tarragano, avocate chez DTMV Avocats © DR

Dans l’entreprise, l’intelligence artificielle se présente comme une réponse aux exigences d’efficacité et de rationalisation des coûts. L’IA automatise des tâches (recrutement, gestion des plannings, traitement de la paie, rédaction de documents contractuels), soutient la prise de décision et personnalise l’expérience salarié et client. Toutefois, elle n’est pas neutre : elle restructure en profondeur le travail, la hiérarchie, les compétences et les conditions d’emploi.

Ses bénéfices sont réels, mais ses risques sont majeurs. L’utilisation d’outils d’IA en dehors de tout cadre juridique préalable peut entraîner une mise en cause directe de la responsabilité de l’employeur.

Des entreprises condamnées

En effet, de nombreuses décisions de justice ont déjà condamné des entreprises qui n’ont pas prévu pas de cadre juridique à l’IA. Ces condamnations peuvent être coûteuses pour les entreprises qui déploient l’IA sans sécurisation juridique en amont.

Ainsi, et pour entrer dans le vif du sujet, voici quelques exemples qui doivent bien faire comprendre l’importance de la sécurisation juridique du déploiement de l’IA dans une entreprise. Le Tribunal judiciaire de Nanterre vient ainsi le 14 février 2025 de condamner sous astreinte une entreprise qui avait déployé l’IA sans sécurisation juridique et sans consulter son CSE.

Le tribunal a ordonné la suspension immédiate du déploiement sous astreinte de 1000 euros par jour de retard de l’IA jusqu’à la fin de la consultation du CSE et a également condamné l’entreprise à verser des dommages et intérêts au CSE pour atteinte à ses prérogatives.

La motivation du tribunal est très claire. La phase pilote de mise en place de l’IA, impliquant une utilisation partielle par les salariés, constitue une première mise en œuvre nécessitant une consultation préalable. L’absence de consultation préalable constitue un trouble manifestement illicite et une entrave aux prérogatives du CSE.

Conformément à l’article L.2312-8 du Code du travail, le CSE doit être consulté sur les questions relatives à l’organisation, la gestion et la marche générale de l’entreprise, notamment lors de l’introduction de nouvelles technologies susceptibles d’affecter les conditions de travail.

Dans une autre décision, une société a été condamnée pour concurrence déloyale et parasitisme du fait de la production et de la vente de produits par un de ses salariés avec l’utilisation de l’IA à l’insu de l’employeur qui n’en avait pas encadré son usage.

Une Cour d’appel vient également de débouter une société de son projet de suppression d’emplois suite à l’introduction de nouvelles technologies (IA) pour sauvegarde de la compétitivité, pour n’avoir pas respecté en amont ses obligations alors même que le motif économique existait.

Vous aurez donc compris l’importance pour les dirigeants de respecter les procédures lors de l’introduction de nouvelles technologies comme l’IA.

Le non-respect de ces obligations peut entraîner la suspension des projets concernés et des sanctions financières ainsi que des vrais préjudices réputationnels.

« Instaurer une culture d’ouverture est indispensable »

Nous sommes en effet sur une obligation de vigilance renforcée pour l’employeur concernant l’introduction et le déploiement de l’IA en entreprise. Il convient donc d’effectuer de nombreuses diligences pour prévenir/éviter les mises en cause de la responsabilité de l’employeur. Il faut donc anticiper la responsabilité de l’employeur pour la préserver.

L’usage incontrôlé de l’IA générative peut exposer l’employeur à des risques majeurs, notamment si un salarié utilise ces outils sans en informer sa hiérarchie. Cela peut entraîner des sanctions disciplinaires, mais surtout entraîner des dommages pour l’entreprise ou des tiers (fuite de données, contrefaçon, préjudice commercial, etc.).

Instaurer une culture d’ouverture est indispensable : en sensibilisant les équipes aux risques, mais aussi aux opportunités offertes par ces technologies, on favorise l’adhésion et la transparence. Cette posture proactive peut déclencher une dynamique vertueuse d’innovation interne, à condition que les salariés comprennent les objectifs de la démarche et soient rassurés sur ses finalités.

Cette approche collaborative suppose néanmoins d’être accompagnée, le cas échéant, de garde-fous plus stricts lorsque l’activité ou la maturité numérique de l’organisation l’exige.

L’employeur doit désormais structurer sa responsabilité autour de trois volets :

  • envers les tiers, pour les usages réalisés via l’IA ;
  • envers les salariés, du fait des impacts sur leurs conditions de travail ;
  • en tant qu’utilisateur d’IA dans les processus de gestion du personnel (ex. : outils RH).

Et pour cela, voici vraiment les points de contrôle et de vigilance ainsi que les actions que je préconise absolument pour la sécurisation juridique de la responsabilité du dirigeant avant et dans le déploiement de l’IA.

Encadrer les usages d’IA non autorisés

Même sans validation formelle, certains salariés peuvent s’emparer d’outils d’IA pour améliorer leur performance. Cela implique des risques réels, notamment en matière de sécurité des données. Les prompts renseignés ou fichiers intégrés peuvent suffire à exposer des informations sensibles.

Il est donc crucial de réactualiser les documents internes (règlement intérieur, charte informatique) pour y intégrer des règles claires sur l’usage des outils d’IA extérieurs.

Avant tout déploiement, deux analyses sont à mener en parallèle :

  • la conformité réglementaire de la solution ;
  • l’impact organisationnel, notamment sur l’emploi et les compétences.

Ces diagnostics permettent d’identifier les postes concernés, de définir les points d’interaction homme/IA, et d’optimiser les conditions de réussite du projet. Cette démarche doit mobiliser à la fois les ressources humaines et les experts juridiques.

Le CSE joue ici un rôle clé et il doit obligatoirement être consulté. Ses consultations doivent couvrir les thématiques suivantes : les implications stratégiques ; la qualification de l’IA comme nouvelle technologie ; la dimension potentiellement intrusive ou surveillante ; les risques psychosociaux induits ; les modifications du règlement intérieur ; l’empreinte carbone des outils.

Adapter le contenu des fonctions et les pratiques managériales

L’IA transforme concrètement les missions de nombreux postes. Elle automatise certaines tâches, accélère d’autres, et oblige à repenser la répartition du travail.

Cela suppose :

  • Une formation ciblée pour accompagner la montée en compétences ;
  • Une révision des fiches de poste, y compris pour préciser le rôle de l’IA ;
  • Une adaptation des critères de performance ;
  • La prise en compte des impacts sur la santé mentale et la charge de travail ;
  • Une mise à jour du DUERP obligatoire, dès le premier salarié

L’encadrement juridique est ici fondamental pour éviter des litiges futurs, notamment sur l’insuffisance professionnelle, l’inégalité de traitement ou la responsabilité en cas d’erreur liée à l’outil. L’employeur qui n’a pas fait toutes ses diligences va vers des contentieux évidents.

Formation des salariés à l’IA

C’est désormais l’impératif : le Code du travail pose que tout employeur a une obligation légale d’adaptation des salariés à leur poste de travail et veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations.

Le dirigeant doit donc absolument respecter les obligations suivantes : la négociation obligatoire sur la gestion prévisionnelle des emplois et des compétences (GPEC) doit désormais intégrer les enjeux liés au déploiement de l’IA.

Il est vrai que s’agissant de l’arsenal juridique de la GPEC proprement dit, il n’est véritablement obligatoire que pour les entreprises occupant au moins 300 salariés. Mais je précise et ou rappelle que s’agissant des entreprises de moins de 300 salariés, il existe un « dispositif d’appui » pris en charge par l’Etat pour cofinancer un diagnostic des ressources humaines et élaborer un plan de préconisations/plan d’actions de GPEC. L’Etat prend en charge 50% des coûts.

Concrètement, la GPEC consiste en la mise en place de mesures telles que le suivi de l’évolution des salariés, les entretiens d’évaluation, les bilans de compétence, des processus de progression, des parcours de professionnalisation, etc (gestion des emplois « à froid »).

Obligation d’information et de consultation du CSE sur la GPEC

La GPEC fait l’objet de l’information-consultation obligatoire du Comité Social et Economique (« CSE »). Il est en effet consulté sur « les orientations stratégiques de l’entreprise, définies par l’organe chargé de l’administration ou de la surveillance de l’entreprise, et sur leurs conséquences sur l’activité, l’emploi, l’évolution des métiers et des compétences, l’organisation du travail, le recours à la sous-traitance, à l’intérim, à des contrats temporaires et à des stages ».

Un entretien professionnel est obligatoire tous les deux ans, notamment face à la transformation numérique.

En effet, l’article L. 6315-1 du Code du travail dispose qu’à l’occasion de son embauche, le salarié est informé qu’il bénéficie tous les deux ans d’un entretien professionnel avec son employeur consacré à ses perspectives d’évolution professionnelle, notamment en termes de qualification et d’emploi. Cet entretien ne porte pas sur l’évaluation du travail du salarié. Cet entretien comporte également des informations relatives à la validation des acquis de l’expérience. Celui-ci inclut également un « état des lieux récapitulatifs du parcours professionnel du salarié » tous les 6 ans.

Encadrer les effets contractuels de l’IA

Lorsque les changements liés à l’IA dépassent le simple aménagement de tâches pour impacter les responsabilités et/ou la qualification professionnelle, une modification du contrat peut être requise.

À ce titre, chaque situation doit être finement analysée et ces questions se posent alors : le salarié supervise-t-il ou exécute-t-il encore ? Ses missions principales ont-elles été déléguées à l’outil ? Ce glissement fonctionnel doit être anticipé pour éviter des remises en cause ultérieures.

Repenser les schémas de rémunération

L’IA peut impacter la rémunération variable (objectifs atteints plus facilement ou au contraire moins atteignables) ou la charge effective de travail. Ces évolutions doivent et peuvent amener à : redéfinir les objectifs de performance ; réévaluer les bonus ou gratifications ; ajuster les temps de travail contractuels en cohérence avec les nouvelles missions.

Anticiper les suppressions d’emplois liées à l’IA

Les situations où l’IA remplace totalement certaines fonctions relèvent du droit des licenciements pour motif économique. Ce thème fera l’objet d’un article spécifique.

Responsabiliser les salariés : informer, encadrer, prévenir

Un salarié qui recourt à l’IA sans information ou autorisation s’expose à des sanctions. Le seul moyen d’éviter l’imputabilité en cas de dommage est de déclarer l’usage en amont. À défaut, l’employeur peut perdre toute visibilité sur les risques induits. Deux comportements types émergent : les salariés qui coopèrent pour se protéger, ceux qui utilisent l’IA en dehors du cadre juridique interne, avec leurs outils personnels, hors de tout contrôle.

Formaliser un cadre juridique clair et sécurisé

Pour sécuriser juridiquement l’usage de l’IA, il est indispensable de :

  • Formaliser les règles dans le règlement intérieur et la charte informatique ;
  • Intégrer l’IA dans les fiches de poste ;
  • Garantir un traitement équitable entre les salariés.
  • Faire une charte IA et la rendre opposable aux salariés !

La quasi indispensable rédaction d’une charte IA pour éviter le Shadow IA et permettre des sanctions 

Une Charte permet d’encadrer l’usage de l’IA par les salariés et de mettre en place des bonnes pratiques au sein de l’entreprise.

La charte IA permet aussi d’éviter le Shadow IA, c’est-à-dire l’utilisation de l’IA par des salariés sans qu’ils y soient autorisés, et donc sans contrôle des risques liés à cet usage : 20% des salariés utilisent secrètement l’IA à des fins professionnelles. Une des raisons expliquant ce chiffre est justement qu’ils ne disposent pas d’une politique claire de leur entreprise au sujet de l’IA.

Pour gérer ces risques, protéger l’entreprise et tirer parti des avancées de l’IA, il est indispensable de mettre en place une charte IA pragmatique et compréhensible pour les salariés. Ce document, qui se veut pratique et opérationnel pour les employés, recense les usages autorisés et/ou interdits, les bonnes pratiques, les sanctions en cas de dérives, etc.

Cette charte de l’utilisation de l’IA pourra être annexée au contrat de travail et/ou au règlement intérieur pour avoir une valeur d’acte réglementaire et ainsi avoir valeur contraignante.

Elle peut également être uniquement diffusée en interne pour information, ce qui aura déjà un impact positif sur la feuille de route IA de l’entreprise, mais n’aura pas de valeur contraignante dans cette situation.

Au-delà de ces principes, la charte doit donner des précisions sur la chaine de responsabilité : « S’il y a un souci, une erreur d’analyse, qui est responsable ? »

La charte IA est un document propre à chaque entreprise qui est certes en l’état facultatif, Il est cependant incontournable : il est destiné à définir les conditions générales d’utilisation des outils IA en interne.

Les points indispensables à aborder dans la Charte IA sont les suivants :

  • La mise en place d’une procédure d’approbation et de contrôle des systèmes d’IA et des modèles d’IA utilisés ;
  • La mise en place de pratiques que les salariés doivent suivre lors du recours à des systèmes d’IA et des modèles d’IA ;
  • Les différents usages pour lesquels l’utilisation de l’IA est autorisée (ex : ChatGPT pour l’aide à la rédaction d’e-mails). Cette partie peut notamment être rédigée avec des exemples concrets pour permettre aux salariés d’appréhender précisément les missions qu’ils peuvent réaliser avec ces outils.
  • Les usages pour lesquels l’utilisation de l’IA est interdite. L’objectif est ici, a contrario de la clause précédente, d’être transparent avec les employés en leur indiquant spécifiquement les situations et les raisons pour lesquelles l’usage de l’IA est interdit dans telle ou telle situation.
  • Les mesures de contrôle qui ont été mises en place par l’entreprise pour protéger son activité. Il peut notamment s’agir du blocage des sites non autorisés, d’un accès limité aux données sensibles aux seuls employés ayant besoin d’y accéder, etc.
  • Les sanctions que peuvent encourir les employés si la charte a une valeur contraignante (sanctions disciplinaires, avertissements, etc.).
  • Les formations offertes aux salariés pour appréhender les différents outils d’IA mis à sa disposition. Le salarié peut bénéficier d’une formation sur l’utilisation de l’IA pour leur bonne utilisation dans l’entreprise par exemple.
  • L’opposabilité de la charte : annexée au contrat de travail et/ou règlement intérieur sous condition du respect des exigences du Code du travail (informations du CSE et à l’Inspection du travail), la charte peut avoir une valeur contraignante au sein de l’entreprise.

Je précise enfin que ce document rassure également les clients, et peut ainsi servir d’outil de promotion externe, en montrant aux entreprises clientes qu’un traitement responsable et protégé des données est effectué.

Il est désormais indispensable pour  les dirigeants/sociétés de suivre toutes les étapes de la mise en conformité avec :

  • Audit et cartographie des traitements de données pour identifier les risques juridiques et opérationnels.
  • Rédaction et mise à jour des documents obligatoires (politiques de confidentialité, registres des traitements, accords de sous-traitance, analyses d’impact).
  • Accompagnement dans la sécurisation des outils IA en conformité avec le RGPD et les obligations du règlement européen relatif à l’IA.
  • Formation et accompagnement des équipes pour une meilleure maîtrise des enjeux liés à la protection des données et à l’utilisation de l’IA en entreprise.

A lire aussi :

Laisser votre commentaire (qui sera publié après modération)

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Dans la même rubrique

Expedia utilise l’IA pour faire du commerce avec Instagram

Il faut s’unir pour ne pas subir l’IA de Booking, selon Arno Pons

Comment certaines marques peuvent s’inviter dans le secteur du tourisme

VivaTech : demandez le programme du TravelTech Hub

[TRIBUNE] L’IA, nouveau levier de valorisation stratégique pour les entreprises,…

IA : ce que préparent les EdV pour les agences, avec le Cediv