Avec l’approbation, à titre préliminaire, par le Conseil des ministres, le 10 juin 2026, des premiers projets de décrets législatifs mettant en œuvre la loi d’habilitation en matière d’intelligence artificielle (loi n° 132 du 23 septembre 2025), un nouveau cadre réglementaire prend forme, appelé à exercer une influence significative sur l’organisation du travail ainsi que sur les traitements de données à caractère personnel dans le domaine des ressources humaines.
Ce cadre normatif s’inscrit dans un contexte multiniveau, caractérisé par l’interaction entre la réglementation nationale, le règlement sur l’intelligence artificielle (AI Act) et le règlement (UE) 2016/679 (« RGPD »), consolidant un modèle qui place au cœur de son approche une utilisation de l’intelligence artificielle centrée sur l’humain, fondée sur les principes de transparence, de responsabilité (« accountability ») et de protection des droits fondamentaux.
Processus décisionnels automatisés et article 22 du RGPD
Une attention particulière est accordée à l’encadrement des processus décisionnels assistés ou automatisés dans le cadre de la relation de travail. Dans le prolongement de l’article 22 du RGPD, les décrets introduisent une interdiction expresse des décisions exclusivement automatisées dans les procédures affectant la conclusion, la gestion et la cessation de la relation de travail, ainsi qu’en matière disciplinaire.
Cette disposition renforce l’obligation de garantir une intervention humaine significative, en confiant la décision finale à une personne physique disposant d’un pouvoir décisionnel autonome effectif. La violation de ce principe entraîne notamment la nullité du licenciement fondé sur une décision entièrement automatisée, avec des conséquences importantes en matière de contentieux.
Obligations de transparence et information renforcée
Conformément aux principes énoncés aux articles 5 et 13 à 14 du RGPD, la réglementation impose à l’employeur d’assurer un niveau élevé de transparence dans l’utilisation des systèmes d’intelligence artificielle. Il est notamment tenu de fournir au salarié, préalablement au début du traitement, une information spécifique concernant le recours à des systèmes d’IA dans les processus décisionnels (également en application de l’article 1-bis du décret législatif n° 152/1997).
À cette obligation s’ajoute un droit d’accès « renforcé », permettant à la personne concernée d’obtenir, sur demande, une explication intelligible des logiques décisionnelles ainsi que des principaux paramètres utilisés par l’algorithme.
Sur le plan pratique, ces exigences impliquent la mise en place de garanties documentaires et techniques appropriées, conformes au principe de responsabilité (« accountability ») consacré à l’article 5, paragraphe 2, du RGPD.
Non-discrimination, loyauté et minimisation des données
La réglementation met également en avant le principe de non-discrimination, en exigeant que les systèmes d’intelligence artificielle ne produisent pas d’effets discriminatoires fondés notamment sur le sexe, l’âge, l’origine ethnique ou la situation personnelle.
Du point de vue de la protection des données, cela implique pour l’employeur :
- la vérification préalable de l’existence d’éventuels biais algorithmiques ;
- l’adoption de mesures techniques et organisationnelles appropriées afin de garantir l’exactitude des données ;
- le respect des principes de minimisation des données et de limitation des finalités prévus à l’article 5 du RGPD.
Incidences en matière de santé et de sécurité au travail et de traitement des données
Les décrets interviennent également dans le domaine de la santé et de la sécurité au travail, en prévoyant que les systèmes d’intelligence artificielle ayant une incidence sur l’organisation du travail ou sur les rythmes de production doivent être intégrés à l’évaluation des risques prévue par le décret législatif n° 81/2008.
Dans ce contexte, le traitement de données à caractère personnel – souvent réalisé à grande échelle et portant également sur les performances et les comportements des travailleurs – requiert une vigilance particulière au regard :
- de la nécessité et de la proportionnalité du traitement ;
- de la réalisation, le cas échéant, d’une analyse d’impact relative à la protection des données (AIPD/DPIA), conformément à l’article 35 du RGPD, lorsqu’il s’agit de traitements automatisés systématiques ou effectués à grande échelle ;
- de la détermination correcte des bases juridiques applicables.
À la lumière de ce nouveau cadre réglementaire, la nécessité apparaît pour les entreprises d’adopter une approche intégrée de la gouvernance de l’intelligence artificielle, conciliant les exigences du droit du travail, de la protection des données et de la santé et de la sécurité au travail. À cette fin, il convient notamment de :
- cartographier les systèmes d’intelligence artificielle utilisés dans les processus RH ;
- formaliser des mécanismes garantissant un contrôle humain effectif ;
- mettre à jour les informations relatives à la protection des données, les politiques internes et les procédures applicables ;
- intégrer les systèmes d’IA dans les processus d’évaluation des risques, y compris la réalisation d’une AIPD lorsque celle-ci est requise ;
- assurer une formation spécifique du personnel sur les risques et les limites des systèmes d’intelligence artificielle mis en œuvre.
