Risque de fuite de données, équilibre entre innovation et réglementation, usage de la technologie dans les processus de recrutement : l’introduction des IA génératives soulève de nouveaux enjeux en matière de gestion des données personnelles. Eric Delisle, chef de service juridique de la Commission nationale de l’informatique et des libertés (Cnil), fait le point.
Eric Delisle (CNIL) : “Les processus de recrutement sont au programme des contrôles de la Cnil pour 2026 ”
Décideurs RH. L’IA générative crée un nouveau risque majeur de fuite de données en entreprise. Qui de l’entreprise ou du salarié est responsable en cas de problème ?
Eric Delisle. Effectivement, le risque de fuite de données est bien réel, surtout dans le cadre du Shadow IA, lorsque des IA sont utilisées et développées sans un cadre défini par l’entreprise.
Quant à la responsabilité, tout dépend du contexte : si aucune consigne n’a été donnée aux salariés, il est difficile de les tenir entièrement responsables. Par ailleurs, l’éventuelle recherche de responsabilités dans une chaîne impliquant de multiples acteurs, dont les fournisseurs de systèmes IA, est un casse-tête juridique. Dans cette logique de simplification des règles appliquées à l’intelligence artificielle, le texte de la Commission européenne portant sur les chaînes de responsabilité en cas de fuite de données ne sera finalement pas adopté.
La sensibilisation des salariés et le dialogue social sont-ils aujourd’hui à la hauteur des enjeux ?
La sensibilisation doit encore progresser face aux attentes d’information des salariés. C’est pourquoi la Cnil ne cesse d’encourager les entreprises et les administrations à ouvrir et maintenir un dialogue social soutenu, à tous les niveaux de l’entreprise, pour identifier les usages et les encadrer. Nous accompagnons par ailleurs au quotidien des instances représentatives du personnel, qui ne disposent pas toujours des compétences et des outils pour appréhender ces sujets.
Nous veillons enfin à sensibiliser davantage les PME, qui se sentent parfois peu concernées par les politiques d’usage des IA, et travaillons étroitement sur le sujet avec les “têtes de réseau” comme les chambres de commerce et d’industrie.
“Les citoyens européens attendent un cadre protecteur qui leur permette d’avoir confiance dans ces technologies”
Le RGPD et l’IA Act représentent-ils des freins à l’innovation ?
Je ne le crois pas. Les citoyens européens attendent un cadre protecteur qui leur permette d’avoir confiance dans ces technologies. C’est une condition sine qua non au développement robuste des intelligences artificielles génératives.
L’exemple du recrutement soulève de nouveaux enjeux en matière de gestion des données. Le RGPD interdit par principe les décisions entièrement automatisées ayant des répercussions sur les personnes.
Si un outil IA est utilisé pour traiter un nombre important de candidatures, le candidat a le droit d’en être informé. En cas de rejet, il peut demander à ce qu’elle soit réexaminée par un humain. Les entreprises n’ont pas forcément cet élément en tête.
L’application des obligations prévues par l’IA Act concernant les usages à haut risque, dont le recrutement fait partie, ont été reportées au 2 décembre 2027. Les sociétés doivent toutefois se préparer dès maintenant, d’autant plus que les processus de recrutement sont au programme des contrôles de la Cnil pour 2026. Il ne faut pas pour autant voir la Cnil uniquement comme un gendarme. Notre objectif est avant tout d’accompagner les organisations dans ces démarches de mise en conformité.
Propos recueillis par Caroline de Senneville
