La question est loin d’être théorique. Beaucoup d’employeurs déclarent encore « ne pas savoir » si leurs outils comportent de l’IA, alors même qu’ils en utilisent déjà dans le recrutement, la gestion des plannings, l’évaluation ou le suivi de l’activité. Pour le CSE, un indicateur concret permet de vérifier ce degré de vigilance : l’existence (ou non) d’une Étude d’impact RGPD (EIPD). Lorsqu’un dispositif numérique peut avoir des effets sur les droits des salariés, l’employeur a l’obligation de réaliser cette étude pour analyser les risques et démontrer qu’ils sont maîtrisés. Si l’étude existe, on peut l’examiner ; si elle n’existe pas, cela dit déjà quelque chose du niveau de prise en compte du sujet.

Étude d’impact RGPD : un outil clé que le CSE doit connaître

Dans certaines situations, notamment lorsqu’un dispositif traite des données personnelles susceptibles d'entraîner des risques importants pour les salariés (vidéosurveillance généralisée, outils d’analyse de performance, IA de scoring, etc.), l’employeur a l’obligation de réaliser une Étude d’Impact sur la Protection des Données (EIPD / DPIA). Cette étude consiste à analyser les risques que le traitement fait peser sur les droits et libertés des personnes, et à démontrer que ces risques sont maîtrisés.

Concrètement, l’étude d’impact doit décrire le dispositif, expliquer quelles données sont collectées, dans quel but, qui y a accès, combien de temps elles sont conservées, et quelles mesures de sécurité sont mises en place. Elle doit aussi montrer qu’il n’existe pas de solution moins intrusive pour atteindre le même objectif.

Pour le CSE, l’intérêt est double.
D’abord, vérifier que l’employeur prend réellement en compte la protection des données, ce qui permet de mesurer sa maturité sur la RGPD. Beaucoup d’entreprises déclarent encore « ne pas savoir » si l’IA est présente dans leurs outils… alors qu’elle l’est déjà dans le recrutement, le contrôle d’activité ou la gestion RH.
Ensuite, l’EIPD constitue un outil de dialogue social : le CSE peut demander à en être informé, poser des questions, demander des précisions et même alerter en cas de risque pour les salariés.

En résumé : si l’employeur déploie un nouvel outil numérique, en particulier lié à l’IA ou au suivi de la performance, le CSE a tout intérêt à demander s’une étude d’impact RGPD a été réalisée. S’il n’y en a pas… c’est déjà une information.

Comment savoir si mon employeur prend réellement en compte l’impact de l’IA sur l’activité des salariés ?

Vous voulez en savoir plus sur l'étude d'impact et la RGPD? Suivez notre formation dédiée