Gouvernance des données RH à l'ère de l'IA : risques et stratégies de protection

L'intégration accélérée de l'intelligence artificielle au sein des fonctions RH soulève des défis inédits en matière de gouvernance des données RH en IA et de protection des renseignements personnels.

Pour éclairer ces enjeux complexes, Jean-Baptiste Audrerie s'entretient avec Cynthia Chassigneux, avocate au sein du cabinet CHX Avocat.

Cet échange prolonge sa récente contribution à notre rapport de référence, « IA : Le travail réinventé en mode accéléré », issu du 1er Baromètre de l'IA en RH au Canada.

À l'heure où l'IA fantôme (Shadow AI) se propage parmi les employés et que les processus de recrutement s'automatisent, cette discussion offre un éclairage indispensable. Elle permet aux directions RH de sécuriser leurs pratiques face aux nouveaux risques de conformité, tout en guidant les éditeurs SIRH dans la conception de solutions technologiques respectueuses des cadres éthiques et légaux en vigueur.

La gouvernance des données RH : une compétence à (ré)intégrer d'urgence

Les emplois connaissent une transformation accélérée avec l'IA générative et l'IA agentique. Dans ce contexte, l'expertise juridique en matière de protection des renseignements personnels devient une ressource critique pour les entreprises.

JBA : Pour quels besoins spécifiques les entreprises sollicitent-elles ton expertise aujourd'hui, et en quoi la gouvernance des renseignements personnels représente-t-elle une compétence à ajouter aux départements RH ?

Cynthia Chassigneux : Les entreprises me contactent principalement pour les accompagner à adopter ou développer leur cadre de gouvernance à l'égard des renseignements personnels (employés, clients, par exemple) qu'elles détiennent, ou encore pour évaluer la conformité de leurs politiques et pratiques à la législation applicable au Québec.

Elles me sollicitent également lorsqu'elles sont sur le point d'adopter, ou ont déjà adopté, un nouvel outil de gestion. Elles doivent alors documenter les raisons pour lesquelles elles recourent à un tel outil, notamment si celui-ci est hébergé à l'extérieur du Québec ou s'il implique des enjeux de biométrie. Dans ce cas, je les accompagne dans les fameuses évaluations des facteurs relatifs à la vie privée (EFVP) et, le cas échéant, dans les déclarations à la Commission d'accès à l'information. Je suis aussi consultée en lien avec des incidents de confidentialité, des demandes d'accès, ou quand des tiers les sollicitent à des fins de recherche ou de production de statistiques.

Concernant la gouvernance des renseignements personnels pour les RH, il ne s'agit pas tant de l'« ajouter » que de la remettre au goût du jour pour lui (re)donner toute son importance. Comme les RH traitent un nombre considérable de renseignements personnels, les départements doivent se doter de politiques et pratiques révisées en matière de gouvernance des données dans le cadre de l'IA. Cela inclut notamment de définir les usages permis ou non des données, mais aussi d'envisager les questions de responsabilité éthique et juridique qui en découlent.

Shadow AI en RH : comment protéger les données sensibles

Le phénomène de l'IA fantôme touche désormais 75 % des professionnels RH selon notre Baromètre, et jusqu'à 90 % des employés de manière générale selon d'autres études. L'utilisation d'assistants conversationnels individuels, gratuits ou payants, en dehors du cadre technologique fourni par les départements TI, expose les organisations à des fuites de données confidentielles.

JBA : De ton point de vue, que doivent faire les directions RH pour juguler le « Shadow AI » et ses risques de fuite de données sensibles (personnelles et propriété intellectuelle) ? Quelles sont tes recommandations comme premières actions de protection ?

Cynthia Chassigneux : Pour juguler l'IA fantôme, on pense souvent à la mise en place de politiques internes quant aux usages autorisés ou non de l'IA, ou encore au déploiement de mesures de surveillance des activités. Mais ces politiques et ces mesures doivent impérativement être accompagnées d'activités de formation.

Ces activités sont fondamentales pour sensibiliser les employés, peu importe leur rôle et leurs responsabilités dans l'entreprise, sur les enjeux de l'IA fantôme en termes de divulgation non autorisée de données confidentielles (propriété intellectuelle, stratégie commerciale) ou de renseignements personnels, mais aussi quant à la sécurité et l'intégrité des systèmes.

Les entreprises doivent également — par le biais d'un sondage ou d'une activité de remue-méninges, par exemple — connaître et comprendre les cas dans lesquels leurs employés utilisent ou sont susceptibles d'utiliser l'IA dans leurs fonctions. Il faut leur présenter des cas d'usage pour observer leurs réactions quant à l'utilisation de données confidentielles et personnelles. Encadrer seul ne suffit pas ; encore faut-il comprendre et sensibiliser.

Automatisation du recrutement : concilier efficacité et droits des candidats

Le recrutement est historiquement exposé aux enjeux éthiques et technologiques, car il implique des décisions d'impact. Comme le souligne notre enquête du Baromètre IA en RH, c'est l'un des domaines les plus utilisateurs d'IA. L'analyse de CV via ChatGPT, le data scraping de profils publics (OSINT), ou encore les agents IA recruteurs conversationnels se multiplient pour optimiser le processus d'acquisition de talents.

JBA : Comment concilier ces approches de recrutement plus automatisées et la protection des renseignements personnels des talents ?

Cynthia Chassigneux : Plusieurs solutions sont présentes dans le domaine du recrutement pour l'optimiser. Toutefois, elles ne doivent pas se faire au détriment des droits reconnus aux candidats à un emploi.

Ainsi, une entreprise qui entend recourir à ce type de solutions, ou qui y a déjà recours, doit être en mesure de justifier les raisons pour lesquelles elle le fait : test de nécessité, réalisation d'une EFVP, et minimisation des données.

Elle doit aussi faire preuve de transparence. Si cette transparence est recommandée quand la solution est utilisée comme un outil d'aide à la décision, elle devient obligatoire quand la décision est fondée exclusivement sur un traitement automatisé des données des candidats à un emploi.

Par ailleurs, les entreprises qui utilisent ou entendent utiliser des données publiées sur différentes plateformes doivent tenir compte des conditions d'utilisation de ces plateformes, ne recueillir que les données pertinentes et en lien avec le poste, et faire preuve de transparence quant aux moyens par lesquels les renseignements personnels sont recueillis.

Santé mentale et "People Analytics" : l'exigence du "Privacy by Design"

Plusieurs solutions innovantes proposent de détecter les signaux avancés de risques d'épuisement professionnel ou de troubles du comportement. Ces technologies s'inscrivent dans un contexte où les employeurs ont de nouvelles obligations d'évaluation des risques psychosociaux.

JBA : Comment la « People Data » et les sciences comportementales peuvent-elles permettre aux fonctions RH de progresser socialement tout en garantissant la confiance des employés et en étant « Privacy by Design » ?

Cynthia Chassigneux : Il est vrai que plusieurs solutions se proposent d'aider les gestionnaires et les ressources humaines à détecter et comprendre les signes de stress, d'épuisement professionnel ou d'intimidation au sein de leurs équipes pour ultimement les prévenir.

Ces solutions sont souvent basées sur des questionnaires ou sondages en ligne qui recueillent des renseignements personnels, plus ou moins sensibles, sur les employés. Si les réponses ne sont pas données de façon anonyme, ces solutions peuvent être considérées comme offrant « une technologie comprenant des fonctions permettant d'effectuer un profilage », surtout si les réponses sont associées à un employé. Selon les lois de protection des renseignements personnels, cette notion s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la santé ou du comportement.

Quoi qu'il en soit, une entreprise qui entend acquérir une de ces solutions doit, entre autres :

• Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) — sans se baser uniquement sur les conditions d'utilisation générale du fournisseur — incluant une analyse algorithmique ;

• S'assurer des paramètres de confidentialité de la solution, incluant les mesures propres à assurer la sécurité des données, leur hébergement, leur non-réutilisation ou encore leur durée de conservation, le tout devant être prévu dans une entente contractuelle ;

• Informer ses employés des fins pour lesquelles elle retient cette solution (qui peut nécessiter des réponses quotidiennes) et préciser que cela se fait sur une base volontaire ;

• Prévoir les mécanismes pour permettre aux employés d'exercer leurs droits, incluant l'explicabilité des constats formulés par la solution, étant entendu que ce sont les gestionnaires et les RH qui prennent la décision quant aux actions à mettre en place, et non la solution.

Les nouveaux risques des agents IA organisationnels

Avec l'arrivée des agents IA, les emplois RH évolueront vers l'orchestration d'assistants (rédaction, question-réponse) et d'agents IA pour des processus automatisables (répondre à grande échelle aux requêtes de paie, rédiger des plans d'amélioration de la performance).

JBA : En quoi l'implantation de solutions d'IA organisationnelles soutenant les RH présente-t-elle des risques nouveaux à considérer ? Qu'est-ce qu'une saine gouvernance dans ce contexte ?

Cynthia Chassigneux : L'implantation de ces solutions soulève des enjeux en termes d'utilisation non autorisée des données, de perte de jugement humain, d'erreur, mais aussi de biais susceptibles de conduire à une décision préjudiciable pour l'employé ou le candidat visé.

C'est pourquoi une entreprise qui a recours à ce type de solution doit informer les personnes de la manière dont la décision à leur endroit a été prise. Cela est d'autant plus vrai lorsque la décision est fondée exclusivement sur un traitement automatisé de ses renseignements personnels.

La gouvernance des renseignements personnels pour une direction RH correspond à l'ensemble des politiques et pratiques appliquées pour assurer la protection des renseignements. L'établissement de ce cadre doit tenir compte de la nature des données, de l'environnement utilisé, des risques et des menaces, et doit être réévalué régulièrement. Ce cadre permet notamment de déterminer les rôles et responsabilités tout au long du cycle de vie des renseignements, de gérer les identités et les accès, d'établir les règles de conservation, ou encore de préciser le processus de gestion d'un incident de confidentialité.

Au-delà des normes de sécurité classiques

Les solutions SIRH présentent historiquement un haut niveau de protection, mais elles intègrent désormais des fonctionnalités d'IA générative (formulation de feedbacks) et d'algorithmes de recommandation (prochaine étape de carrière, inférence de compétences).

JBA : Au-delà des normes de sécurité traditionnelles (SOC 2 Type 2, ISO 27001), à quoi une direction RH doit-elle porter de plus en plus son attention avec l'arrivée de l'IA dans ses technologies ?

Cynthia Chassigneux : Au-delà de ces normes de sécurité, une direction RH doit adopter un cadre de gouvernance de données appliqué à l'IA sous toutes ses formes, notamment au regard des questions de responsabilité éthique et juridique. Elle doit aussi faire preuve de transparence à l'égard des personnes concernées et être en mesure d'expliquer les décisions prises à leur endroit.

Conclusion : l'alliance nécessaire de l'innovation et de la conformité

L'intégration de l'intelligence artificielle en RH n'est plus une option technologique, mais une réalité opérationnelle qui transforme la gestion des talents.

Comme le souligne cet échange avec Cynthia Chassigneux, l'adoption de l'IA, qu'elle soit formelle via les SIRH ou informelle via le Shadow AI, exige une maturité nouvelle en matière de gouvernance des données RH.

• Pour les directions RH, il ne s'agit plus seulement de se reposer sur les certifications de sécurité de leurs fournisseurs, mais de développer une compétence interne forte : réalisation d'EFVP, sensibilisation continue des équipes, et transparence algorithmique.

  
  

• Du côté des éditeurs SIRH, la conception de solutions intégrant le "Privacy by Design" et garantissant l'explicabilité des décisions devient un avantage concurrentiel déterminant sur des marchés réglementés comme le Québec, le Canada et l'Europe.

L'avenir de l'IA en RH reposera sur cet équilibre fragile mais essentiel entre le gain de productivité et la préservation absolue de la confiance des employés.