AI Act : ce que les CSE doivent vérifier en 2025

2025 en un coup d’œil : calendrier, zones rouges et obligations des CSE vis à vis de l'AI Act

L’AI Act, le règlement européen sur l'Intelligence Artificielle (IA) est dans la phase d’application depuis le 1er août 2024.
Le déploiement est graduel : interdictions et « AI literacy » sont applicables depuis le 2 février 2025 ; obligations GPAI (modèles de base) à partir du 2 août 2025 ; la régime « haut risque » (dont les usages RH/gestion des travailleurs) arrive le 2 août 2026 (certains segments filières jusqu’au 2 août 2027).

Pour un CSE, cela signifie concrètement de vérifier dès à présent les cas d’usage, stopper les pratiques interdites, se préparer à la consultation formelle et cadrer la formation interne.

Pratiques interdites dès le 02/02/2025 

Le règlement proscrit notamment : le social scoring, la catégorisation biométrique fondée sur des données sensibles, le scraping non ciblé d’images faciales pour nourrir des bases, et surtout l’inférence des émotions au travail (sauf exceptions de sécurité/médicales).

En matière d’IA, l’inférence est la capacité d’un modèle à réaliser des prédictions ou des conclusions à partir de différentes données quelles qu’elles soient.

Toute expérimentation en entreprise (pilote inclus) répond à ces critères doit cesser immédiatement.

Modèles de base (GPAI) : ce qui change au 02/08/2025

Les modèles d’IA d’usage général (GPAI, acronyme de General-Purpose AI) sont des modèles entraînés à grande échelle qui sont capables d’accomplir une grand nombre de tâches et sont susceptibles d’être adaptés ou intégrés dans de nombreux systèmes et cas d’utilisation.

A compter du 2 août 2025, les fournisseurs de modèles GPAI doivent notamment publier un résumé avec suffisamment de détails des données d’entraînement, fournir une documentation technique et renforcer la sécurité et la gestion du risque dans les cas d’utilisation à risque systémique.

Haut risque : ce qui arrive au 02/08/2026 (RH/gestion des travailleurs)

Les systèmes d’IA liés à l’emploi (recrutement, promotion, allocation de tâches, évaluation) sont classés à “haut risque” (Annexe III).

À partir du 2 août 2026, ils déclenchent un corpus d’obligations renforcées : gestion des données, logs, supervision humaine, information des personnes et obligations du déployeur (employeur qui utilise l'IA).

À vérifier tout de suite (zones rouges) :

• Présence d’un module de reconnaissance des émotions dans un outil RH ou d’assistance managériale.
• Usage de bases faciales construites via scraping non ciblé.
• Scénarios de social scoring déguisés (notation comportementale globale).

IA au travail : quand la consultation CSE s’impose

En droit français, l’employeur doit informer et consulter le CSE avant l’introduction de nouvelles technologies ou de moyens de contrôle ayant un impact sur les conditions de travail.
Les projets IA entrent clairement dans ce champ.

Le CSE peut déclencher une expertise (art. L.2315‑94) sur introduction de nouvelles technologies/projet important, avec prise en charge 80/20 (employeur/CSE) sauf accord plus favorable.

Informer salariés & représentants avant usage (obligations du déployeur, art. 26)

Côté déployeur, l’article 26 exige notamment d’informer les travailleurs et leurs représentants avant l’utilisation d’un système "haut risque" au travail, de monitorer l’outil, de tenir des logs et d’assurer une supervision humaine effective.

En cas d’incident grave, le déployeur doit prévenir le fournisseur puis, à défaut, les autorités compétentes.

À exiger en consultation : 

• Finalité, périmètre, jeux de données et justification du classement (haut risque).
• Notice d’utilisation, tests (précision, biais), mesures de sécurité et plan de supervision.
• Impacts RH (tâches, critères, lutte anti‑discrimination) et mesures d’accompagnement (formation).

Checklist CSE 2025 : 7 actions à mettre en place dès maintenant

1. Cartographier les cas d’usage (pilotes inclus) et filtrer les “pratiques interdites”

• Inventorier exhaustivement tous les usages d’IA (pilotes compris) : SIRH (système d’information RH), outils de productivité (assistants/copilotes), sécurité (vidéo protection, contrôle d’accès), support/helpdesk, chatbots internes et externes.
• Passer chaque cas d’usage au crible des pratiques interdites et consigner le résultat pour chaque outil.
• Geler immédiatement tout pilote ou module comportant une fonctionnalité interdite, puis lancer le plan de retrait/correction et tracer la décision.

2. Documentation fournisseur, journalisation, supervision humaine et qualité des données

Exiger du fournisseur le mode d’emploi prévu à l’article 13 de l’AI Act pour tout système d’IA à haut risque. Ce document doit inclure :

• la journalisation prévue (types de données enregistrées, durée de conservation, modalités d’accès) ;
• les procédures de contrôle qualité des données et des résultats ;
• les éléments garantissant l’explicabilité et la bonne interprétation des sorties ;
• le plan de supervision humaine (points de contrôle, seuils d’alerte, procédures d’escalade).

Pour les systèmes reposant sur un modèle de base (GPAI), vérifier que :

• un résumé des données d’entraînement a été publié conformément aux exigences du règlement ;
• les conditions d’utilisation en aval sont clairement définies afin d’éviter tout usage non conforme ou à risque.

3. Culture et compétences en matière d’IA (AI literacy)

Depuis le 2 février 2025, les fournisseurs et les déployeurs doivent garantir aux personnes concernées par la conception, le déploiement, l’utilisation ou la supervision d’un système d’IA un niveau suffisant de culture et de compétences en IA, proportionné aux risques, aux tâches et au contexte d’utilisation.

Contenu minimal à couvrir (exigences pratiques) :

• Compréhension des capacités et limites du système (performances, incertitudes, cas d’usage appropriés).
• Connaissance des risques (sécurité, droits fondamentaux, biais/discriminations) et des mesures de réduction.
• Maîtrise de la supervision humaine (points de contrôle, droit/pouvoir d’intervention, contournement, escalade).
• Reconnaissance et signalement d’incidents ou de comportements inattendus (procédure interne, délais, contacts).
• Information des personnes impactées et rappel des droits (RGPD, voies de recours).

Organisation & preuves :

• Plan de formation adapté par population (opérateurs, managers, RH/Juridique/DPO, IT/SSI, IRP/CSE).
• Traçabilité : supports, présences/attestations, quiz, mise à jour périodique (au fil des versions du système).
• Articulation avec les autres obligations (ex. supervision humaine de l’art. 14, information de l’art. 26).

4. DPIA (AIPD) RGPD et quand envisager une FRIA

Pour la protection des données, la plupart des usages RH/monitoring des salariés nécessitent une AIPD/DPIA au titre du RGPD (risque élevé pour les droits et libertés).

La FRIA (évaluation d’impact sur les droits fondamentaux – AI Act) est obligatoire :

• pour certains déployeurs publics (ainsi que des privés assurant une mission de service public) lorsqu’ils utilisent des systèmes d’IA à haut risque ;
• pour des usages sectoriels spécifiques, notamment l’évaluation de crédit/solvabilité et la tarification/acceptation en assurance vie et santé.

Dans une entreprise privée “classique”, la FRIA n’est pas automatique pour l’IA RH ; elle reste toutefois une bonne pratique (complémentaire de la DPIA) pour objectiver les risques sur les droits fondamentaux et documenter la diligence.

Résumé fidèle (pour insertion pratique)

Avant tout déploiement, sont tenus de réaliser une FRIA :

• les déployeurs organismes de droit public ou entités privées fournissant des services publics ;
• les déployeurs des systèmes Annexe III, points 5)b) et 5)c) ; La FRIA décrit processus, durée/fréquence d’usage, catégories de personnes concernées, risques spécifiques, contrôle humain et mesures prévues en cas de risque. EUR-Lex (Date d’application générale du règlement : 2 août 2026.)

5. Incidents graves : qui notifie, à qui et quand ?

Mettre en place une procédure écrite couvrant : détection et qualification de l’événement, gel du traitement et conservation des logs, puis notification en priorité au fournisseur, et, le cas échéant, aux autorités de surveillance compétentes dans les délais prévus par l’article 73 (signalement rapide proportionné à la gravité).

Tenir un registre des incidents et désigner des responsables (RACI) clairement identifiés pour le triage, la notification et le suivi.

L’extrait officiel:

« Les fournisseurs de systèmes d’IA à haut risque mis sur le marché de l’Union signalent tout incident grave aux autorités de surveillance du marché ».

6. Charte IA & transparence (chatbots, deepfakes, mentions claires)

Élaborer une charte d’usage interne qui :

• précise les usages autorisés et interdits ;
• impose des mentions explicites lors d’une interaction homme-IA (chatbots/callbots) avec possibilité d’escalade vers un humain ;
• définit la signalétique des contenus synthétiques (label visible, watermark/métadonnées, alt-text) ;
• formalise le processus d’autorisation des nouveaux cas d’usage (demande, validation, registre).

Note : les obligations de transparence et d’étiquetage de l’article 50 (deepfakes, interactions avec une IA) s’appliquent à compter du 02/08/2026 ; anticipez dès maintenant la politique, les modèles de mentions et les contrôles.

L’extrait officiel:

« les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA ».

7. Sécurité & gouvernance : référentiel ANSSI, rôles & audits

Adopter les recommandations ANSSI (sécurisation des prompts, secrets, cloisonnement, revues de modèle), formaliser les rôles (propriétaire d’usage, responsable déploiement, référent sécurité, DPO) et planifier des audits périodiques.

Qui fait quoi ? : fournisseur vs déployeur vs CSE

Acteur	Principales obligations IA Act / RGPD	Points de vigilance CSE
Fournisseur (provider)	Conformité technique, doc (art. 13), enregistrement (art. 49), post‑marché (art. 72), signalement incidents (art. 73), GPAI : résumé données d’entraînement (art. 53).	Exiger la doc, les preuves de tests, la FE de conformité.
Déployeur (employeur)	Informer salariés & représentants (art. 26), supervision humaine, logs, monitoring ; notifier le fournisseur/autorités en cas d’incident.	Consultation CSE (L.2312‑8), expertise (L.2315‑94), plan de formation (art. 4).
CSE	Avis motivé, possibilité d’expertise, suivi SSCT ; vérification des impacts & des moyens de contrôle.	Exiger notice, tests, plan d’oversight, DPIA, politique transparence (art. 50).

Aide pour rédaction : note CSE, charte IA, checklist RH haut risque

Note d’information préalable au CSE (projet IA)

Préciser l’objet et la finalité, les données traitées et critères, les parties prenantes, le calendrier, les impacts et mesures de prévention ; annexer la documentation (notice d’utilisation, résultats de tests, plan de supervision) ainsi que le déroulé de la consultation.

Charte IA interne

Définir les usages autorisés et interdits (ex. reconnaissance des émotions), les règles de transparence (chatbots, contenus générés), les exigences de sécurité (référentiel ANSSI) et la procédure de gestion des incidents.

Checklist RH “haut risque”

Rattacher à chaque exigence la preuve correspondante : qualité des données, journalisation (logs), supervision humaine (human-in-the-loop), information des salariés et du CSE, tests de biais, durées de conservation et inscription au registre.

Sanctions & contrôles : niveaux d’amendes, registre européen des IA

• Les sanctions peuvent atteindre 7 % du CA mondial ou 35 M€ (le plus élevé), selon les manquements (paliers aussi à 3 %/15 M€ et 1,5 %/7,5 M€). Les États membres devaient fixer leurs régimes de pénalités d’ici 02/08/2025.
• Registre européen des IA (art. 71) : inscription par les fournisseurs pour les systèmes haut risque d’Annexe III (et par certains déployeurs publics avant usage). Sections non publiques pour certains domaines (sécurité, migrations).