Introduction

Les ressources humaines sont d’ores et déjà confrontées à la possibilité d’utiliser des logiciels qui permettent, par l’intelligence artificielle, d’analyser les émotions d’un candidat ou d’un employé confronté (par exemple) à une enquête interne.

Il est intéressant, dans ce cadre, de se pencher sur une décision récente de l’autorité hongroise de protection des données, laquelle traite de manière systématique et poussée les questions de l’utilisation de l’analyse du signal vocal des conversations enregistrées entre clients et employés. Nous confronterons, dans un deuxième temps, l’utilisation d’un tel instrument aux dispositions du nouveau droit suisse sur la protection des données.

Décision NAIH-85-3/2002

Dans une décision NAIH-85-3/2022 du 08.02.2022, l’autorité hongroise de protection des données (Nemzeti Adatvédelmi és Információszabadság Hatóság ; ci après NAIH) traite donc de l’utilisation, par une banque, d’un logiciel d’analyse vocale des communications téléphoniques des clients et de certains salariés.

Le logiciel utilise le traitement du signal vocal pour analyser les périodes de silence, les différentes voix parlant en même temps, les mots clés et les éléments émotionnels (tels que la vitesse, le volume et la hauteur de la voix) au sein des fichiers sonores enregistrés afin d’identifier les situations d’insatisfaction des clients. Il prend ensuite la décision automatisée d’individualiser les différents appels sur cette base et de les classer, afin qu’un employé puisse écouter les enregistrements, puis rappeler les clients afin de résoudre le problème

La Banque a déclaré que la base juridique de ce traitement était fondée sur l’intérêt légitime (art. 6 let. f RGPD) et que son objectif était de procéder à un contrôle de la qualité des appels, de prévenir les plaintes et la perte de clientèle, ainsi que d’accroître l’efficacité.,

Selon l’art. 6 let. f RGPD, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, (…).

La Banque a déclaré que les clients étaient informés au début des appels qu’ils étaient enregistrés, mais a admis qu’elle ne les avait pas informés que le logiciel d’IA serait utilisé pour analyser les appels, car des informations détaillées rendraient l’introduction aux appels trop longue.

La NAIH établit d’abord que le logiciel traitait des données à caractère personnel (art. 4 ch. 1 RGPD) puisque la personne concernée était identifiable dans le cadre de ce traitement. Les  appels au service clientèle se voient en effet attribuer un numéro d’identification interne unique qui pouvait être lié à la fois à l’appelant et à l’employé. Selon la NAIH, ce traitement est analogue à la jurisprudence de la Cour de justice de l’Union européenne C-582/14, qui a établi que les adresses IP dynamiques étaient des données à caractère personnel.

La NAIH considère que l’utilisation de l’IA pour identifier des états émotionnels devrait être considérée comme un traitement de nature sensible au sens de l’art. 9 (1) RGPD. Toutefois, dans le cas d’espèce, elle relève que l’analyse de la voix ne produisait pas de données permettant d’identifier de manière unique une personne concernée – et ne pouvait donc pas être considérée comme une donnée biométrique, et en raison du fait qu’aucune déduction significative quant à l’état de santé physique ou mental de la personne concernée ne pouvait être tirée du résultat du traitement (art. 4 ch. 14 RGPD).

La NAIH estime que l’utilisation du logiciel s’accompagne d’une prise de décision automatisée, étant donné qu’il n’est pas nécessaire que le logiciel prenne lui-même la décision, et qu’il suffit que le traitement vise à produire un résultat qui influence les décideurs. Il y a aussi profilage au sens de l’art. 4 ch. 4 RGPD, puisque la hiérarchisation des clients mécontents sur la base de mots-clés et d’émotions implique l’évaluation des aspects personnels cités dans cette disposition.

Sur cette base, et compte tenu du fait qu’il s’agit d’une nouvelle technologie, la NAIH a noté que le traitement a créé des risques accrus pour les droits fondamentaux, ce qui implique également des responsabilités accrues pour le contrôleur. Par conséquent, la NAIH a estimé qu’avant de déployer l’analyse vocale automatisée utilisant l’IA émotionnelle, la Banque aurait dû évaluer si le traitement était réalisable dans les circonstances techniques et sociales actuelles, et prendre en considération les garanties appropriées pour se conformer aux lois sur la protection des données et au principe de protection des données dès la conception. Sur la base de ces considérations, le NAIH a estimé que le manquement de la Banque à ces obligations constituait une violation des articles 24(1), 25(1) et 25(2) RGPD.

Le NAIH a aussi noté qu’aucune information n’a été donnée aux personnes concernées concernant l’analyse vocale, en particulier sur les types spécifiques de données traitées, ainsi que sur la manière dont leurs réactions émotionnelles ont été traitées et évaluées.

En outre, l’absence d’informations fournies aux personnes concernées concernant leur droit d’opposition entraînait une violation de l’article 21 RGPD. Le traitement à des fins de fidélisation de la clientèle constituant aussi une finalité de marketing similaire à l’acquisition de clientèle, la Banque avait également violé le droit d’opposition des personnes concernées au sens de 21 (2) RGPD.

Quant à la balance des intérêts et à la licéité du traitement (art. 6 let. f RGPD), la Banque n’avait fourni aucune preuve concrète qu’elle avait procédé à une mise en balance adéquate des intérêts entre son prétendu intérêt légitime à effectuer le traitement et les droits des personnes concernées. Par ailleurs, selon la documentation technique fournie par la Banque, l’efficacité du logiciel d’analyse des émotions était relativement faible. La  Banque n’a pas démontré que, dans sa forme actuelle, son utilisation était apte à atteindre les objectifs proposés d’une manière proportionnée à l’atteinte des droits des personnes concernées. La Banque n’avait pas davantage démontré que des alternatives à ce traitement avaient été envisagées.

La NAIH cite également cité l’avis conjoint 5/2021 du Comité européen de protection des données et du Contrôleur européen de la protection des données sur la loi relative à l’intelligence artificielle, qui stipule que « l’utilisation de l’IA pour déduire les émotions d’une personne physique est hautement indésirable et devrait être interdite, sauf dans certains cas d’utilisation bien spécifiés, à savoir à des fins de santé ou de recherche. » Sur la base de ces critères, la NAIH considère que les objectifs d’efficacité avancés par la Banque n’étaient pas proportionnés pour justifier l’utilisation d’une forme de traitement des données que les organes de protection des données de l’UE ont jugée indésirable et qui constitue un risque élevé pour les droits fondamentaux des personnes concernées.

La NAIH a également noté que les voix des clients de la Banque n’étaient pas les seules à être analysées, mais également celles de ses employés. La NAIH a déclaré que bien que le suivi des performances et l’assurance qualité puissent donner lieu à des intérêts légitimes dans certaines circonstances selon le droit du travail, la question de l’adéquation et de la proportionnalité était également pertinente en l’espèce, notamment parce que les employés se trouvent dans une position vulnérable dans le contexte d’une relation de travail. La NAIH a établi que ces facteurs n’avaient pas été pris en compte en raison du fait que la Banque n’avait pas procédé à une pesée adéquate des intérêts et qu’un système de garanties adéquat n’avait pas été prévu pour les employés.

Par conséquent, le NAIH a estimé que la banque ne pouvait pas invoquer l’intérêt légitime comme base juridique ou toute autre base juridique selon l’art. 6 (1) RGPD.

Appréciation en droit suisse

En droit suisse, la protection des données dans le cadre des rapports de travail obéit (notamment) aux art. 328 et 328b CO, cette dernière disposition renvoyant à la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1).

L’employeur est tenu de protéger et respecter, dans les rapports de travail, la personnalité du travailleur (art. 328 al. 1 CO). Concernant plus particulièrement le traitement de données en lien avec le contrat de travail, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail ; en outre, les dispositions de la LPD sont applicables (art. 328b CO).

L’aptitude à remplir son emploi concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc. Concernant les données nécessaires à l’exécution du contrat de travail, il s’agit de toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

Le Tribunal fédéral a précisé que l’art. 328b CO introduit une présomption de licéité du traitement de données lorsqu’elles «portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat» (ATF 130 II 425 consid. 3.3). Le traitement de données est donc en principe licite lorsqu’il est en relation directe avec la conclusion ou l’exécution d’un contrat.

On admet toutefois qu’un traitement de données s’inscrivant dans le champ de l’art. 328b CO (donc a priori licite) doit aussi respecter les principes généraux de la LPD, en particulier la licéité, la bonne foi et la proportionnalité (arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021, consid. 4). Lorsque le traitement de données n’entre pas dans le cadre de l’art. 328b CO, il est présumé illicite et doit pouvoir se fonder sur un motif justificatif (loi, intérêt public ou privé prépondérant, consentement – qui ne pourra pas être invoqué au détriment du travailleur).

Sous l’angle de la nouvelle loi sur la protection des données (nLPD ; FF 2020 7397), qui entrera en vigueur le 01.09.2023, l’utilisation de tels logiciels d’analyse des émotions par le traitement de conversations enregistrées constituerait un traitement de données à caractère personnel, voire de données sensibles dans la mesure où des informations sur la santé ou la sphère intime pourraient être traitées (art. 5 let. a, c et d nLPD).

L’analyse vocale pourrait rentrer dans le cadre de l’art. 328bCO et/ou de l’art. 26 OLT3, dans la mesure où il s’agirait de mesurer l’aptitude à exercer un emploi ou le caractère probant de mesures d’instruction sur le plan interne. Le traitement pourrait donc bénéficier d’une présomption de licéité… pour autant qu’il respecte aussi les conditions de la nLPD, et notamment les principes de l’art. 6 nLPD.

Si on veut bien partir du principe que l’employeur, dans ces circonstances, traiterait les données de manière licite, pour des finalités déterminées et reconnaissables et après une information conforme et de bonne foi, le critère de la proportionnalité (art. 6 al. 2 nLPD) poserait beaucoup plus de problème, et ce sous l’angle des règles de l’aptitude (la mesure est propre à atteindre le but visé), de la nécessité (il n’existe pas de mesure moins incisive pour atteindre le but visé) et de la proportionnalité au sens étroit (il existe un rapport raisonnable entre les effets de la mesure sur la situation de la personne visée et le résultat escompté du point de vue de l’employeur (règle de la proportionnalité au sens étroit).

Sous l’angle de l’aptitude, il importe de rappeler que ces logiciels d’analyse des émotions par le traitement du signal sonore, comme beaucoup d’autres outils similaires utilisés par le RH Techs, sont d’une fiabilité qui ne fait pas consensus. L’Information Commissioner’s Office (GB), dans une prise de position du 26 octobre 2022, a ainsi relevé que les technologies d’analyse émotionnelles pouvaient présenter des biais affectant les résultats, et que la fiabilité n’était pas assurée en l’état de la technologie (https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/immature-biometric-technologies-could-be-discriminating-against-people-says-ico-in-warning-to-organisations/). Par ailleurs, des données sensibles pouvaient être révélées de manière inconsciente par les personnes concernées, ce qui posait problème au niveau de la protection de leurs droits (Information Commissioner’s Office, Biometrics : insight, 26.10.2022 version 1.0, p. 18). Concernant la règle de la nécessité, que ce soit dans le recrutement ou dans le cadre d’enquêtes internes, il existe quantité d’autres outils moins incisifs pour arriver au même but : vérification d’antécédents, analyse des certificats de travail, entretiens directs, etc. Enfin, pour ce qui est de la proportionnalité au sens étroit, l’impact de tels outils sur la personne concernée apparaissait bien supérieur au gain que pourraient en tirer l’employeur.

Pour toutes ces raisons, l’emploi, par les ressources humaines, de tels instruments d’analyse émotions par traitement de la voix apparaît peu souhaitable en l’état, et devrait être évité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)