A propos de Philippe Ehrenström, Devoir d’information de l’employeur et droit d’accès du travailleur lors du traitement de données avec les outils de l’IA, in: Valérie Defago/Jean-Philippe Dunand/Florence Guillaume/David Raedler/Aurélien Witzig (éd.), Algorithmes, intelligence artificielle et droit du travail, Bâle-Neuchâtel, 2026, pp. 151-177 :
L’article examine le devoir d’information de l’employeur et le droit d’accès du travailleur lorsque l’employeur traite des données au moyen d’outils d’intelligence artificielle.
L’IA n’est pas née avec l’IA générative. Elle existe depuis les années 1950 et a connu plusieurs formes, notamment l’IA symbolique et l’IA connexionniste. Les ressources humaines utilisent déjà depuis longtemps des outils intégrant certaines formes d’IA. L’irruption récente de l’IA générative ne crée donc pas entièrement un problème nouveau, mais rend plus visible une difficulté déjà présente : comment appliquer le droit du travail et le droit de la protection des données à des outils capables de classer, recommander, évaluer, surveiller ou influencer des décisions concernant les travailleurs.
L’article commence par définir le système d’intelligence artificielle. Il rappelle que la Convention-cadre du Conseil de l’Europe sur l’IA, signée par la Suisse le 27 mars 2025, et le Règlement européen sur l’intelligence artificielle retiennent une approche comparable. Un système d’IA est ainsi un système automatisé, fondé sur une machine, qui, à partir de données d’entrée, produit des résultats tels que des prévisions, contenus, recommandations ou décisions, susceptibles d’influencer un environnement physique ou virtuel. Il peut présenter des degrés variables d’autonomie et d’adaptation après son déploiement. Cette définition n’est toutefois pas toujours facile à appliquer aux logiciels plus anciens ou aux outils traditionnels qui contiennent déjà des éléments d’IA. Dans le travail, les applications sont nombreuses : recrutement, gestion RH, surveillance, évaluation des performances, attribution d’avantages, rédaction de documents, organisation des tâches.
L’article situe ensuite le problème dans le droit suisse. L’art. 328b CO autorise l’employeur à traiter les données du travailleur seulement si elles portent sur ses aptitudes à remplir son emploi ou si elles sont nécessaires à l’exécution du contrat. La LPD s’applique en outre à ces traitements. L’art. 328b CO crée donc une présomption de licéité pour certains traitements liés au travail, mais cette licéité reste conditionnée au respect des principes généraux de la LPD, notamment la bonne foi, la proportionnalité, la transparence et l’exactitude.
Dans relation de travail, l’employeur est le responsable du traitement et le travailleur la personne concernée. Cette transposition n’est toutefois pas neutre. Le droit du travail part d’un rapport inégal et poursuit une fonction protectrice. Le droit de la protection des données repose plus souvent sur l’idée d’un individu autonome, informé et capable d’exercer ses droits. Dans le monde du travail, cette fiction doit être corrigée : le salarié n’est pas un consommateur libre face à l’employeur.
L’article traite ensuite du devoir d’information de l’employeur. En droit suisse, ce devoir peut découler de plusieurs sources : le CO, la LTr, la LAA, la loi sur la participation, les conventions collectives, les règlements d’entreprise et la jurisprudence. En matière d’IA, il peut aussi être éclairé par le droit européen, en particulier le Règlement sur l’IA, le RGPD et les textes relatifs au travail de plateforme. Certains droits nationaux vont déjà plus loin : l’Italie impose une information des employés sur l’usage de l’IA au travail ; en France, le Comité social et économique doit être consulté avant la mise en œuvre d’applications d’IA qui modifient les conditions de travail.
En droit suisse, l’article distingue un devoir d’information collectif et un devoir d’information individuel. Le devoir collectif découle notamment de la loi sur la participation et des règles relatives à la protection de la santé. Les représentants des travailleurs doivent être informés en temps utile et de manière complète sur les questions nécessaires à l’exercice de leurs tâches. Ce devoir devient particulièrement important lorsque l’employeur introduit des systèmes de surveillance ou de contrôle. L’art. 26 OLT 3 interdit les systèmes destinés à surveiller le comportement des travailleurs à leur poste. Les systèmes nécessaires pour d’autres motifs restent possibles, mais ils doivent être conçus de manière à ne pas porter atteinte à la santé ni à la liberté de mouvement. Selon le commentaire du SECO, cette règle vise aussi les outils informatiques utilisant l’IA pour analyser ou évaluer des données relatives aux travailleurs, comme les modèles de vision, de mouvement, de parole, de communication ou d’état psychologique. Le Tribunal fédéral interprète toutefois l’interdiction de manière restrictive : l’élément décisif est l’atteinte à la santé. L’installation d’un système de surveillance ou de contrôle utilisant l’IA suppose donc une information et une consultation préalables des travailleurs ou de leurs représentants.
Un devoir individuel d’information découle de la LPD. L’employeur doit informer la personne concernée lors de la collecte de données, que les données soient collectées auprès d’elle ou non. L’information doit intervenir au plus tard au moment de la collecte. Elle doit être concise, transparente, compréhensible et facilement accessible. Elle doit indiquer au moins l’identité et les coordonnées du responsable du traitement, la finalité du traitement et les destinataires ou catégories de destinataires. Si les données ne sont pas collectées auprès de la personne concernée, l’employeur doit aussi indiquer les catégories de données traitées. En cas de communication à l’étranger, il doit indiquer l’État ou l’organisme destinataire ainsi que les garanties applicables ou l’exception invoquée.
L’article examine ensuite la décision individuelle automatisée. Selon la LPD, l’employeur doit informer la personne concernée lorsqu’une décision est prise exclusivement sur la base d’un traitement automatisé et produit des effets juridiques ou l’affecte de manière significative. Il faut une véritable absence d’intervention humaine. Une personne qui s’appuie simplement sur un outil automatisé parmi d’autres éléments pour prendre une décision de recrutement ne rend pas nécessairement une décision individuelle automatisée. Il faut aussi une certaine complexité ou un pouvoir d’appréciation ; les simples règles mécaniques de type « si… alors… » ne suffisent pas. En cas de décision individuelle automatisée, l’information doit mentionner son existence et les moyens de faire valoir les droits de la personne concernée, notamment le droit de faire valoir son point de vue, de demander une revue humaine et d’obtenir des informations sur la logique de la décision.
Le point central de l’article est toutefois ailleurs : que faire lorsque le système d’IA ne prend pas de décision automatisée, mais produit seulement des recommandations, classements ou évaluations ? L’article soutient qu’un devoir d’information accru peut exister même hors décision individuelle automatisée. L’art. 19 LPD fixe seulement un socle minimal. L’étendue de l’information dépend du type de données, de la nature du traitement, de son ampleur et surtout du risque d’atteinte à la personnalité. Un système d’IA de recrutement, même limité à des recommandations, peut présenter des risques élevés. Le Règlement européen sur l’IA qualifie d’ailleurs de « haut risque » les systèmes utilisés pour le recrutement, la sélection, la promotion, le licenciement, l’attribution de tâches, le suivi ou l’évaluation des performances. Ces systèmes peuvent affecter les perspectives de carrière, les moyens de subsistance et les droits des travailleurs. Ils peuvent aussi reproduire des discriminations historiques. Ce raisonnement peut être transposé au droit suisse : l’importance du risque justifie une information spécifique, même sans décision individuelle automatisée.
L’article donne d’autres exemples. Les lunettes de réalité augmentée utilisées au travail peuvent permettre un monitoring constant du porteur ou de tiers, des analyses biométriques ou des traitements dissimulés. Leur usage devrait donc être accompagné d’une information des travailleurs concernés et des personnes susceptibles d’être captées. De même, le droit à l’effacement devient difficile à exercer lorsque les données ont servi à entraîner ou ajuster un système d’IA. Le simple effacement des données d’origine peut ne pas supprimer toutes les traces incorporées dans le modèle. Le « désapprentissage machine » ne garantit pas encore un effacement complet. Cela met en tension le principe de neutralité technologique de la LPD : en théorie, la loi s’applique quel que soit l’outil ; en pratique, certains outils rendent l’exercice des droits beaucoup plus difficile. L’article ajoute que l’IA peut aussi produire des atteintes plus diffuses : perte d’autonomie, érosion des compétences, diminution du sentiment de valeur professionnelle. Si ces effets atteignent une certaine gravité, ils peuvent également intéresser les droits de la personnalité.
L’article souligne ensuite que l’analyse d’impact relative à la protection des données ne doit pas nécessairement être communiquée aux employés. En cas de risque élevé pour la personnalité ou les droits fondamentaux, l’art. 22 LPD impose une analyse préalable. Celle-ci décrit le traitement, évalue les risques et précise les mesures prévues. Mais elle reste un document interne de conformité. Contrairement au RGPD, la LPD ne prévoit d’ailleurs pas de consultation obligatoire des personnes concernées pour l’établir.
L’article insiste sur le rôle pratique important du registre des traitements. Ce registre contient notamment l’identité du responsable, les finalités, les catégories de personnes et de données, les destinataires, les durées de conservation, les mesures de sécurité et les communications à l’étranger. Même lorsqu’une entreprise de moins de 250 employés pourrait bénéficier d’une exception, le registre reste pratiquement indispensable. Il permet d’informer correctement les travailleurs, de répondre aux demandes d’accès, d’identifier les traitements touchés par une violation de sécurité et de piloter la conformité. Sans registre, le devoir d’information reste abstrait.
La difficulté peut toutefois tenir à l’identification des traitements d’IA. Beaucoup d’outils RH ont intégré l’IA avant l’entrée en vigueur de la LPD actuelle. Ils sont parfois banalisés et invisibles dans l’organisation. Il faut donc repérer les anciens systèmes, y compris les outils généralistes comme les logiciels de transcription, qui posent des questions de consentement, d’enregistrement de tiers, de conservation et de transfert à l’étranger. Les mises à jour compliquent encore la situation. Les mises à jour ouvertes annoncent des changements et demandent une validation ; elles sont déjà nombreuses et difficiles à suivre. Les mises à jour silencieuses sont plus problématiques encore : elles peuvent modifier un logiciel ou un modèle en arrière-plan, sans information immédiate. Dans le domaine de l’IA, une mise à jour peut changer le comportement du système, son ton, ses réglages, ses règles de sécurité ou sa manière de traiter certains sujets. L’employeur peut alors se trouver tenu d’informer ou de consulter sans même avoir pleinement conscience du changement.
L’article analyse aussi le phénomène du « Boss-as-a-Service ». L’employeur achète des services externes de gestion algorithmique du personnel. Il reste responsable du traitement, mais le fournisseur connaît mieux l’outil, ses paramètres et ses évolutions. Il en résulte une asymétrie d’information entre l’employeur et son sous-traitant, qui rend plus difficile l’information du travailleur. Le risque est que le pouvoir de direction soit partiellement externalisé à un prestataire et à son système.
La seconde grande partie porte sur le droit d’accès du travailleur. L’art. 25 LPD permet à toute personne de demander si des données la concernant sont traitées et d’obtenir les informations nécessaires pour exercer ses droits et garantir la transparence. Ce droit complète le devoir d’information. Il sert à contrôler la régularité du traitement, à demander rectification, effacement, interdiction de traitement ou destruction des données. Il protège plus largement la personnalité. Il est strictement personnel, imprescriptible et il n’est pas possible d’y renoncer à l’avance. Une clause du contrat de travail qui limiterait ce droit serait nulle.
Le droit d’accès vise l’employeur comme responsable du traitement, mais aussi éventuellement d’autres entités qui traiteraient des données liées au travail, par exemple une société du groupe, un hébergeur ou un prestataire. Il n’est pas limité au dossier personnel classique. Il couvre toutes les données personnelles traitées dans le cadre de la relation de travail. La personne concernée doit recevoir au moins l’identité du responsable, les données traitées, les finalités, la durée de conservation ou les critères de durée, l’origine des données si elles n’ont pas été collectées auprès d’elle, l’existence d’une décision individuelle automatisée et sa logique, les destinataires, ainsi que les informations relatives aux communications à l’étranger. La demande se fait en principe par écrit, y compris électroniquement. La réponse doit être compréhensible et fournie dans les 30 jours, sauf information sur un délai prolongé. Elle est en principe gratuite.
Ce droit connaît des restrictions. L’employeur peut refuser, limiter ou différer la communication si une loi formelle le prévoit, notamment pour protéger un secret professionnel, si les intérêts prépondérants d’un tiers l’exigent, ou si la demande est manifestement infondée, contraire à la protection des données ou procédurière. Une personne privée peut aussi invoquer ses propres intérêts prépondérants si elle ne communique pas les données à un tiers. Ces exceptions sont exhaustives et doivent être interprétées restrictivement. Avant de refuser totalement, l’employeur doit examiner des mesures moins incisives. La doctrine admet aussi qu’un accord de confidentialité puisse être exigé dans certains cas.
L’article consacre un développement particulier à l’abus du droit d’accès. Sous l’ancien droit déjà, le Tribunal fédéral avait admis que ce droit ne devait pas servir uniquement à rechercher des preuves pour un procès. La nouvelle LPD reprend cette idée. Une demande peut être abusive si elle vise exclusivement à enquêter sur une partie adverse ou à contourner les règles de procédure civile. Mais l’abus ne doit pas être admis trop facilement. Si la demande poursuit plusieurs buts, dont un but réel de protection des données, elle ne devrait pas être rejetée. Il existe ainsi une tension entre une conception large, protectrice du droit d’accès dans les rapports de travail, et une conception plus stricte, centrée sur la seule vérification de la conformité du traitement ou du respect du droit de la protection des données.
Enfin, l’article examine l’accès à la logique d’une décision individuelle automatisée. En droit suisse, comme en droit européen, il ne s’agit pas d’obtenir le code source, une formule mathématique incompréhensible ou la description exhaustive de toutes les étapes techniques. La personne concernée doit recevoir une explication utile, concise et intelligible de la procédure et des principes appliqués. Elle doit comprendre quelles données personnelles ont été utilisées et comment elles ont influencé le résultat. La complexité technique ne libère pas le responsable du traitement de son devoir d’explication. Une information pertinente pourrait, par exemple, indiquer dans quelle mesure une variation de certaines données aurait conduit à un résultat différent.
La conclusion de l’article est que l’IA au travail ne se déploie pas dans un vide juridique. Le CO, la LPD, la LTr, l’OLT 3, la loi sur la participation et, pour les praticiens européens, le RGPD et le Règlement sur l’IA offrent déjà des instruments. Mais les systèmes d’IA mettent ces instruments sous tension. Ils rendent plus difficile l’identification des traitements, l’information utile, l’exercice du droit d’accès, l’effacement des données et la compréhension des décisions. Ces difficultés devraient augmenter avec l’externalisation de la gestion algorithmique et le développement d’agents IA capables de coordonner des humains et d’autres systèmes. Le véritable enjeu n’est donc pas seulement de savoir si l’IA est licite dans le travail, mais de maintenir une capacité effective d’information, de contrôle et de contestation dans une relation où le travailleur reste structurellement dépendant de l’employeur.
Me Philippe Ehrenström, avocat, LLM, CAS en Droit et intelligence artificielle, CAS en Protection des données – Entreprise et administration
Travail, protection des données et IA 