Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 6e partie)

Publié le 29 décembre 2024 par Me Philippe Ehrenström

Nous avons vu que les rh techs sont susceptibles d’entrer dans la catégorie des systèmes d’intelligence artificielle (SIA ou système(s) d’IA)) à hauts risques au sens du Règlement européen sur l’intelligence artificielle (RIA ; https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/). Nous avons examiné le champs d’application du RIA (https://droitdutravailensuisse.com/2024/12/20/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-3e-partie/), puis avons traité trois obligations s’appliquant aux systèmes d’IA à hauts risques (système de gestion des risques : https://droitdutravailensuisse.com/2024/12/19/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-2e-partie/), gouvernance des données https://droitdutravailensuisse.com/2024/12/22/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-4e-partie/) et documentation technique (https://droitdutravailensuisse.com/2024/12/23/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-5e-partie/)

Nous continuons aujourd’hui avec une quatrième série d’obligations concernant la transparence et fourniture d’informations aux déployeurs (art. 13 RIA) et le contrôle humain (art. 14 RIA) :

L’article 13 du Règlement traite de la Transparence et fourniture d’informations aux déployeurs. La conception et le développement des systèmes d’IA à haut risque doivent être tels que le fonctionnement de ces systèmes est suffisamment transparent pour permettre aux déployeurs d’interpréter les sorties d’un système et de les utiliser de manière appropriée. Un type et un niveau adéquats de transparence sont garantis afin de veiller au respect des obligations pertinentes incombant au fournisseur et au déployeurs. Les systèmes d’IA à haut risque sont donc accompagnés d’une notice d’utilisation dans un format numérique approprié ou autre, contenant des informations concises, complètes, exactes et claires, qui soient pertinentes, accessibles et compréhensibles pour les déployeurs.  La notice d’utilisation contient au moins les informations suivantes: l’identité et les coordonnées du fournisseur et, le cas échéant, de son mandataire, ainsi que les caractéristiques, les capacités et les limites de performance du système d’IA à haut risque.

Les systèmes d’IA à haut risque devraient être conçus et développés de manière à ce que les personnes physiques puissent superviser leur fonctionnement et veiller à ce qu’ils soient utilisés comme prévu et à ce que leurs incidences soient prises en compte tout au long de leur cycle de vie. À cette fin, des mesures appropriées de contrôle humain devraient être établies par le fournisseur du système avant sa mise sur le marché ou sa mise en service. En particulier, le cas échéant, de telles mesures devraient garantir que le système est soumis à des contraintes opérationnelles intégrées qui ne peuvent pas être ignorées par le système lui-même, que le système répond aux ordres de l’opérateur humain et que les personnes physiques auxquelles le contrôle humain a été confié ont les compétences, la formation et l’autorité nécessaires pour s’acquitter de ce rôle. Il est également essentiel, le cas échéant, de veiller à ce que les systèmes d’IA à haut risque comprennent des mécanismes destinés à guider et à informer une personne physique à laquelle le contrôle humain a été confié, afin qu’elle puisse décider en connaissance de cause s’il faut intervenir, à quel moment et de quelle manière, pour éviter des conséquences négatives ou des risques, ou arrêter le système s’il ne fonctionne pas comme prévu. Compte tenu des conséquences importantes pour les personnes en cas d’erreur dans les correspondances établies par certains systèmes d’identification biométrique, il convient de prévoir pour ces systèmes une exigence de contrôle humain encore accru, de manière qu’aucune mesure ou décision ne puisse être prise par le déployeur sur la base de l’identification obtenue par le système, à moins qu’elle n’ait été vérifiée et confirmée séparément par au moins deux personnes physiques. Ces personnes pourraient provenir d’une ou de plusieurs entités et compter parmi elles la personne qui fait fonctionner le système ou l’utilise. Cette exigence ne devrait pas entraîner de charges ou de retards inutiles, et il pourrait suffire que les vérifications effectuées séparément par les différentes personnes soient automatiquement enregistrées dans les journaux générés par le système. Compte tenu des spécificités des domaines que sont les activités répressives, la migration, les contrôles aux frontières et l’asile, cette exigence ne devrait pas s’appliquer lorsque le droit de l’Union ou le droit national considère que cette application est disproportionnée.

En conséquence, l’article 14 du Règlement (Contrôle humain) prévoit que la conception et le développement des systèmes d’IA à haut risque permettent, notamment au moyen d’interfaces homme-machine appropriées, un contrôle effectif par des personnes physiques pendant leur période d’utilisation.

Le contrôle humain vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux qui peuvent apparaître lorsqu’un système d’IA à haut risque est utilisé conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisible, en particulier lorsque de tels risques persistent malgré l’application d’autres exigences énoncées dans la section 2 du Règlement (articles 9 et ss).

Les mesures de contrôle sont proportionnées aux risques, au niveau d’autonomie et au contexte d’utilisation du système d’IA à haut risque, et sont assurées au moyen d’un ou des deux types de mesures suivants: des mesures identifiées et, lorsque cela est techniquement possible, intégrées par le fournisseur dans le système d’IA à haut risque avant la mise sur le marché ou la mise en service de ce dernier; et des mesures identifiées par le fournisseur avant la mise sur le marché ou la mise en service du système d’IA à haut risque et qui se prêtent à une mise en œuvre par le déployeur.

Aux fins de la mise en œuvre des dispositions sur le contrôle humain , le système d’IA à haut risque est fourni au déployeur de telle manière que les personnes physiques chargées d’effectuer un contrôle humain, dans la mesure où cela est approprié et proportionné, ont la possibilité: de comprendre correctement les capacités et les limites pertinentes du système d’IA à haut risque et d’être en mesure de surveiller correctement son fonctionnement, y compris en vue de détecter et de traiter les anomalies, les dysfonctionnements et les performances inattendues; d’avoir conscience d’une éventuelle tendance à se fier automatiquement ou excessivement aux sorties produites par un système d’IA à haut risque (biais d’automatisation), en particulier pour les systèmes d’IA à haut risque utilisés pour fournir des informations ou des recommandations concernant les décisions à prendre par des personnes physiques; d’interpréter correctement les sorties du système d’IA à haut risque, compte tenu par exemple des outils et méthodes d’interprétation disponibles; de décider, dans une situation particulière, de ne pas utiliser le système d’IA à haut risque ou d’ignorer, remplacer ou inverser la sortie du système d’IA à haut risque; et d’intervenir dans le fonctionnement du système d’IA à haut risque ou d’interrompre le système au moyen d’un bouton d’arrêt ou d’une procédure similaire permettant au système de s’arrêter de manière sécurisée.

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle | Tagué , , , , , , , | Laisser un commentaire

Joyeux Noël, sacrebleu!

Publié le 24 décembre 2024 par Me Philippe Ehrenström

L’Etude, votre humble serviteur et Miss Dona Spaniel, son Chief Happiness Office, vous souhaitent de joyeuses fêtes de Noël!

En guise de cadeau de Noël, nous vous offrons un conte de fées, que vous pourrez lire à vos enfants, petits-enfants, neveux, nièces, etc, quand, enivrés de sucre, d’écrans et de cadeaux inutiles, ils ne vous laisseront plus en paix:

Le tailleur et les petites souris au Tribunal des prud’hommes, une relecture de Beatrix Potter (https://droitdutravailensuisse.com/2024/06/09/le-tailleur-et-les-petites-souris-au-tribunal-des-prudhommes/)

Me Philippe Ehrenström, avocat, LLM

Publié dans Divers | Tagué , , , , | Laisser un commentaire

Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 5e partie)

Publié le 23 décembre 2024 par Me Philippe Ehrenström

Nous avons vu que les rh techs sont susceptibles d’entrer dans la catégorie des systèmes d’intelligence artificielle (SIA ou système(s) d’IA)) à hauts risques au sens du Règlement européen sur l’intelligence artificielle (RIA ; https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/). Nous avons examiné le champs d’application du RIA (https://droitdutravailensuisse.com/2024/12/20/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-3e-partie/), puis avons traité deux  obligations s’appliquant aux systèmes d’IA à hauts risques (système de gestion des risques : https://droitdutravailensuisse.com/2024/12/19/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-2e-partie/ et gouvernance des données https://droitdutravailensuisse.com/2024/12/22/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-4e-partie/).

Nous continuons aujourd’hui avec une troisième série d’obligations concernant l’information et la transparence (documentation technique, notice d’utilisation) selon l’art. 11 RIA:

Le Règlement (art. 11 RIA) considère qu’il est essentiel de disposer d’informations compréhensibles sur la manière dont les systèmes d’IA à haut risque ont été développés et sur leur fonctionnement tout au long de leur durée de vie afin de permettre la traçabilité de ces systèmes, de vérifier le respect des exigences du règlement et de surveiller le fonctionnement des systèmes en question et d’assurer leur surveillance après commercialisation. Cela nécessite la tenue de registres et la disponibilité d’une documentation technique contenant les informations nécessaires pour évaluer la conformité du système d’IA avec les exigences pertinentes et faciliter la surveillance après commercialisation. Ces informations devraient notamment porter sur les caractéristiques générales, les capacités et les limites du système, sur les algorithmes, les données et les processus d’entraînement, de mise à l’essai et de validation utilisés, ainsi que sur le système de gestion des risques mis en place et être établies de façon claire et exhaustive. La documentation technique devrait être dûment tenue à jour tout au long de la durée de vie du système d’IA. Par ailleurs, les systèmes d’IA à haut risque devraient permettre, sur le plan technique, l’enregistrement automatique des événements, au moyen de journaux, tout au long de la durée de vie du système. (Consid. 71)

Afin de répondre aux préoccupations liées à l’opacité et à la complexité de certains systèmes d’IA et d’aider les déployeurs à remplir les obligations qui leur incombent en vertu du présent règlement, la transparence devrait être requise pour les systèmes d’IA à haut risque avant leur mise sur le marché ou leur mise en service. Les systèmes d’IA à haut risque devraient être conçus de manière à permettre aux déployeurs de comprendre le fonctionnement du système d’IA, d’évaluer sa fonctionnalité et de comprendre ses forces et ses limites.

Les systèmes d’IA à haut risque devraient être accompagnés d’informations appropriées sous la forme d’une notice d’utilisation. Ces informations devraient inclure les caractéristiques, les capacités et les limites de la performance du système d’IA. Il s’agirait des informations sur les éventuelles circonstances connues et prévisibles liées à l’utilisation du système d’IA à haut risque, y compris l’action des déployeurs susceptible d’influencer le comportement et la performance du système, dans le cadre desquelles le système d’IA peut entraîner des risques pour la santé, la sécurité et les droits fondamentaux, sur les changements qui ont été déterminés au préalable et évalués à des fins de conformité par le fournisseur et sur les mesures de contrôle humain pertinentes, y compris les mesures visant à faciliter l’interprétation des sorties du système d’IA par les déployeurs.

La transparence, y compris la notice d’utilisation jointe au système, devrait aider les déployeurs à utiliser celui-ci et à prendre des décisions en connaissance de cause. Les déployeurs devraient, entre autres, être mieux à même de faire le bon choix quant au système qu’ils ont l’intention d’utiliser à la lumière des obligations qui leur sont applicables, d’être informés sur les utilisations prévues et interdites et d’utiliser le système d’IA correctement. Afin d’améliorer la lisibilité et l’accessibilité des informations figurant dans la notice d’utilisation, il convient, d’inclure des exemples illustratifs, par exemple sur les limitations et sur les utilisations prévues et interdites du système d’IA. Les fournisseurs devraient veiller à ce que toute la documentation, y compris la notice d’utilisation, contienne des informations utiles, complètes, accessibles et compréhensibles, compte tenu des besoins et des connaissances prévisibles des déployeurs visés. La notice d’utilisation devrait être mise à disposition dans une langue aisément compréhensible par les déployeurs visés, déterminée par l’État membre concerné.

A teneur de l’article 11 du Règlement, la documentation technique relative à un système d’IA à haut risque est donc établie avant que ce système ne soit mis sur le marché ou mis en service et est tenue à jour.

La documentation technique est établie de manière à démontrer que le système d’IA à haut risque satisfait aux exigences énoncées dans la section 2 du Règlement (articles 8 à 15) et à fournir aux autorités nationales compétentes et aux organismes notifiés les informations nécessaires sous une forme claire et intelligible pour évaluer la conformité du système d’IA avec ces exigences. Elle contient, au minimum, les éléments énoncés à l’annexe IV. Les PME, y compris les jeunes pousses, peuvent fournir des éléments de la documentation technique spécifiée à l’annexe IV d’une manière simplifiée. À cette fin, la Commission établit un formulaire de documentation technique simplifié ciblant les besoins des petites entreprises et des microentreprises. Lorsqu’une PME, y compris une jeune pousse, choisit de fournir les informations requises à l’annexe IV de manière simplifiée.

Les informations requises par l’annexe IV sont notamment : une description générale du système d’IA ; une description détaillée des éléments du système d’IA et de son processus de développement ; des informations détaillées sur la surveillance, le fonctionnement et le contrôle du système d’IA ; une description de l’adéquation des indicateurs de performance à ce système d’IA spécifique; une description détaillée du système de gestion des risques ; une description des modifications pertinentes apportées par le fournisseur au système tout au long de son cycle de vie; et une description détaillée du système en place pour évaluer les performances du système d’IA après la commercialisation conformément à l’article 72 du Règlement.

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle | Tagué , , , , , , , | Laisser un commentaire

Récuser un juge pour un article de doctrine de sa plume?

Publié le 22 décembre 2024 par Me Philippe Ehrenström

Peut-on demander la récusation d’une juge en raison d’un article de doctrine qu’il aurait écrit ? C’est la thèse (originale…) défendue par les recourants dans un arrêt TF 7B_963/2024 du 28 novembre 2024. Extraits des considérants (dès 2.2.3) :

Selon l’art. 56 let. f CPP, toute personne exerçant une fonction au sein d’une autorité pénale est tenue de se récuser lorsque d’autres motifs, notamment un rapport d’amitié étroit ou d’inimitié avec une partie ou son conseil juridique, sont de nature à la rendre suspecte de prévention. 

L’art. 56 let. f CPP a la portée d’une clause générale recouvrant tous les motifs de récusation non expressément prévus aux lettres précédentes de l’art. 56 CPP. Cette clause correspond à la garantie d’un tribunal indépendant et impartial instituée par les art. 30 al. 1 Cst. et 6 par. 1 CEDH. Elle concrétise aussi les droits déduits de l’art. 29 al. 1 Cst. garantissant l’équité du procès et assure au justiciable cette protection lorsque d’autres autorités ou organes que des tribunaux sont concernés. Cette clause générale n’impose pas la récusation seulement lorsqu’une prévention effective du magistrat est établie, car une disposition interne de sa part ne peut guère être prouvée. Il suffit ainsi que ces circonstances donnent l’apparence de la prévention et fassent redouter une activité partiale du magistrat. Tel peut notamment être le cas de propos ou d’observations, formulés par le juge avant ou pendant le procès, dont la teneur laisse entendre que celui-ci s’est déjà forgé une opinion définitive sur l’issue de la procédure (ATF 137 I 227 consid. 2.1; 134 I 238 consid. 2.1; arrêts 7B_450/2024 du 1 er juillet 2024 consid. 2.2.2; 7B_57/2022 du 27 mars 2024 consid. 8.2.1). Dans ce contexte toutefois, seules des circonstances constatées objectivement doivent être prises en considération, les impressions purement subjectives des parties n’étant pas décisives (ATF 144 I 159 consid. 4.3; 142 III 732 consid. 4.2.2). 

Selon plusieurs auteurs, les opinions scientifiques émises par un juge à propos de questions juridiques similaires à celles posées par l’affaire ne peuvent que très exceptionnellement fonder une apparence de prévention, le critère décisif étant à cet égard que le juge puisse continuer à examiner les questions concrètement déterminantes d’une façon ouverte et complète (JEAN-MARC VERNIORY, in Commentaire romand, Code de procédure pénale suisse, 2 e éd. 2019, n° 36 ad art. 56 CPP et les références citées). 

 Les juges cantonaux (…) ont en (…)  relevé que, dans l’article litigieux, l’intimé [le juge dont la récusation était demandée] s’attachait essentiellement à dresser, dans une démarche scientifique, un panorama de la jurisprudence du Tribunal fédéral et de certaines cours pénales cantonales en lien avec la répression de militants pour le climat en raison des infractions commises dans le cadre de leurs actions. Ils ont ajouté qu’on ne voyait pas qu’une telle démarche serait en soi proscrite, ni qu’elle laisserait suspecter une prévention, en rappelant que le juge devait précisément connaître la jurisprudence et y faire au besoin référence dans ses jugements. La juridiction cantonale a en outre indiqué que si l’article mentionnait, au regret des recourants, que cette jurisprudence n’était pas favorable aux militants pour le climat, en particulier lorsqu’ils causaient des nuisances ou utilisaient des moyens qui excédaient le niveau de perturbation acceptable inhérent à l’exercice de leurs droits fondamentaux, cette circonstance ne pouvait pas être imputée à l’auteur de l’article (décision querellée, pp. 13-14). 

L’autorité cantonale a ensuite retenu qu’elle ne partageait pas le point de vue des recourants selon lequel l’intimé aurait fait preuve de sarcasme dans le choix de l’intitulé de son article et que cela refléterait un clair parti pris. Elle a relevé qu’il s’agissait d’une interprétation strictement personnelle des recourants et qu’il fallait plutôt voir, dans le choix du titre, un trait d’esprit qui contribuait à rendre la lecture attractive, sans qu’on discernât une quelconque défiance à l’égard des manifestants. Elle a par ailleurs observé que, dans son article, l’intimé ne critiquait pas et ne contestait pas en tant que telle la légitimité du message propagé par les manifestants, ni ne remettait en cause la réalité scientifique du dérèglement climatique et le caractère urgent des actions à entreprendre pour y remédier. La cour cantonale a enfin examiné le troisième paragraphe de la conclusion de l’article et a considéré, après avoir mentionné une partie de son contenu (« les troubles à l’ordre public et les déviations d’itinéraires des services d’intérêt général et des transports publics n’ont en aucune manière pu exercer un impact positif sur le dérèglement climatique, pas plus que la résistance des manifestants à leur évacuation par la police »), que cette approche s’inscrivait dans la ligne de la jurisprudence du Tribunal fédéral qui était décrite tout au long de l’article, à savoir notamment l’ATF 149 IV 217. À cet égard, elle a estimé qu’il n’y avait pas lieu de déduire une apparence de partialité du seul fait que le magistrat tenait cette jurisprudence pour pertinente. Elle a ajouté qu’il ressortait des propos conclusifs de l’intimé que celui-ci entendait rappeler que les actions choisies par les manifestants n’apportaient aucune contribution directe à l’objectif de réduction des émissions de gaz à effet de serre et que cela relevait de l’évidence. Elle encore indiqué que l’intimé ne remettait pas pour autant en cause le caractère respectable de leurs actions, en tant qu’elles visaient à sensibiliser la population sur les conséquences néfastes des dérèglements climatiques, et ne faisait pas référence aux causes sur lesquelles il lui reviendrait de statuer (décision querellée, pp. 14-15).

Les recourants, qui se limitent à critiquer le contenu de l’article litigieux afin d’en tirer des éléments qui permettraient, selon eux, d’en déduire que l’intimé serait – à tout le moins en apparence – prévenu à leur égard, ne s’en prennent toutefois absolument pas à la motivation cantonale susmentionnée. On cherche en effet en vain, dans l’entier de leur recours au Tribunal fédéral, des références aux considérants de la décision querellée. Or, pour satisfaire à leur exigence de motivation, il leur appartenait de discuter au moins brièvement de tels considérants afin de pouvoir livrer une argumentation qui s’y rapporte, ainsi qu’à la question juridique tranchée. (…)  En réalité, les recourants critiquent librement l’article litigieux et la rédaction de celui-ci par son auteur, sans se préoccuper des règles en matière de motivation d’un recours au Tribunal fédéral ni, d’ailleurs, comme on le verra ci-après, de celles relatives à son pouvoir d’examen, de sorte que leur recours se révèle irrecevable. 

Les recourants formulent également plusieurs griefs qui reposent sur des faits qui ne ressortent pas de la décision querellée. (…)

 En tout état de cause, les critiques formulées par les recourants envers l’article litigieux afin de tenter de démontrer l’apparence de prévention de son auteur relèvent, de manière générale, et comme l’a mentionné la juridiction cantonale, d’impressions purement subjectives, qui ne sauraient être décisives dans le cadre de l’examen d’un motif de récusation. L’article de l’intimé s’attache en effet essentiellement à dresser, dans une démarche scientifique, un état des lieux ou un panorama d’une partie de la jurisprudence rendue par le Tribunal fédéral, certaines cours cantonales, voire la CourEDH. L’intimé n’y livre aucune appréciation politique, mais se limite pour l’essentiel à passer en revue plusieurs cas ayant occupé la justice pénale ces dernières années. Il est dès lors logique que l’intimé fasse état des sanctions pénales y relatives. On peut d’ailleurs préciser que l’intimé ne se limite pas à cela, mais passe également en revue la question des faits justificatifs et des circonstances atténuantes, ainsi que des cas dans lesquels une sanction pénale n’a pas été considérée comme justifiée. L’article en question n’est par conséquent pas orienté, comme veulent le faire croire les recourants, uniquement en défaveur des militants pour le climat, de sorte qu’on ne saurait déceler un parti pris de l’intimé. À cela s’ajoute que l’écrit a été rédigé, à un instant donné, dans le cadre d’un mélange en l’honneur d’une professeure et n’a ainsi pas vocation à être exhaustif comme pourrait éventuellement l’être, par exemple, une thèse de doctorat ou un ouvrage. On ne saurait dès lors suivre les critiques des recourants selon lesquelles l’intimé n’aurait pas pris en considération tel ou tel ouvrage de doctrine, un rapport des Nations Unies, la jurisprudence de la CourEDH ou le fait que des affaires seraient encore pendantes devant cette cour. 

Par ailleurs, il est peut-être vrai que l’intimé a fait référence à des arrêts rendus par le Tribunal fédéral qui portent, comme pour les recourants, sur un complexe de faits qui découle de la manifestation qui s’est déroulée le 20 septembre 2019, voire de celle du 27 septembre 2019, à U.________. Cependant, les recourants ne prétendent pas que les précédents mentionnés par l’intimé porteraient précisément sur les causes qui les concernent personnellement et que celui-ci aurait donc déjà statué à l’avance sur leur cas. Pour le reste, ils ne s’en prennent pas au raisonnement pertinent de la cour cantonale, à savoir que le juge est supposé connaître la jurisprudence, en particulier celle du Tribunal fédéral, que – ne leur en déplaise – celle-ci ne leur est généralement pas favorable, notamment lorsqu’ils causent des nuisances ou utilisent des moyens qui excèdent le niveau de perturbation toléré, et que cette ligne de jurisprudence n’est dès lors nullement imputable à l’intimé. Sur ce point, on peut préciser qu’il n’y a pas lieu de suivre les recourants lorsqu’ils affirment que la conclusion de l’intimé – en ce sens qu’une sanction poursuit, dans ces cas, un but légitime et est conforme aux exigences de la CourEDH – se rapporterait aux faits qui leur sont reprochés, dès lors que cela ne ressort pas de l’article litigieux et que cette conclusion a une teneur plus générale. Ainsi, on ne saurait reprocher à l’intimé d’avoir, dans son article, formulé quelques remarques, brèves et mesurées, allant dans le sens de la jurisprudence du Tribunal fédéral. En définitive, les recourants ne fournissent pas d’indice permettant de considérer que l’intimé ne pourra pas examiner, d’une façon ouverte et complète, les arguments invoqués par les recourants et les questions déterminantes qui se poseront devant lui lors de l’examen concret de leur cause.

 Il s’ensuit que l’autorité cantonale n’a pas violé le droit fédéral en considérant qu’il n’existait en l’espèce aucun motif de récusation au sens de l’art. 56 let. f CPP et en rejetant les requêtes de récusation des recourants. 

Me Philippe Ehrenström, avocat, LLM

Publié dans Droit pénal, Procédure | Tagué , , , | Laisser un commentaire

Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 4e partie)

Publié le 22 décembre 2024 par Me Philippe Ehrenström

Nous avons vu que les rh techs sont susceptibles d’entrer dans la catégorie des systèmes d’intelligence artificielle (SIA ou système(s) d’IA)) à hauts risques au sens du Règlement européen sur l’intelligence artificielle (RIA ; https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/). Nous avons examiné le champs d’application du RIA (https://droitdutravailensuisse.com/2024/12/20/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-3e-partie/), puis avons traité d’une première obligation s’appliquant aux systèmes d’IA à hauts risques (système de gestion des risques : https://droitdutravailensuisse.com/2024/12/19/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-2e-partie/).

Nous continuons aujourd’hui par une seconde série d’obligations s’appliquant aux systèmes d’IA à hauts risques concernant les données et leur gouvernance (art. 10 RIA).

Les systèmes d’IA à haut risque faisant appel à des techniques qui impliquent l’entraînement de modèles d’IA au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères de qualité de l’art. 10 du Règlement chaque fois que ces jeux de données sont utilisés (Données et gouvernance des données).

Les jeux de données d’entraînement, de validation et de test sont soumis à des pratiques en matière de gouvernance et de gestion des données appropriées à la destination du système d’IA à haut risque. Ces pratiques concernent en particulier: les choix de conception pertinents; les processus de collecte de données et l’origine des données, ainsi que, dans le cas des données à caractère personnel, la finalité initiale de la collecte de données; les opérations de traitement pertinentes pour la préparation des données, telles que l’annotation, l’étiquetage, le nettoyage, la mise à jour, l’enrichissement et l’agrégation; la formulation d’hypothèses, notamment en ce qui concerne les informations que les données sont censées mesurer et représenter; une évaluation de la disponibilité, de la quantité et de l’adéquation des jeux de données nécessaires; un examen permettant de repérer d’éventuels biais qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes, d’avoir une incidence négative sur les droits fondamentaux ou de se traduire par une discrimination interdite par le droit de l’Union, en particulier lorsque les données de sortie influencent les entrées pour les opérations futures (boucle de rétroaction); les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés; la détection de lacunes ou déficiences pertinentes dans les données qui empêchent l’application du règlement, et la manière dont ces lacunes ou déficiences peuvent être comblées.

Les jeux de données d’entraînement, de validation et de test sont pertinents, suffisamment représentatifs et, dans toute la mesure possible, exempts d’erreurs et complets au regard de la destination. Ils possèdent les propriétés statistiques appropriées, y compris, le cas échéant, en ce qui concerne les personnes ou groupes de personnes à l’égard desquels le système d’IA à haut risque est destiné à être utilisé. Ces caractéristiques des jeux de données peuvent être remplies au niveau des jeux de données pris individuellement ou d’une combinaison de ceux-ci.

Les jeux de données tiennent compte, dans la mesure requise par la destination, des caractéristiques ou éléments propres au cadre géographique, contextuel, comportemental ou fonctionnel spécifique dans lequel le système d’IA à haut risque est destiné à être utilisé.

Dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, les fournisseurs de ces systèmes peuvent exceptionnellement traiter des catégories particulières de données à caractère personnel (art. 9 RGPD, « données sensibles » dirait-on en Suisse), sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques. Outre les dispositions [notamment] du RGPD, toutes les conditions suivantes doivent être réunies pour que ce traitement puisse avoir lieu: la détection et la correction des biais ne peuvent être satisfaites de manière efficace en traitant d’autres données, y compris des données synthétiques ou anonymisées; les catégories particulières de données à caractère personnel sont soumises à des limitations techniques relatives à la réutilisation des données à caractère personnel, ainsi qu’aux mesures les plus avancées en matière de sécurité et de protection de la vie privée, y compris la pseudonymisation; les catégories particulières de données à caractère personnel font l’objet de mesures visant à garantir que les données à caractère personnel traitées sont sécurisées, protégées et soumises à des garanties appropriées, y compris des contrôles stricts et une documentation de l’accès, afin d’éviter toute mauvaise utilisation et de veiller à ce que seules les personnes autorisées ayant des obligations de confidentialité appropriées aient accès à ces données à caractère personnel; les catégories particulières de données à caractère personnel ne doivent pas être transmises, transférées ou consultées d’une autre manière par d’autres parties; les catégories particulières de données à caractère personnel sont supprimées une fois que le biais a été corrigé ou que la période de conservation des données à caractère personnel a expiré, selon celle de ces deux échéances qui arrive en premier; les registres des activités de traitement comprennent les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel était strictement nécessaire pour détecter et corriger les biais, ainsi que la raison pour laquelle cet objectif n’a pas pu être atteint par le traitement d’autres données. (Consid. 70)

En ce qui concerne le développement de systèmes d’IA à haut risque qui ne font pas appel à des techniques qui impliquent l’entraînement de modèles d’IA, ce qui précède s’applique uniquement aux jeux de données de test.

Les exigences relatives à la gouvernance des données peuvent être respectées en faisant appel à des tiers qui proposent des services de conformité certifiés, y compris la vérification de la gouvernance des données, l’intégrité des jeux de données et les pratiques d’entraînement, de validation et de mise à l’essai des données, dans la mesure où le respect des exigences du présent règlement en matière de données est garanti. (Consid. 67)

Pour le développement et l’évaluation de systèmes d’IA à haut risque, certains acteurs, tels que les fournisseurs, les organismes notifiés et d’autres entités concernées, telles que les pôles européens d’innovation numérique, les installations d’expérimentation et d’essai et les centres de recherche, devraient être en mesure d’avoir accès à des jeux de données de haute qualité dans leurs domaines d’activité liés au présent règlement et d’utiliser de tels jeux de données. Les espaces européens communs des données et la facilitation du partage de données d’intérêt public entre les entreprises et avec le gouvernement seront essentiels pour fournir un accès fiable, responsable et non discriminatoire à des données de haute qualité pour l’entraînement, la validation et la mise à l’essai des systèmes d’IA. (Consid. 68)

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle | Tagué , , , , , , | Laisser un commentaire

Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 3e partie)

Publié le 20 décembre 2024 par Me Philippe Ehrenström

Nous avons vu qu’à teneur de l’art. 6 § 2 du Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (…)  (Règlement sur l’intelligence artificielle ou RIA; https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689), et de son annexe III (ch. 4), les systèmes d’IA à haut risque sont notamment les suivants : systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats (let. a) ; et les systèmes d’IA destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations (let. b). Nous avons également vu pourquoi. (Cf. https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/).

Nous avons également esquissé une des conséquences de cette qualification, qui est le système de gestion des risques de l’art. 9 RIA (https://droitdutravailensuisse.com/2024/12/19/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-2e-partie/).

Petit retour en arrière aujourd’hui pour examiner le champ d’application du RIA :

A teneur de l’article 3 paragraphe 1 RIA, le règlement s’applique notamment aux fournisseurs établis ou situés dans l’Union ou dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’Union et aux fournisseurs et aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers lorsque les sorties produites par le système d’IA sont utilisées dans l’Union.

Est considéré comme un fournisseur toute personne physique ou morale, autorité publique, agence ou autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (art. 3 point 3 RIA).

Le déployeur est, quant à lui, une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel (art. 3 point 4 RIA).

Le système d’IA est un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels (art. 3 point 1 RIA).

Le modèle d’IA à usage général est un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché (art. 3 point 63 RIA). En d’autres termes, les modèles d’IA sont généralement intégrés dans un système d’IA, car ils ont besoin d’autres composants, tels une interface utilisateur p.ex. (RIA, consid. 97). Le caractère « général » d’un modèle d’IA peut, entre autres, être déterminé par le nombre de paramètres. Les grands modèles d’IA génératifs sont des exemples typiques d’un « modèle d’IA à usage général » (RIA, consid. 99).

Le RIA a donc un large champ d’application couvrant non seulement les acteurs au sein de l’UE, mais aussi ceux qui sont en dehors si leurs systèmes d’IA affectent des personnes dans l’UE ou si des résultats générés par des systèmes d’IA localisés en dehors de l’UE sont utilisés dans l’UE. A l’instar du RGPD, le règlement sur l’intelligence artificielle a donc une portée extraterritoriale significative.

A cela s’ajoute que les systèmes d’IA utilisés dans les ressources humaines sont des outils complexes, qui ne peuvent être développés que pour le marché suisse. En d’autres termes, le RIA risque bien, comme le RGPD, de devenir une sorte de standard de facto pour ce genre de RH Techs.

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle | Tagué , , , | Laisser un commentaire

Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 2e partie)

Publié le 19 décembre 2024 par Me Philippe Ehrenström

Nous avons vu hier qu’à teneur de l’art. 6 § 2 RIA et de son annexe III (ch. 4), les systèmes d’IA à haut risque sont notamment les suivants : systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats (let. a) ; et les systèmes d’IA destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations (let. b). Nous avons également vu pourquoi. (Cf. https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/).

Penchons-nous maintenant sur quelques-unes des conséquences de cette qualification, la première étant le système de gestion des risques de l’art. 9.

En effet, le RIA définit  toute une série d’exigences applicables aux systèmes d’IA à haut risque (art. 9 et ss.). Pour garantir le respect de ces exigences, il est tenu compte du système de gestion des risques prévu à l’article 9 du règlement, qui doit être mis en œuvre, documenté et tenu à jour.

Ce système de gestion des risques s’entend comme étant un processus itératif continu qui est planifié et se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’un examen et d’une mise à jour méthodiques. Ce processus devrait viser à identifier et à atténuer les risques des systèmes d’IA qui se posent pour la santé, la sécurité et les droits fondamentaux. Le système de gestion des risques devrait être régulièrement réexaminé et mis à jour afin de garantir le maintien de son efficacité, ainsi que la justification et la documentation de toutes les décisions et mesures importantes prises en vertu du règlement. Ce processus devrait garantir que le fournisseur détermine les risques ou les incidences négatives et mette en œuvre des mesures d’atténuation des risques connus et raisonnablement prévisibles des systèmes d’IA pour la santé, la sécurité et les droits fondamentaux à la lumière de leur destination et de leur mauvaise utilisation raisonnablement prévisible, y compris les risques éventuels découlant de l’interaction entre les systèmes d’IA et l’environnement dans lequel ils fonctionnent.

Le système de gestion des risques devrait adopter les mesures de gestion des risques les plus appropriées à la lumière de l’état de la technique en matière d’IA. Lorsqu’il détermine les mesures de gestion des risques les plus appropriées, le fournisseur devrait documenter et expliquer les choix effectués et, le cas échéant, associer des experts et des parties prenantes externes. Lorsqu’il s’agit de déterminer la mauvaise utilisation raisonnablement prévisible des systèmes d’IA à haut risque, le fournisseur devrait couvrir les utilisations des systèmes d’IA dont on peut raisonnablement prévoir, bien qu’elles ne soient pas directement couvertes par la destination et prévues dans la notice d’utilisation, qu’elles résultent d’un comportement humain aisément prévisible dans le contexte des caractéristiques et de l’utilisation spécifiques d’un système d’IA donné.

Toutes circonstances connues ou prévisibles liées à l’utilisation du système d’IA à haut risque conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisible, susceptibles d’entraîner des risques pour la santé, la sécurité ou les droits fondamentaux, devraient figurer dans la notice d’utilisation fournie par le fournisseur. Il s’agit de veiller à ce que le déployeur en ait connaissance et en tienne compte lors de l’utilisation du système d’IA à haut risque.

La détermination et la mise en œuvre de mesures d’atténuation des risques en cas de mauvaise utilisation prévisible au titre du présent règlement ne devraient pas nécessiter de la part du fournisseur, pour remédier à la mauvaise utilisation prévisible, des mesures d’entraînement supplémentaires spécifiques pour le système d’IA à haut risque. Les fournisseurs sont toutefois encouragés à envisager de telles mesures d’entraînement supplémentaires pour atténuer les mauvaises utilisations raisonnablement prévisibles, si cela est nécessaire et approprié. (Consid. 65)

 Le processus comprend les étapes suivantes: identification et analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination; estimation et évaluation des risques susceptibles d’apparaître lorsque le système d’IA à haut risque est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible; évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance après commercialisation (article 72) ; et adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés.

Pour déterminer les mesures de gestion des risques les plus adaptées, il convient de veiller à: éliminer ou réduire les risques identifiés et évalués autant que la technologie le permet grâce à une conception et à un développement appropriés du système d’IA à haut risque; mettre en œuvre, le cas échéant, des mesures adéquates d’atténuation et de contrôle répondant aux risques impossibles à éliminer; et fournir aux déployeurs les informations requises conformément à l’article 13 du règlement (Transparence et fourniture d’informations aux déployeurs) et, éventuellement, une formation.  En vue de l’élimination ou de la réduction des risques liés à l’utilisation du système d’IA à haut risque, il est dûment tenu compte des connaissances techniques, de l’expérience, de l’éducation et de la formation pouvant être attendues du déployeur, ainsi que du contexte prévisible dans lequel le système est destiné à être utilisé.

Les systèmes d’IA à haut risque sont soumis à des essais, y compris en situations réelles (art. 60) afin de déterminer les mesures de gestion des risques les plus appropriées et les plus ciblées. Les essais garantissent que les systèmes d’IA à haut risque fonctionnent de manière conforme à leur destination et qu’ils sont conformes aux exigences. Les tests des systèmes d’IA à haut risque sont effectués, selon les besoins, à tout moment pendant le processus de développement et, en tout état de cause, avant leur mise sur le marché ou leur mise en service. Les tests sont effectués sur la base d’indicateurs et de seuils probabilistes préalablement définis, qui sont adaptés à la destination du système d’IA à haut risque.

Lors de la mise en œuvre du système de gestion des risques, les fournisseurs prennent en considération la probabilité que, compte tenu de sa destination, le système d’IA à haut risque puisse avoir une incidence négative sur des personnes âgées de moins de 18 ans et, le cas échéant, sur d’autres groupes vulnérables.

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle | Tagué , , , , , , , | Laisser un commentaire

Publier les photographies de ses enfants en ligne : consentement des deux parents?

Publié le 19 décembre 2024 par Me Philippe Ehrenström

L’auteur de ces lignes, quoiqu’il soit d’un âge rassis et d’un naturel méfiant, ce qui l’incite à n’utiliser les réseaux sociaux qu’avec parcimonie, a été souvent très surpris (et c’est un euphémisme) par la rage de jeunes parents (et de moins jeunes) à publier des photographies de leur progéniture, en toutes les étapes et activités de leur âge. Il est très rare que les visages des enfants soient floutés et masqués, et cela entraîne notamment, pour les malheureux, une « empreinte numérique » conséquente avant même qu’ils aient atteint l’âge de raison.

Raison de plus pour lire la très sensée décision no 10076481 du Garante per la protezione dei dati personali datée du 13 novembre 2024, publiée, traduite et résumée sur gdprhub (https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10076481&mtc=today):

Le père de la personne concernée, un enfant de moins de 14 ans, a partagé une photo d’elle sur Facebook. L’objectif de cette publication était de montrer à quel point la personne concernée ressemblait à son demi-frère, qui figurait également sur la photo.

La mère de la personne concernée, divorcée du père, a formellement demandé au père de retirer la photo de Facebook, estimant que ce traitement était illicite. Vu le refus du père, elle a saisi l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali).

Comme cela ne s’est pas produit, la mère a déposé une plainte auprès de la DPA italienne (Garante per la protezione dei dati personali ).

Le père a notamment fait valoir qu’il avait le droit de publier cette photo sur Internet, puisque la garde de l’enfant était partagée entre les deux parents.

La mère a fait valoir que, selon la jurisprudence nationale constante, la publication en ligne de photos de mineurs est un acte qui va au-delà de l’« administration normale ». Par conséquent, conformément à l’article 320(1) du code civil italien ( Codice civile – cc ), le consentement des deux parents était nécessaire.

L’APD a d’abord noté que, conformément à l’article 8(1) du RGPD, l’article 2-quinquies(1) du Code italien de protection des données (D.lgs. 196/2003) a fixé l’âge du consentement d’un enfant à 14 ans, âge que n’avait pas atteint la personne concernée . Par conséquent, l’APD a considéré que le consentement des deux parents était nécessaire pour publier cette photo.

L’APD a aussi souligné de jurisprudence constante les tribunaux italiens stipulent que le consentement des deux parents est nécessaire pour partager légalement des photos d’enfants en ligne. Aux fins du partage de photos de l’enfant, il n’est pas pertinent que les parents aient la garde conjointe, et donc le consentement des deux parents est toujours nécessaire (voir, par exemple, Trib. Rieti, sent. n. 443, 17/10/2022 ; Trib. Ravenna, sent. n. 1038, 15/10/2019 ).

L’APD a donc estimé que le traitement en question manquait de base juridique valable. Pour ces raisons, l’APD a constaté une violation des articles 5(1)(a) , 6 et 8 du RGPD et de l’article 2-quinquies(1) du Code italien de protection des données .Elle a donc adressé un avertissement au père et, conformément à l’article 58 du RGPD, lui a interdit de continuer à traiter la photo.

NB : évidemment, l’idéal serait de ne rien publier du tout, ou de toujours masquer le visage des mineurs, mais le double consentement des parents est déjà un début…

Me Philippe Ehrenström, avocat, LLM

Publié dans Protection des données, RGPD | Tagué , , , , , | Laisser un commentaire

Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 1ère partie)

Publié le 18 décembre 2024 par Me Philippe Ehrenström

A teneur de l’art. 6 par. 2 du Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (…)  (Règlement sur l’intelligence artificielle ou RIA; https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689) et de son annexe III (ch. 4), les systèmes d’intelligence artificielle (SIA) à haut risque sont notamment les suivants : systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats (let. a) ; et les systèmes d’IA destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations (let. b).

Ces systèmes sont classés à haut risque car ils peuvent avoir une incidence considérable sur les perspectives de carrière et les moyens de subsistance des personnes concernées ainsi que sur les droits des travailleurs. Tout au long du processus de recrutement et lors de l’évaluation, de la promotion ou du maintien des personnes dans des relations professionnelles contractuelles, les systèmes d’IA peuvent perpétuer des schémas historiques de discrimination, par exemple à l’égard des femmes, de certains groupes d’âge et des personnes handicapées, ou de certaines personnes en raison de leur origine raciale ou ethnique ou de leur orientation sexuelle. Les systèmes d’IA utilisés pour surveiller les performances et le comportement de ces personnes peuvent aussi porter atteinte à leurs droits fondamentaux à la protection des données et à la vie privée. Les relations professionnelles contractuelles en question concernent également celles qui lient les employés et les personnes qui fournissent des services sur des plateformes. (RIA, consid. 57)

Selon l’art. 6 paragraphe 3, et par dérogation à l’art. 6 paragraphe 2, un SIA visé à l’annexe III n’est pas considéré comme étant à haut risque lorsqu’il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris en n’ayant pas d’incidence significative sur le résultat de la prise de décision. C’est le cas lorsque l’une des conditions suivantes est remplie : le système d’IA est destiné à accomplir un tâche procédurale étroite, comme transformer des données non structurées en données structurées, classer les documents entrants par catégories ou détecter les doublons parmi un grand nombre d’applications – ces tâches sont par nature si étroites et limitées qu’elles ne présentent que des risques limités, qui ne sont pas exacerbés par une utilisation d’un système d’IA; le système d’IA est destiné à améliorer le résultat d’une activité humaine préalablement réalisée – le système d’IA n’ajoute alors qu’une couche supplémentaire à une activité humaine, ce qui présente par conséquent un risque réduit (systèmes d’IA destinés à améliorer la façon dont un document est rédigé, pour lui donner un ton professionnel ou un style académique ou pour l’adapter à un message de marque défini par exemple) ; le système d’IA est destiné à détecter les constantes en matière de prise de décision ou les écarts par rapport aux constantes habituelles antérieures et n’est pas destiné à se substituer à l’évaluation humaine préalablement réalisée, ni à influencer celle-ci, sans examen humain approprié – le risque serait réduit parce que l’utilisation du système d’IA intervient après la réalisation d’une évaluation humaine et n’est pas destinée à se substituer à celle-ci ni à l’influencer, sans examen humain approprié (par exemple :  systèmes d’IA qui, compte tenu de certaines constantes habituelles observées chez un enseignant au niveau de la notation, peuvent être utilisés pour vérifier a posteriori si l’enseignant s’est éventuellement écarté de ces constantes, de manière à signaler d’éventuelles incohérences ou anomalies; ou le système d’IA est destiné à exécuter une tâche préparatoire en vue d’une évaluation pertinente aux fins des cas d’utilisation visés à l’annexe III. (RIA, consid. 53)

Nonobstant ce qui précède, un système d’IA visé à l’annexe III est toujours considéré comme étant à haut risque lorsqu’il effectue un profilage de personnes physiques au sens de l’art. 4 point 4 RGPD.

Afin de garantir la traçabilité et la transparence, un fournisseur qui considère qu’un système d’IA n’est pas à haut risque sur la base des conditions susvisées devrait documenter l’évaluation avant la mise sur le marché ou la mise en service de ce système et fournir cette documentation aux autorités nationales compétentes sur demande. Ce fournisseur devrait être tenu d’enregistrer le système d’IA dans la base de données de l’UE établie en vertu du RIA (RIA article 6 par. 4 et consid. 53).  En vue de fournir des orientations supplémentaires pour la mise en œuvre pratique des critères en fonction desquels des systèmes d’IA répertoriés dans la liste figurant dans une annexe du présent règlement sont, à titre exceptionnel, des systèmes qui ne sont pas à haut risque, la Commission devrait, après consultation du Comité IA, fournir des lignes directrices précisant cette mise en œuvre pratique, assorties d’une liste exhaustive d’exemples pratiques de cas d’utilisation de systèmes d’IA qui sont à haut risque et de cas d’utilisation qui ne le sont pas. (RIA article 6 par. 5, consid. 53)

Me Philippe Ehrenström, avocat, LLM

Publié dans intelligence artificielle, Protection des données | Tagué , , , , , | Laisser un commentaire

Immediate dismissal of an executive who has undue access to his superior’s e-mail system

Publié le 16 décembre 2024 par Me Philippe Ehrenström

The appellant [the employee] considers that his immediate dismissal was unjustified. He criticises the Tribunal des prud’hommes for considering that he had breached his duty of loyalty by not calling his hierarchical superior after discovering that he had access to his electronic mailbox.

The employer and the employee may terminate the contract immediately at any time for just cause (art. 337 para. 1 CO).

Just cause includes all circumstances which, in accordance with the rules of good faith, do not allow the person giving notice to be required to continue the employment relationship (art. 337 para. 2 CO).

Immediate termination for just cause is an exceptional measure and must be accepted restrictively. Only a particularly serious breach can justify such a measure; if the breach is less serious, it can only lead to immediate termination if it has been repeated despite a warning (…). Breach is generally understood to mean the violation of an obligation arising from the employment contract, but other incidents may also justify such a measure. The breach must be objectively such as to destroy the relationship of trust essential to the employment contract or, at least, to affect it so profoundly that the continuation of the employment relationship cannot reasonably be required. Moreover, it must have actually led to such a result.

The judge is free to assess whether there are just grounds for instant dismissal (art. 337 para. 3 of the Swiss Code of Obligations). He applies the rules of law and equity (art. 4 CC). To this end, he will take into consideration all the elements of the particular case, in particular the position and responsibility of the employee, the type and duration of the contractual relationship, as well as the nature and extent of the breaches (…). The position of the employee, his function and the responsibilities entrusted to him may result in greater demands being made on his rigour and loyalty (BGE 130 III 28, para. 4.1; Federal Court ruling 4A_333/2023 of 23 February 2024).

In ATF 130 III 28, the Federal Court ruled that the employer was entitled to dismiss with immediate effect and without prior warning the employee, who had been entrusted with overseeing the company’s business during the illness of its director, and who had set up access, from his personal computer, to all of his boss’s electronic mail, without the latter’s knowledge, even though he knew that the director’s address was private. Thanks to this system, he had been able to enter his superior’s e-mail, without having to type in the latter’s user name or password, who was unaware of the diversion. (…)  In the case in question, the Federal Court held that neither the management task entrusted to the employee nor an overriding interest of the employer justified such a deviation. In this context, even if it had not been possible to prove that the employee had become aware of the private messages, the mere fact that he had allowed himself free access to them already infringed the confidentiality of communications and constituted a violation of the director’s private sphere. Such behaviour was likely to result in the loss of the relationship of trust that formed the basis of the employment contract, which allowed the employer to terminate it with immediate effect, without prior warning.

In a more recent ruling (Federal Court ruling 4A_333/2023 of 23 February 2024), the Federal Court also held that the employer was entitled to dismiss with immediate effect and without prior warning the employee who had accessed the school principal’s computer located on her desk, which was accessible to the school’s employees, and had carried out detailed investigations into the personal files of the school’s pupils and employees and consulted the principal’s personal and private documents. He then threatened to use confidential documents of current and former school staff against the interests of the headmistress, and made it known that he himself held these documents. He had also become aware of exchanges between the school principal and the tax authorities concerning her family situation, as well as private exchanges between her and her mother. In this case, the Federal Court held that it was irrelevant by what means or with what authorisation the employee had accessed the files, including sensitive or highly personal data of the headmistress, teachers or pupils, since in any event his behaviour went well beyond ‘unhealthy curiosity’, was inadmissible and of such a nature as to break the necessary bond of trust between the employer and him. The fact that access to the headmistress’ computer had been possible did not entitle the employee to venture onto it and extract information from it, retain it and threaten to use it against the school headmistress. Furthermore, the fact that the employer had had the clear intention of terminating him for several months was irrelevant.

In the present case, the appellant admitted that he had consulted his superior’s work-related e-mails; he disputed, however, that he had read the private e-mails, to which he did not deny having had access.

The appellant is wrong to claim that he was authorised to act in this way, on the grounds that his superior had delegated such access to him, which is disputed (…). It is clear from the explanations provided by the appellant that his superior had not expressly told him that, in addition to access to his calendar, he was also giving him access to his e-mail, so that the appellant could not assume that this was the case, especially as the e-mail also contained C______’s private correspondence. It must therefore be accepted that C, by authorising certain of his employees, including the appellant, to consult his calendar, was unaware that, by selecting an option in the computer system, they would also have access to his e-mail. It is also clear from the proceedings that the other employees of C______, even though they were authorised to consult his calendar in the same way as the appellant, did not feel entitled to access his messages and did not make use of the option allowing them to be read. Moreover, the appellant did not gain access to C______’s e-mail system “by chance”, but deliberately clicked on an option offered by the computer system to do so, even though his superior had only discussed access to his calendar. It will also be noted that while the practice of delegation was not exceptional, it was not systematic within the employer, so that the appellant cannot rely on it.

The appellant’s explanation that he thought he had the right to consult his superior’s e-mail in order to ‘harmonise his work within the department’ was not convincing. The appellant did not provide any useful explanation of the alleged need to ‘harmonise work’, nor did he establish that knowledge of certain of his superior’s emails would have been necessary for his own work. It also emerged from the file that he had transferred certain documents to his personal network, in particular documents concerning potential candidates for a position with the respondent, which clearly had no connection with his own work and did not concern him in any way. The explanation that he was in a state of stress at the time of these transfers does not justify his actions.

The appellant could not be considered to have believed, in good faith, that he had access to his superior’s email. In fact, it contained not only professional e-mails, but also private exchanges, in particular with his tax advisor, his wife and his children’s school. The confidential nature of these exchanges should, in any event, have raised doubts in the appellant’s mind about the delegation of messaging which, according to his argument, he believed he had. The Tribunal was therefore right to hold that fairness would have required the appellant to make his superior aware of the fact that he had access to his e-mail, in particular to messages concerning his private life, whether or not they had been consulted. However, not only did the appellant fail to do so, but on the contrary, he put the messages to which he had had access in ‘unread’ mode, which, given his general behaviour, suggests that he intended to hide his actions from his superior, said actions having continued for a period of some two years.

Nor can we agree with the appellant when he argues that his behaviour was understandable, since he was trying to find out why the company wanted to let him go. His intrusion into his superior’s mailbox predated the respondent’s intention to replace him by several months.

Moreover, the fact that the appellant had not made use of the information that had come to his knowledge by consulting his superior’s e-mail and that there had been no leakage of data did not detract from the fact that his behaviour was disloyal to his employer and likely to irreparably break the trust that had been placed in him. A simple warning would not have been likely to restore the trust that had been lost, given that the appellant held a managerial position in the company, which implied greater loyalty on his part than that expected of a mere employee.

Curiously, the appellant seems to consider that the fact that he learned of his superior’s messages ‘remotely’ makes his misconduct less serious. Admittedly, the appellant did not ‘break into’ C______’s messaging system. However, without being authorised to do so, he used an option offered by the computer system and persisted in his intrusive behaviour over a long period of time, without his superior’s knowledge. His misconduct must therefore be considered serious.

In view of the foregoing, the trial judges were right to consider that the appellant’s immediate dismissal was justified, given that he held a managerial position in the company, that he had a duty to set an example and that he had behaved disloyally, leading to an irremediable break in the bond of trust with the respondent.

The contested judgment will therefore be upheld on this point.

(CJ GE Chambre des prud’hommes CAPH/96/2024 of 25.11.2024, recital 4)

Me Philippe Ehrenström, avocat / attorney, LLM

Publié dans Licenciement immédiat | Tagué , , , , , | Laisser un commentaire