L’utilisation de l’IA dans la communication interne est-elle autorisée au regard de l’AI Act européen ?

EU AI Act France
Lisa Mühsig, Staffbase

Lisa Mühsig dans IA

Storytelling Strategist
Publié
Temps de lecture
12 minutes

La réponse courte

L’intelligence artificielle (IA) dans l’intranet est autorisée dans la grande majorité des cas au regard de l’EU AI Act. La raison : les applications typiques (assistants IA, recherche intelligente, résumés automatiques) relèvent des catégories de risque les plus faibles du règlement et ne prennent aucune décision concernant des personnes. L’EU AI Act repose sur une approche par les risques : plus un système d’IA influe sur des individus ou décide à leur sujet, plus la réglementation est stricte. L’IA dans l’intranet est conçue pour aider les collaborateurs, non pour décider à leur place. C’est l’appréciation claire des experts en droit du numérique et de l’IT spécialisés en EU AI Act et en RGPD qui accompagnent des entreprises françaises sur ces sujets.

Le vrai risque de conformité ne vient pas de l’EU AI Act, mais du RGPD. Il s’applique dès lors que des données à caractère personnel sont traitées, ce qui est presque toujours le cas lorsqu’une entreprise déploie de l’IA. En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle compétente en matière de RGPD : ses recommandations et ses lignes directrices sur l’usage de l’IA constituent une référence incontournable pour toute organisation. Se limiter à vérifier sa conformité à l’EU AI Act, c’est se poser la mauvaise question.


Comment fonctionne la classification des risques de l’EU AI Act ?

EU AI Act graphic 1Le règlement distingue quatre catégories. Les systèmes interdits (manipulation, reconnaissance des émotions sur le lieu de travail, notation sociale) ne peuvent pas être déployés. Les applications à haut risque, comme la sélection automatisée de candidats ou les décisions RH, sont autorisées mais soumises à des obligations strictes. Les IA soumises à des obligations de transparence, comme les images ou textes trompeusement réalistes, doivent être identifiées comme générées par IA. Enfin, les IA à risque minimal, dans lesquelles s’inscrivent la plupart des applications intranet, sont largement non réglementées.

Application IA en entreprise

Risque EU AI Act

Exemple dans le contexte intranet

Ce que cela signifie concrètement

Assistant IA pour les questions RH

Minimal

Réponses sur les congés, les règlements internes

Peu d’obligations au titre de l’EU AI Act. Appliquer le RGPD dès que des données de profil sont utilisées

Résumés automatiques

Minimal

Actualités, mises à jour, articles

Aucune réglementation directe

Contenus personnalisés (ex. : podcast IA)

Minimal / Limité

Contenus fondés sur les profils collaborateurs

Niveau EU AI Act faible, mais finalité de l’utilisation des données soumise au RGPD

Contenus générés par IA

Limité

Textes, images, vidéos synthétiques

Mention obligatoire si le caractère IA n’est pas évident

Interactions IA enregistrées à des fins d’analyse

Limité / Zone grise

Questions posées à un assistant IA exploitées ultérieurement

Admissible pour l’optimisation du système, pas pour l’évaluation de collaborateurs individuels

Outil de visioconférence avec analyse comportementale

Haut risque

Avatar évaluant des entretiens commerciaux

Autorisé, mais obligations strictes. Pas de notation sociale, mais proche

Chatbot de recrutement influençant la sélection

Haut risque

Conseils ou critères fournis lors du recrutement

Exigences strictes, contrôle humain obligatoire

Reconnaissance des émotions sur le lieu de travail

Interdit

Analyse de webcam sur les expressions faciales

Non autorisé

Le plus grand malentendu : « Respecter l’EU AI Act suffit à être en règle ! »

C’est un constat que les experts en droit du numérique et de l’IT font régulièrement dans leur pratique de conseil : de nombreuses entreprises réagissent à l’EU AI Act comme elles l’avaient fait face à l’entrée en vigueur du RGPD, en attendant que les choses se clarifient. C’est compréhensible, mais cela mène à une conclusion erronée.

Les règles les plus strictes du règlement ne visent pas l’IA dans l’intranet. Elles ciblent quelque chose de bien précis : les systèmes qui influencent les personnes à leur insu, décident à leur place ou les évaluent. Sont ainsi interdits la manipulation, la notation sociale et la reconnaissance des émotions sur le lieu de travail. Sont à haut risque, notamment, les systèmes automatisés de sélection de candidats ou l’IA dans la gestion RH, parce que les droits fondamentaux et l’égalité des chances y sont en jeu.

Vérifier sa conformité à l’EU AI Act et considérer le travail de conformité comme terminé, c’est ignorer le deuxième obstacle. Comme le formulent les experts du domaine : une fois l’EU AI Act écarté, c’est là que le vrai sujet commence. Viennent ensuite le RGPD et le droit du travail.

Quelles applications IA en entreprise peuvent poser de vrais problèmes ?

La frontière entre IA autorisée et IA problématique ne se situe pas là où beaucoup le supposent. Ce n’est pas l’outil qui compte, mais ce qu’il fait des données et les conséquences que cela entraîne pour les collaborateurs.

Trois situations concrètes qui soulèvent des questions réglementaires :

Reconnaissance des émotions sur le lieu de travail

Un logiciel de webcam qui analyse en continu si les collaborateurs semblent stressés ou irrités et met ces données à la disposition de l’employeur constitue un cas typique d’interdiction. Le même problème peut se poser sans caméra : si des commentaires ou des textes publiés dans l’intranet sont automatiquement analysés pour en déduire l’état d’esprit de personnes identifiables, on entre dans une zone juridique grise qui exige une évaluation approfondie.

Sélection automatisée de candidats

Un chatbot qui fournit des conseils aux candidats ou leur soumet des critères de sélection cesse d’être un outil neutre : il devient une application à haut risque, parce qu’il intervient dans des décisions qui engagent des carrières et où un jugement humain est indispensable.

Notation sociale

Les systèmes qui évaluent les collaborateurs en fonction de leur comportement ou de leur activité et relient ces scores à d’autres domaines, comme les primes ou les décisions d’avancement, sont interdits. Ce qui est déterminant, ce n’est pas seulement la collecte de scores, mais leur réutilisation arbitraire dans d’autres contextes.

Ce que ces situations ont en commun : elles évaluent des personnes, influencent leurs chances ou empiètent sur leur liberté de décision. C’est précisément le cœur des règles les plus strictes de l’EU AI Act. L’IA typiquement utilisée dans un intranet ne fait rien de tout cela. Elle aide les collaborateurs à trouver des informations, à comprendre des contenus et à communiquer plus efficacement.

Scénario

Pourquoi c’est problématique

Niveau de risque

Recommandation

Reconnaissance des émotions par webcam

Analyse en continu les états émotionnels des collaborateurs sans leur contrôle

Interdit

Ne pas déployer

Analyse de sentiment à partir de textes intranet

Déduit automatiquement l’état d’esprit de personnes identifiables (zone juridique grise)

Interdit / Zone grise

Évaluation juridique au cas par cas requise

Chatbot de recrutement influençant la sélection

Intervient dans des décisions déterminantes pour la carrière, où un jugement humain est nécessaire

Haut risque

Assurer un contrôle humain, respecter les obligations strictes

Notation sociale avec conséquences

Relie des évaluations comportementales à des primes ou des promotions, réutilisation arbitraire

Interdit

Ne pas déployer

Quelles applications IA dans l’intranet sont considérées comme à faible risque ?

La bonne nouvelle pour la communication interne, c’est que la réalité est moins complexe que beaucoup ne le craignent.

Les applications IA typiques dans un intranet relèvent en général de la catégorie à risque minimal ou limité. C’est le cas :

  • des assistants IA qui répondent directement aux questions des collaborateurs sur les règlements RH ou les processus internes ;

  • d’une recherche intelligente qui synthétise les contenus de l’intranet et les présente de façon structurée ;

  • des traductions automatiques, des résumés d’articles ou de l’assistance à la rédaction AI-powered.

Toutes les applications IA de plateformes comme Staffbase sont classées à risque minimal ou limité.

Ce que ces applications ont en commun : elles ne prennent aucune décision concernant les collaborateurs, ne traitent pas de données biométriques et n’influencent ni les carrières ni les chances. Elles servent à rendre le savoir plus accessible et la communication plus efficace.

Une réserve importante s’applique néanmoins ici aussi : un faible risque au regard de l’EU AI Act ne signifie pas automatiquement la conformité. Dès lors que des données à caractère personnel sont traitées, par exemple lorsqu’un assistant IA accède à des profils collaborateurs ou analyse des comportements d’utilisation, le RGPD s’applique. Un faible niveau de risque EU AI Act n’entraîne donc pas nécessairement un faible effort en matière de protection des données.

Pourquoi la gouvernance est-elle décisive pour l’IA dans l’intranet ? Et pourquoi cela concerne-t-il surtout le RGPD ?

Beaucoup d’entreprises pensent maîtriser la protection des données parce qu’elles travaillent en conformité avec le RGPD depuis des années. C’est une erreur coûteuse : l’IA modifie profondément la situation en matière de protection des données, sans que la loi elle-même ait changé.

Le problème central réside dans la finalité. Le RGPD n’autorise le traitement de données à caractère personnel qu’aux fins exactes pour lesquelles elles ont été collectées. Une entreprise qui collecte des données sur ses collaborateurs pour la paie et les injecte ensuite dans un système IA qui en fait un usage tout différent sort rapidement du cadre légal initial, souvent sans s’en rendre compte. Les systèmes IA élargissent considérablement la finalité des données existantes. C’est la dimension protection des données à laquelle beaucoup ne pensent pas.

Le RGPD part du principe que tout traitement est interdit sauf s’il repose sur une base légale. Pour l’IA en contexte professionnel, deux bases légales sont principalement envisageables : le consentement et l’intérêt légitime. Toutes deux posent des difficultés dans ce contexte. Le consentement peut être retiré à tout moment. Or, si des données à caractère personnel ont déjà alimenté un modèle IA, il est pratiquement impossible de revenir en arrière. Quant à l’intérêt légitime, il exige une mise en balance rigoureuse entre l’intérêt de l’entreprise et celui de la personne concernée. Ce n’est pas une formalité, mais une analyse concrète au cas par cas.

S’ajoutent trois obligations que les entreprises doivent respecter lors du déploiement d’une IA :

  1. Disposer d’une base légale claire pour le traitement des données.

  2. Informer de manière transparente les personnes concernées de la façon dont leurs données sont utilisées et à quelles fins, y compris dans le contexte IA.

  3. Clarifier la question de la responsabilité : transmettre des données à un système IA d’un fournisseur tiers peut engager une responsabilité conjointe avec ce fournisseur, avec les conséquences contractuelles et organisationnelles que cela implique.

La protection des données n’est pas devenue une tâche plus simple avec l’IA. Il ne suffit plus de tenir à jour les registres de traitement et de recueillir des déclarations standard. L’IA oblige les entreprises à réévaluer leur pratique existante en matière de protection des données, en particulier là où des données transitent vers des systèmes dont la finalité initiale était tout autre.

Qui est responsable quand l’IA commet des erreurs en entreprise ?

L’IA n’est pas une excuse pour les erreurs. Ce principe vaut comme règle générale. Tout ce qu’un système IA produit et que les collaborateurs utilisent sans vérification est imputé à l’entreprise. La question n’est pas de savoir si l’IA s’est trompée, mais si l’entreprise a tout fait pour prévenir l’erreur.

Cela conduit directement à l’obligation de formation. Elle existe indépendamment de ce que l’EU AI Act prescrit explicitement, car elle découle de l’obligation générale d’organisation qui incombe à l’employeur. Toute entreprise qui autorise ses collaborateurs à utiliser des systèmes IA à des fins professionnelles, y compris des outils librement accessibles comme ChatGPT ou Claude, est tenue de les informer des risques et de les former. La raison profonde n’est pas altruiste : l’employeur se protège ainsi lui-même. Si une entreprise ne peut pas démontrer qu’elle a suffisamment formé ses collaborateurs, elle est responsable des erreurs résultant d’un usage non informé de l’IA.

Qu’est-ce qui constitue une formation IA suffisante ?

Pas la surveillance permanente de tous les collaborateurs, mais des règles claires. Un code de conduite ou un guide d’utilisation de l’IA, formalisé dans un accord d’entreprise ou une directive interne, suffit à remplir l’obligation d’organisation. Ce document doit préciser ce qui est autorisé, ce qui ne l’est pas, et que les résultats produits par l’IA doivent systématiquement être vérifiés. De nombreuses entreprises ont déjà mis cela en place : un guide interne d’utilisation, élaboré par les services compétents.

Point important : un guide sur le papier ne suffit pas s’il est ignoré dans la pratique.

Savoir que des collaborateurs enfreignent les règles sans intervenir fait perdre à ce guide la protection qu’il est censé offrir. Les mesures organisationnelles doivent être complétées par des mesures techniques, et non l’inverse.

Pour l’IA elle-même, la règle est la suivante : mieux vaut qu’elle ne réponde pas du tout lorsqu’elle n’est pas sûre de sa réponse, plutôt que de répondre à tort. Et lorsqu’elle répond, elle doit citer sa source, afin que les collaborateurs puissent évaluer le résultat et le vérifier si nécessaire.

Les contenus générés par IA dans l’intranet doivent-ils être signalés ?

L’obligation de signalement est l’une des questions les plus fréquemment posées en pratique. La réponse est plus nuancée que beaucoup ne s’y attendent.

L’EU AI Act impose un signalement là où le contenu produit par l’IA est si réaliste que les personnes ne peuvent plus le distinguer de contenus authentiques. Le cas classique : les images trompeusement réelles ou les vidéos synthétiques. Quiconque crée et diffuse ce type de contenus doit indiquer qu’ils sont générés par IA. Cela vaut également dans le contexte interne.

Pour les textes, la situation est moins tranchée. Il n’existe pas de seuil à partir duquel un texte est considéré comme « rédigé par IA ». En pratique, c’est plutôt la question de la responsabilité qui prime : quiconque publie un texte, qu’il soit entièrement, partiellement ou aucunement issu de l’IA, en assume la responsabilité. L’IA ne constitue pas une excuse pour des contenus erronés, et invoquer après coup le fait que c’est l’IA qui a formulé ainsi n’est généralement pas une défense valable.

Le droit à l’image s’applique-t-il aussi aux contenus et images générés par IA ?

Particulièrement pertinent dans le contexte intranet : les images générées par IA sur lesquelles des collaborateurs ou d’autres personnes sont reconnaissables relèvent du droit à l’image. Ce n’est pas une nouvelle loi, mais une règle ancienne qui s’applique aux images IA de la même façon qu’aux photographies ou aux illustrations. Ce qui compte uniquement, c’est qu’une personne soit identifiable par des tiers. Dans ce cas, un consentement est nécessaire, quelle que soit la nature du visuel : retouché, dessiné ou généré par IA.

Pour la mise en œuvre en entreprise, deux approches sont possibles. La première est technique : certains outils IA signalent automatiquement les contenus qu’ils génèrent, soit de façon visible, soit au moins dans les métadonnées. La seconde est organisationnelle : les collaborateurs sont informés de leurs obligations de signalement et y sont tenus dans le code de conduite ou le guide d’utilisation. Ces deux approches ne s’excluent pas ; elles peuvent se compléter.

Comment l’EU AI Act modifie-t-il le rôle de l’intranet comme source de savoir ?

L’IA n’est aussi bonne que les informations sur lesquelles elle repose. Cela peut paraître une évidence technique, mais c’est en pratique le vrai point faible de nombreuses entreprises qui souhaitent déployer de l’IA dans leur intranet.

Un assistant IA qui répond aux questions des collaborateurs sur les congés, les processus internes ou les règlements s’appuie sur ce qui figure dans l’intranet. Si les contenus sont obsolètes, contradictoires ou incomplets, l’IA produira des réponses obsolètes, contradictoires ou incomplètes, avec une totale assurance. C’est là le vrai risque, et non le modèle lui-même. Les collaborateurs qui agissent sur la base d’une réponse IA erronée en subissent les conséquences. Et l’entreprise est responsable si elle n’a pas garanti la fiabilité du socle informationnel.

Concrètement : vouloir utiliser l’IA de façon responsable dans l’intranet suppose d’abord de mettre l’intranet lui-même en ordre. L’IA ne réduit pas les lacunes dans le savoir. Elle les rend plus visibles et plus coûteuses.

Pour fonctionner de façon fiable en contexte professionnel, l’IA a besoin de trois choses :

  • des contenus à jour et vérifiés ;

  • des responsabilités clairement définies sur qui gère et valide quels contenus ;

  • une plateforme qui limite l’IA à ces sources curées, et non à tout ce qui est stocké quelque part.

La meilleure façon d’éviter qu’une IA donne de mauvaises réponses, c’est de l’empêcher de répondre quand elle n’est pas sûre. Et de lui faire citer sa source quand elle répond, pour que les collaborateurs puissent situer la réponse et la vérifier si nécessaire.

L’intranet évolue, sous l’effet de l’IA, d’un simple espace de stockage de documents vers une source de savoir active à partir de laquelle des réponses sont générées. Ce changement fait de la gouvernance des contenus une question de conformité, et non plus seulement une question éditoriale.

Comment Staffbase aide-t-elle les entreprises à déployer l’IA dans l’intranet de façon responsable ?

Staffbase aide les entreprises à utiliser l’IA de façon responsable dans l’intranet en traitant la gouvernance comme un prérequis, et non comme une sécurité ajoutée après coup. Les réponses IA sont fondées exclusivement sur des contenus vérifiés, à jour et validés. Les données restent dans l’environnement sécurisé de l’entreprise. Et l’assistant IA indique toujours la source de sa réponse.

La question qui découle de tout ce qui précède n’est pas : quelles fonctionnalités IA propose Staffbase ? Mais : comment garantir que l’IA dans l’intranet fournit de vraies réponses exactes, et pas seulement des réponses plausibles ?

La réponse commence avant l’IA, pas avec elle. Avec Content Pro, Staffbase résout d’abord le problème des données : ce module complémentaire analyse l’intranet en continu pour détecter les contenus obsolètes, en double ou contradictoires, signale les responsables manquants et les liens défectueux, et crée ainsi la base sur laquelle l’IA peut travailler de façon fiable. Les contenus ont des propriétaires, des dates d’expiration et des processus de validation, non parce que cela est imposé par la réglementation, mais parce que sans cette base, l’IA ne peut pas fournir de réponses fiables. Déployer une IA sur un cimetière de documents, c’est automatiser la confusion, pas l’efficacité.

Sur cette base, le Staffbase Navigator, l’assistant IA de la plateforme, fournit des réponses directes et adaptées au rôle de chaque collaborateur, à partir de sources d’entreprise vérifiées, avec indication de la source et sans aller-retour inutile. Lorsqu’il n’est pas sûr, il préfère ne pas répondre. Ce comportement ne doit pas être perçu comme une faiblesse du système, mais comme sa caractéristique la plus importante. La même logique s’applique à Staffbase On Air : le podcast IA transforme des contenus intranet déjà publiés et validés en briefings audio personnalisés. Pas de nouveaux contenus, pas de sources de données externes, pas de perte de maîtrise.

Pour les entreprises, cela signifie : elles déploient l’IA sur une plateforme qui traite la gouvernance comme un prérequis. Les données IA restent dans l’environnement sécurisé de l’entreprise, ne fuient pas et ne servent pas à l’entraînement de modèles externes. Et les collaborateurs reçoivent des réponses auxquelles ils peuvent faire confiance, parce que la plateforme sous-jacente est conçue pour justifier cette confiance.

Comment déployer l’IA dans l’intranet de façon responsable ? Trois étapes concrètes

L’approche pragmatique en matière de conformité IA est la suivante : avec 20 % de l’effort, il est possible de couvrir 80 % des questions de conformité pertinentes. Pour cela, il faut agir aux bons endroits.

1. Commencer par la classification des risques, et ne pas s’arrêter au premier obstacle

La première étape consiste à déterminer dans quelle catégorie de risque entrent les applications IA utilisées. L’IA typique dans l’intranet se classe généralement dans la catégorie à risque minimal ou limité, ce qui ouvre des marges de manœuvre. Mais cette classification n’est que le début de l’analyse, pas sa conclusion. S’arrêter là, c’est ne pas encore avoir examiné le RGPD. Or celui-ci s’applique indépendamment de la classification du système IA au regard de l’EU AI Act.

2. Établir une gouvernance, par écrit, concrètement, et en l’appliquant réellement

Des règles claires pour l’utilisation de l’IA en entreprise ne sont pas une obligation bureaucratique, mais une protection. Cela signifie : formaliser quels systèmes IA peuvent être utilisés, dans quelles conditions et avec quelles obligations pour les collaborateurs, en particulier l’obligation de vérifier les résultats produits par l’IA. Un guide d’utilisation ou un code de conduite doit être accompagné de mesures techniques, et pas seulement exister sur le papier. Et il doit être effectivement appliqué.

3. Construire l’IA sur des sources de savoir fiables

L’IA n’est fiable qu’autant que les contenus sur lesquels elle repose. Des documents obsolètes, contradictoires ou non maîtrisés ne rendent pas l’IA moins utile. Ils en font un risque de responsabilité. Vouloir utiliser l’IA de façon responsable dans l’intranet implique d’abord de s’assurer que l’intranet lui-même est une source de savoir fiable : avec des responsables clairement désignés pour chaque contenu, des processus de validation et des mises à jour régulières.

La réglementation continue d’évoluer. Ce qui constitue aujourd’hui un cadre sécurisé peut être dépassé demain par une nouvelle jurisprudence ou des modifications du règlement. Les entreprises ne devraient donc pas définir leur stratégie IA une bonne fois pour toutes et ne plus y toucher, mais la revoir régulièrement, comme elles le font pour leurs pratiques de protection des données. Celles qui adoptent aujourd’hui une approche pragmatique, prennent des décisions provisoires et restent prêtes à les réviser sont mieux positionnées que celles qui attendent que toutes les questions soient définitivement tranchées. Car ce moment n’arrivera pas de sitôt.

L’essentiel en un coup d’œil

L’IA dans l’intranet est autorisée dans la grande majorité des cas au regard de l’EU AI Act, parce que les applications typiques, comme les assistants IA ou la recherche intelligente, relèvent des catégories de risque les plus faibles. Les règles les plus strictes visent les systèmes qui décident à la place des personnes ou les influencent à leur insu. Ce n’est pas la finalité pour laquelle l’IA dans l’intranet est conçue.

Le vrai défi de conformité est ailleurs : le RGPD s’applique dès lors que des données à caractère personnel sont traitées, ce qui est presque toujours le cas lorsque de l’IA est déployée en contexte professionnel. En France, la CNIL constitue l’autorité de référence pour toute question relative à la protection des données dans ce cadre. Se limiter à vérifier sa conformité à l’EU AI Act, c’est se poser la mauvaise question.

Concrètement, cela signifie pour les entreprises : classifier leurs systèmes IA, établir une gouvernance, former les collaborateurs, fonder l’IA sur des sources de savoir vérifiées et revoir régulièrement leur stratégie IA. Car ce qui vaut aujourd’hui peut être dépassé demain.

Les informations et orientations juridiques présentées dans cet article s’appuient sur l’analyse de juristes spécialisés en droit du numérique, en EU AI Act et en RGPD, qui accompagnent des organisations françaises et européennes dans leur mise en conformité. En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle compétente en matière de protection des données ; ses recommandations et ses lignes directrices sur l’usage de l’IA constituent une référence essentielle pour toute entreprise. Cet article ne remplace pas un conseil juridique individuel.

À lire aussi : IA

people at work speaking
Intranet
 

Explorez les principales plateformes d'intranet AI de 2026. Découvrez comment la plateforme d'Expérience Employé AI-native de Staffbase utilise l'AI pour moderniser la communication interne, l'intégration et la sécurité.

Lire la suite