Utilisation d’une IAG par les salaries : quels risques et obligations pour l’entreprise ?

Le 25/11/2025

Rédigé par Cécile Moreira , avocat associé et médiateur agrée CMAP CCI Paris

L’intelligence artificielle générative (IAG) est un outil numérique puissant à double lames. Son utilisation expose l’entreprise à des risques majeurs, notamment en matière de cybersécurité, de fuites de données confidentielles, de non-conformités réglementaires, si elle n’est pas encadrée.

Une étude publiée par l’INRIA (Institut National de Recherche en Sciences et Technologies du Numérique) et DATACRAFT, en juillet 2025, révèle que près de 40% des salariés utilisent l’IA sans autorisation de leur employeur¹. Cette étude affirme même que « le bricolage des collaborateurs avec l’IAG ne cesse d’augmenter en fréquence et en volume ». Des pratiques informelles se multiplient car l’IAG permet d’accomplir rapidement et facilement des tâches variées comme la rédaction de contenus, de traductions, de création d’images, des recherches, des structurations d’idées … Cette utilisation clandestine de l’IA par des salariés est un phénomène qualifié de « SHADOW AI » ou de « IA fantôme ». Elle traduit souvent une crainte des salariés d’être perçus par leur hiérarchie comme insuffisamment compétents, de perdre leur emploi ou, à l’inverse, de voir leur charge de travail augmenter dès lors que l’IA permet d’automatiser des tâches et de réaliser un gain de productivité.

Ces usages individuels et diffus font courir un risque collectif. Un prompt sur douze1 contiendrait des informations confidentielles sur les clients de l’entreprise ou les prix pratiqués ou sur ses employés. Des modèles d’IA peuvent également produire des réponses inexactes qualifiées « d’hallucinations » qui ne renvoient à aucune réalité ou bien générer des biais algorithmiques pouvant être à l’origine de décisions inéquitables ou discriminatoires.

Face à un tel constat, interdire l’utilisation de l’IAG en entreprise, ne parait pas être la solution. En revanche, former, sensibiliser, encadrer, accompagner les salariés dans le cadre d’une politique claire, est indispensable. « La solution n’est autre chose que le problème bien éclairé »². Son énoncé comprend nécessairement plusieurs éléments à mettre en place et à élaborer dont les suivants :

Définir une politique de gouvernance des données en privilégiant des solutions souveraines d’IA, un hébergement sur des serveurs européens ou internes pour ne pas être soumis à des lois extraterritoriales³.

Il conviendra ainsi de cartographier les catégories de données manipulées (personnelles, confidentielles, stratégiques pour l’entreprise, couvertes par le secret des affaires) et encadrer les données que les salariés peuvent soumettre à un outil d’IA (cloisonnement, interdictions, habilitations).

Catégoriser, chiffrer les données en mettant en place un contrôle strict des accès et de sécurisation des postes de travail fixes et mobiles, paramétrer les systèmes d’IA pour minimiser et ne traiter que les données strictement nécessaires, n’est plus un choix mais une nécessité.

Déterminer le périmètre d’usage de l’IA et les finalités opérationnelles recherchées. L’outil d’IA est-il mis en place pour améliorer la productivité de l’entreprise, faciliter les processus RH (recrutement, évaluation) effectuer une surveillance ?

Le dialogue social est à préserver, l’employeur devant consulter au préalable le CSE « avant toute introduction de nouvelles technologies. »⁴, même si l’introduction d’un système d’IA n’a selon lui que des conséquences mineures sur l’emploi. Cette consultation couvre notamment l’ensemble des répercussions en matière d’organisation, de santé, de risques psycho-sociaux, de sécurité et d’emploi liées à l’IA. Lorsque la solution d’IA permet directement ou indirectement un contrôle de l’activité des salariés (traçage, scoring, analyse de messages professionnels..) la consultation préalable du CSE, précise et écrite, doit également intervenir⁵.

L’employeur est, en outre, tenu à un devoir de loyauté et à une obligation de proportionnalité dans le cadre du déploiement d’un outil d’IA dans l’entreprise, en limitant les finalités et la durée de conservation des données, après consultation du CSE et sous le contrôle de la CNIL. Les dispositifs de contrôle doivent donc être justifiés et proportionnés⁶ portés à la connaissance des salariés⁷, précédés de la consultation du CSE⁵ et conformes au RGPD en cas de traitement de données personnelles, le tout à peine de sanctions civiles, administratives et pénales.⁸

Le RGPD impose de veiller à garantir une sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé, de manière illicite ou accidentelle à l’aide de mesures techniques ou organisationnelles appropriées, dont le chiffrement et la pseudonymisation des données.⁹

La violation de données peut, en effet, provoquer des dommages significatifs aux personnes (discrimination, usurpation d’identité, atteinte à la réputation).

La CNIL a publié, en juillet 2025, de nouvelles recommandations sur le développement des systèmes d’IA, préconisant une analyse d’impact préalable sur la protection des données (AIPD) si le traitement d’IA présente des risques élevés (profilage, traitement à grande échelle, données sensibles, croisement de jeux de données, etc.)

Sécuriser les outils professionnels utilisés en entreprise, en présentiel, lors de visioconférences et pendant le télétravail (téléphones, ordinateurs portables…) en utilisant notamment des mots de passe complexes et robustes, des pares-feux, des antivirus, VPN (Virtual Private Network), une authentification.

Des mesures de cloisonnement entre les usages personnels et professionnels des téléphones et/ ou des ordinateurs utilisés par le personnel, peuvent être étudiées et mises en place.

En outre si l’employeur autorise l’usage d’équipements personnels (par exemple un téléphone portable) à des fins professionnelles, il doit, sous sa responsabilité, garantir la sécurité et la confidentialité des données professionnelles transitant sur le téléphone personnel de ses employés. Cette pratique connue sous l’acronyme « BYOD » (bring your own device) devrait conduire l’employeur à anticiper contractuellement et techniquement la création d’un espace professionnel distinct permettant le contrôle, l’effacement des seules données ou applications professionnelles et ce, sans porter atteinte à la vie privée du salarié.¹⁰

Encadrer, formaliser l’utilisation de l’IA et des outils numériques, dans le règlement intérieur et/ou dans la charte informatique.

L’employeur a donc intérêt à intégrer, dans le règlement intérieur ou dans une charte informatique, des consignes adaptées aux risques liés aux usages d’outils numériques et d’IA, impactant l’organisation du travail.

Une charte informatique peut définir les règles d’utilisation de l’IA, les droits et obligations des salariés, les modalités d’un contrôle proportionné et transparent par l’employeur et les sanctions applicables en cas de manquements.

Il est également possible d’intégrer dans le contrat de travail, des clauses relatives à l’utilisation de l’IA et à la confidentialité des données de l’entreprise.

L’usage à des fins personnelles des outils de communication de l’entreprise (informatique, messagerie professionnelle,…), notamment sur les réseaux sociaux, forums, peut, en outre, être réglementé, tout en veillant à ne pas porter atteinte aux libertés individuelles.

Dans tous les cas, il est conseillé à l’employeur de veiller à établir la preuve des mesures déployées et des éventuels manquements commis par ses collaborateurs (traçabilité des accès, horodatage, logs…)

Former, sensibiliser les salariés à l’utilisation de l’IA et aux risques cyber.

Le dernier baromètre 2025 IFOP/ TALAN montre que seuls 15 % des salariés auraient bénéficié d’une formation alors qu’elle est essentielle.

L’article 4 de l’AI Act (regl 2024/1689) impose à l’entreprise de garantir un niveau suffisant de connaissances en matière d’IA de son personnel, d’assurer une compréhension générale de l’IA et de tenir compte du risque que présente les systèmes d’IA.¹²

Des actions périodiques de formation et de sécurité doivent être déployées, au besoin avec le Médecin du Travail et sous contrôle du CSE.

L’entreprise doit intégrer l’IA, dans sa politique SST (Santé et Sécurité au Travail) et dans la DUERP (Document unique d’évaluation des risques professionnels), au titre de l’obligation de sécurité de l’employeur¹³ en démontrant les actions de prévention, d’information et de formation spécifiques aux systèmes d’IA déployés ; la formation devant être adaptée aux risques des systèmes effectivement déployés et garantir un niveau suffisant de connaissances.

L’établissement de directives claires par l’employeur, la sensibilisation et la formation des collaborateurs sont indispensables pour favoriser un climat de confiance au sein des équipes, des pratiques collectives et une utilisation encadrée de l’IAG, le tout dans l’intérêt de l’entreprise et de ses salariés.

Vous rencontrez une problématique relative à l’utilisation d’une IAG par les salariés ? Nos avocats se tiennent à votre disposition pour échanger.

1 – Rapport INRIA https://datacraft.paris. Uploads.2025/07
2 – Alain – Philosophe – Propos de littérature. Ed. Gonthier. Mediations
3 – Clarifying Lawfull overseas use of Data Act 2018 (Cloud Act) permet aux autorités américaines d’exiger l’accès à des données détenues par des fournisseurs de services
américains où qu’elles soient stockées dans le monde
4 – article 2312-8 – 4 du Code du Travail
5 – article L.2312-38 du Code du Travail
6 – article L.1121-1 du Code du Travail
7 – article L.1222-4 du Code du Travail
8 – Code Pénal – article 226-17

9 – Règlement européen 2016/679 RGPD art 32. Le RGPD impose la protection des données dès la conception et, par défaut, la minimisation, l’information loyale et transparente, la sécurité et la suppression des données non nécessaires (principe de « privacy by design » et « privacy by default » article 25
10 https://www.cnil.fr/fr/ia-finalisation-recommandations-developpement-des-systemes-ia
11 – Baromètre 2025 IFOP pour TALAN https://www.talan.com/france/fr/Ifop-Talan-barometre-2025-français-ia-generatives
12 – https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202401689
13 – articles L.4121-1 et L.4121-2 du Code du Travail

« * » indique les champs nécessaires

Ces articles peuvent vous intéresser...

L’obligation de produire des attestations de régularité fiscale et sociale lors de la clôture d’une liquidation amiable de société

PLF2026 – Le projet de loi de finances pour 2026 enfin dévoilé

Une question ?
Contactez-nous !

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-functional	11 mois	Le cookie est défini par le consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	11 mois	Ce cookie est défini par le plugin de consentement aux cookies du GDPR. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autre ".
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin de consentement aux cookies GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
viewed_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Durée	Description
cookietest	session	No description
DEVICE_INFO	5 mois 27 jours	No description
theme_name	session	No description

Cookie	Durée	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
CONSENT	2 ans	YouTube installe ce cookie via les vidéos youtube intégrées et enregistre des données statistiques anonymes.

Cookie	Durée	Description
VISITOR_INFO1_LIVE	5 mois 27 jours	Un cookie mis en place par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est mis en place par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	never	YouTube utilise ce cookie pour enregistrer les préférences vidéo de l'utilisateur qui utilise une vidéo YouTube intégrée.
yt-remote-device-id	never	YouTube utilise ce cookie pour enregistrer les préférences vidéo de l'utilisateur qui utilise une vidéo YouTube intégrée.

Ces articles peuvent vous intéresser...

Alister Avocats Paris

Alister Avocats Lyon

Alister Avocats Nice

Alister Avocats Strasbourg

Alister Avocats Montpellier

Alister Avocats Montélimar

Alister Avocats Marseille

Alister Avocats International & German Desk