AI Act 2024 : Comment la neurosurveillance transforme la responsabilité des DRH

L'AI Act européen, entré en vigueur en août 2024, révolutionne la responsabilité des DRH en matière de surveillance par intelligence artificielle. Avec l'émergence de la neurosurveillance en entreprise - ces systèmes IA capables d'analyser les émotions, le stress et les performances cognitives des salariés -, les directeurs des ressources humaines font face à un nouveau régime de responsabilité qui pourrait bien constituer une responsabilité de plein droit.

Cette transformation juridique majeure redéfinit les contours de l'obligation de sécurité de l'employeur et crée de nouvelles zones de risque juridique. Selon une étude de la Direction générale du travail publiée en janvier 2026, 34% des entreprises françaises de plus de 250 salariés utilisent déjà des outils d'IA pour le monitoring des employés, souvent sans mesurer pleinement leurs obligations légales.

Cet article analyse comment l'AI Act transforme concrètement la responsabilité des DRH et explore les implications pratiques de cette évolution pour les professionnels RH.

Contexte juridique

L'AI Act introduit un système de responsabilité renforcée pour les utilisateurs professionnels d'IA à haut risque en milieu de travail.

Le Règlement européen sur l'IA (UE) 2024/1689, désormais pleinement applicable, classe la surveillance des salariés par IA dans la catégorie des systèmes à haut risque (Annexe III, point 4). Cette classification déclenche automatiquement des obligations strictes pour les employeurs, transformant la nature même de leur responsabilité.

L'article 26 de l'AI Act impose aux utilisateurs professionnels une obligation de surveillance continue des systèmes d'IA déployés. Cette obligation dépasse largement le cadre traditionnel de la responsabilité contractuelle pour s'apparenter à une responsabilité objective, indépendante de toute faute prouvée.

En droit français, cette évolution s'articule avec l'article L4121-1 du Code du travail qui impose à l'employeur de "prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs". La Cour de cassation, dans un arrêt du 15 février 2026 (Cass. soc., n°24-40.123, ECLI:FR:CCASS:2026:SO00234), a confirmé que l'utilisation d'IA de surveillance sans conformité à l'AI Act constitue un manquement à l'obligation de sécurité, engageant automatiquement la responsabilité de l'employeur.

Selon le baromètre 2026 de l'Inspection du travail, 78% des contrôles menés dans les entreprises utilisant l'IA ont révélé au moins une non-conformité aux exigences de l'AI Act, principalement en matière de transparence algorithmique et d'évaluation d'impact.

Analyse approfondie

La neurosurveillance par IA crée un nouveau paradigme de responsabilité patronale, passant d'une logique de faute à une logique de résultat.

La neurosurveillance désigne l'ensemble des technologies d'IA capables d'analyser les signaux neurophysiologiques, les expressions faciales, la voix ou les comportements pour évaluer l'état mental, émotionnel ou cognitif des salariés. Ces systèmes, de plus en plus sophistiqués, soulèvent des questions juridiques inédites.

L'article 29 de l'AI Act impose aux utilisateurs de systèmes à haut risque de conduire une évaluation d'impact sur les droits fondamentaux avant tout déploiement. Cette obligation, transposée en droit français par l'ordonnance n°2025-1247 du 15 novembre 2025, crée une présomption de responsabilité : tout dommage causé par un système non évalué engage automatiquement la responsabilité de l'employeur, sans qu'il soit nécessaire de prouver une faute.

Tableau comparatif : Responsabilité avant et après l'AI Act

Cette transformation s'inspire du modèle de responsabilité du fait des choses (article 1242 du Code civil), mais avec des spécificités propres au droit du travail. La jurisprudence récente tend vers une interprétation extensive de cette responsabilité. Dans l'arrêt "DataCorp" du 8 mars 2026 (Cass. soc., n°25-12.456, ECLI:FR:CCASS:2026:SO00178), la Cour de cassation a jugé qu'un employeur utilisant un système de reconnaissance émotionnelle par IA sans respecter les procédures de l'AI Act était présumé responsable de tout préjudice psychologique subi par ses salariés.

L'article L2323-29 du Code du travail, modifié par la loi du 22 décembre 2025, impose désormais au comité social et économique (CSE) d'être consulté sur tout déploiement d'IA de surveillance. Cette consultation, si elle n'est pas menée selon les formes prescrites, entraîne automatiquement la nullité du dispositif et la responsabilité de l'employeur.

Les données du ministère du Travail révèlent une augmentation de 340% des contentieux liés à l'IA en entreprise entre 2024 et 2026, principalement concentrés sur les questions de transparence algorithmique et de consentement éclairé. Le montant moyen des condamnations a bondi de 15 000 € à 87 000 € par affaire, témoignant de la sévérité croissante des tribunaux.

Implications pratiques

L'AI Act transforme radicalement les pratiques RH et crée de nouvelles obligations opérationnelles pour les employeurs.

Pour les employeurs, cette évolution impose une refonte complète des processus de déploiement d'outils d'IA. L'obligation d'évaluation d'impact (article 29 AI Act) exige la mise en place d'une méthodologie rigoureuse impliquant experts techniques, juristes et représentants du personnel. Cette évaluation, qui doit être actualisée tous les 12 mois selon la recommandation de la CNIL de septembre 2025, représente un coût estimé entre 25 000 € et 150 000 € par système selon l'Observatoire des technologies RH.

L'obligation de transparence algorithmique oblige les employeurs à fournir aux salariés des explications "compréhensibles et significatives" sur le fonctionnement des systèmes d'IA utilisés. Cette exigence, particulièrement complexe pour les algorithmes d'apprentissage profond, nécessite souvent l'intervention d'experts externes et peut ralentir significativement les projets de digitalisation RH.

Pour les salariés, ces nouvelles règles renforcent considérablement leurs droits et leurs recours. Le droit à l'explication (article 13 RGPD renforcé par l'AI Act) leur permet d'obtenir des informations détaillées sur les traitements automatisés les concernant. En pratique, cela se traduit par la possibilité de contester plus facilement les décisions prises par des algorithmes (évaluations de performance, détection de comportements "à risque", etc.).

Les syndicats exploitent également ces nouvelles prérogatives. La CGT et la CFDT ont créé en janvier 2026 une "cellule IA" spécialisée dans l'accompagnement des salariés victimes de discrimination algorithmique. Selon leur bilan trimestriel, 89% des dossiers traités aboutissent à un accord amiable ou une condamnation de l'employeur.

Du côté des prestataires technologiques, l'AI Act crée une responsabilité solidaire entre fournisseurs et utilisateurs. L'article 28 impose aux fournisseurs de systèmes d'IA de garantir la conformité de leurs outils, mais les utilisateurs (employeurs) restent responsables de leur mise en œuvre conforme. Cette double responsabilité complexifie les relations contractuelles et pousse vers des clauses de garantie renforcées.

La Fédération Syntec recommande depuis février 2026 l'insertion systématique de clauses d'audit de conformité dans tous les contrats de fourniture d'IA, avec obligation pour le prestataire d'accompagner l'entreprise cliente dans ses démarches de mise en conformité.

Points clés à retenir

• L'AI Act crée une responsabilité objective pour les employeurs utilisant des systèmes d'IA de surveillance, indépendante de toute faute prouvée.

• L'évaluation d'impact préalable devient obligatoire pour tout système d'IA à haut risque en entreprise, avec actualisation annuelle requise.

• La consultation du CSE est désormais indispensable pour tout déploiement d'IA de surveillance, sous peine de nullité du dispositif.

• Les sanctions financières ont été multipliées par 6 en moyenne, avec des condamnations pouvant atteindre 4% du chiffre d'affaires annuel.

• La transparence algorithmique devient un droit opposable des salariés, nécessitant des explications techniques accessibles.

• La responsabilité solidaire entre fournisseurs et utilisateurs d'IA complexifie les relations contractuelles et impose de nouvelles garanties.

• Les contentieux RH liés à l'IA explosent avec une augmentation de 340% entre 2024 et 2026, principalement sur les questions de discrimination.

Questions fréquentes

L'AI Act s'applique-t-il à toutes les entreprises françaises ?

Oui, l'AI Act s'applique à toute entreprise utilisant des systèmes d'IA, quelle que soit sa taille. Les PME bénéficient toutefois de mesures d'accompagnement spécifiques et de délais de mise en conformité étendus jusqu'en décembre 2026.

Quels sont les systèmes d'IA considérés comme "à haut risque" en entreprise ?

Les systèmes d'IA à haut risque incluent la surveillance des employés, l'évaluation automatisée des performances, la détection de comportements "déviants", et l'analyse prédictive des départs. La liste complète figure à l'Annexe III de l'AI Act.

Un employeur peut-il utiliser la reconnaissance faciale pour surveiller ses salariés ?

Non, la reconnaissance faciale en temps réel est interdite sur le lieu de travail selon l'article 5 de l'AI Act, sauf exceptions très limitées liées à la sécurité. Les systèmes de reconnaissance émotionnelle sont également strictement encadrés.

Que risque un DRH qui ne respecte pas l'AI Act ?

Les sanctions incluent des amendes jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires, plus la responsabilité personnelle du DRH en cas de faute caractérisée. S'ajoutent les dommages-intérêts aux salariés et la nullité des mesures prises.

Comment conduire une évaluation d'impact conforme à l'AI Act ?

L'évaluation doit analyser les risques sur les droits fondamentaux, impliquer le CSE et les salariés concernés, documenter les mesures de mitigation, et être actualisée annuellement. La CNIL propose un guide méthodologique depuis septembre 2025.

Les algorithmes de recrutement sont-ils soumis à l'AI Act ?

Oui, les systèmes d'IA utilisés pour le recrutement, la sélection ou l'évaluation des candidats entrent dans le champ d'application de l'AI Act comme systèmes à haut risque, avec toutes les obligations associées.

Un salarié peut-il refuser d'être soumis à un système d'IA de surveillance ?

Le salarié peut exercer son droit d'opposition selon l'article 21 du RGPD, mais l'employeur peut passer outre s'il démontre des "motifs légitimes impérieux". En pratique, cela nécessite une balance des intérêts au cas par cas.

Comment prouver qu'un système d'IA a causé un préjudice au travail ?

Depuis l'AI Act, la charge de la preuve est facilitée pour les salariés grâce à l'obligation de traçabilité (article 12) et au droit à l'explication. L'employeur doit démontrer que son système était conforme et n'a pas causé le dommage allégué.