AI Act et Digital Omnibus : ce que le report change vraiment pour les fonctions support
Le compromis politique dit « Digital Omnibus », conclu fin 2024 entre le Parlement européen et le Conseil dans le cadre du paquet d’ajustement numérique, a repoussé plusieurs obligations clés de l’AI Act pour les systèmes d’intelligence artificielle à haut risque. Concrètement, certaines exigences de conformité détaillées aux articles 8 à 15 du règlement (gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse) voient leur application complète décalée de quelques mois, avec une entrée en vigueur progressive jusqu’en 2027 pour les systèmes déjà déployés. Pour un office manager ou une executive assistant qui pilote des outils RH ou de gestion, ce report ne supprime aucun risque juridique mais décale simplement la date butoir de mise en conformité, alors même que les systèmes de recrutement, d’évaluation ou de gestion documentaire continuent d’exposer l’entreprise au quotidien.
Les systèmes d’intelligence artificielle utilisés pour le recrutement, comme les ATS avec scoring automatique, relèvent clairement des systèmes à haut niveau de risque au sens du règlement européen sur l’IA, qui classe explicitement les outils de gestion du personnel et d’accès à l’emploi dans cette catégorie. Les solutions de notation de performance, de gestion des talents ou de tri automatisé des candidatures constituent des systèmes de risque élevé, car elles impactent directement les droits fondamentaux des personnes et la carrière des salariés, ce qui place l’office manager au cœur de la gestion des risques RH et de la conformité interne. Même si la mise en application complète de l’AI Act est décalée, les entreprises restent déjà soumises au RGPD, au droit du travail et aux règles européennes sur la non-discrimination, avec des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les violations les plus graves du RGPD, comme l’ont illustré plusieurs décisions de la CNIL et d’autres autorités de contrôle, notamment dans des affaires de vidéosurveillance excessive ou de géolocalisation injustifiée des salariés.
Le texte européen sur l’intelligence artificielle distingue plusieurs niveaux de risque : risque inacceptable, risque élevé, risque limité et risque minimal, avec des obligations de conformité graduées pour chaque niveau. Les pratiques d’IA considérées comme un risque inacceptable, comme certaines formes de surveillance biométrique de masse ou de notation sociale, sont interdites dans l’Union européenne, tandis que les systèmes de gestion RH automatisée sont classés comme systèmes de risque élevé soumis à une documentation technique renforcée et à des contrôles réguliers. Les sanctions prévues par l’AI Act peuvent atteindre plusieurs dizaines de millions d’euros, avec des plafonds exprimés en pourcentage du chiffre d’affaires mondial, ce qui rend la préparation à la conformité à ce nouveau règlement, en articulation avec le RGPD, stratégique même pour une entreprise de taille moyenne qui utilise déjà des solutions d’IA dans ses processus administratifs. Pour les fonctions support, la période 2024‑2027 doit donc être envisagée comme un calendrier de transition : 2024‑2025 pour l’inventaire et la cartographie des risques, 2025‑2026 pour la documentation et les premiers audits internes, 2026‑2027 pour la mise en conformité complète des systèmes à haut risque.
Inventaire IA, shadow AI et classification des risques : le chantier prioritaire des fonctions support
Pour un service support, la première étape concrète n’est pas juridique mais opérationnelle : établir un inventaire des systèmes d’intelligence artificielle réellement utilisés, y compris les outils en shadow AI comme les assistants rédactionnels ou les générateurs de contenu intégrés à Microsoft 365, Google Workspace ou Notion. Cet inventaire doit couvrir chaque système d’IA, du simple modèle d’usage conversationnel aux systèmes de scoring de candidatures, en décrivant les données traitées, les finalités, le niveau de supervision humaine et les liens avec les droits fondamentaux des salariés. Un modèle simple de tableau peut suffire : une colonne pour l’outil, une pour le service utilisateur, une pour les types de données (RH, financières, sensibles), une pour le niveau de risque perçu et une pour le responsable métier. C’est sur cette base que l’on peut appliquer la logique de conformité progressive à l’AI Act et classer chaque système selon les niveaux de risque définis par le règlement européen sur l’intelligence artificielle, en s’inspirant des analyses d’impact déjà réalisées dans le cadre du RGPD.
Une fois l’inventaire réalisé, l’office manager peut lancer une classification par niveau de risque en s’appuyant sur les catégories de systèmes de risque prévues par le texte européen et sur les référentiels RGPD déjà en place dans l’entreprise. Une matrice simple croisant l’impact sur les personnes (faible, moyen, fort) et le degré d’automatisation de la décision (assistance, décision partagée, décision entièrement automatisée) permet de repérer rapidement les systèmes les plus sensibles. Les systèmes de risque élevé, comme un outil de notation de performance ou un module de mobilité interne automatisée, nécessitent une mise en conformité renforcée, avec documentation technique, procédures de supervision humaine et mécanismes de recours pour les salariés, tandis que les systèmes à risque limité peuvent se contenter d’exigences de transparence sur le contenu généré par l’IA. Cette gestion des risques doit être documentée dans un registre partagé avec la direction juridique, la DSI et la DRH, afin de démontrer la mise en œuvre d’une gouvernance responsable de l’intelligence artificielle et de disposer d’une base de travail lors d’un contrôle d’une autorité nationale, par exemple la CNIL en France ou son équivalent dans un autre État membre.
Le shadow AI complique fortement la conformité au futur cadre européen sur l’IA, car des collaborateurs peuvent utiliser des systèmes d’IA générative sans validation IT, en copiant des données sensibles dans des interfaces externes, ce qui crée des risques RGPD et des risques de fuite de secrets d’affaires. L’office manager ou l’executive assistant, souvent en première ligne sur les abonnements logiciels et les usages quotidiens, doit donc instaurer une politique claire de gestion des risques, avec des règles simples sur les données autorisées, la supervision humaine obligatoire et la traçabilité des contenus produits par l’intelligence artificielle. Un cas pratique fréquent est celui d’un assistant qui colle un CV ou un compte rendu d’entretien dans un chatbot externe pour « améliorer » un message au candidat : sans consignes précises, ce geste anodin peut constituer un transfert illicite de données personnelles. Pour rendre ces principes opérationnels, une courte checklist peut être diffusée aux équipes support : vérifier si l’outil est validé par la DSI, ne jamais coller de données sensibles ou de santé dans un chatbot, anonymiser les CV avant tout traitement externe, consigner les usages récurrents dans un registre interne et signaler immédiatement tout incident de sécurité ou de confidentialité.
Plan en quatre étapes : documentation, gouvernance et rôle clé des fonctions support
Le plan d’action recommandé pour les fonctions support tient en quatre étapes : inventaire des systèmes, classification par niveau de risque, production de la documentation technique et mise en place d’une gouvernance interne claire. Sur la documentation technique, il s’agit de décrire pour chaque système d’intelligence artificielle les données utilisées, les modèles d’usage, les mécanismes de supervision humaine, les mesures de gestion des risques et les procédures de mise en conformité, en cohérence avec le RGPD et le règlement européen sur l’IA. Un modèle de fiche par outil peut inclure : description fonctionnelle, base légale de traitement des données, critères de décision automatisée, modalités d’information des salariés et scénarios de test. Cette documentation devient la preuve concrète de la conformité à l’AI Act, mais aussi un outil de pilotage pour ajuster les paramètres des systèmes lorsque les risques évoluent ou que de nouveaux cas d’usage apparaissent, par exemple lors de l’ajout d’un module d’analyse prédictive dans un logiciel RH existant.
La gouvernance interne doit ensuite préciser qui décide de la mise en œuvre d’un nouveau système d’IA, qui valide la conformité au règlement européen et qui contrôle la qualité du contenu généré par l’intelligence artificielle dans les processus RH ou administratifs. L’office manager peut jouer un rôle pivot en coordonnant les échanges entre la DRH, la DSI, la direction juridique et la conformité, en s’appuyant sur des référentiels existants comme le calcul de l’index égalité professionnelle détaillé étape par étape sur la méthode présentée par Boome School, afin d’aligner les indicateurs sociaux et les usages d’IA. Dans la pratique, cela peut se traduire par un comité trimestriel « IA et données » qui examine les nouveaux projets, les incidents déclarés et les retours des salariés. Ce travail de coordination permet de réduire les risques de décisions automatisées biaisées, de mieux protéger les droits fondamentaux des salariés et de sécuriser l’entreprise face aux contrôles des autorités des États membres de l’Union européenne, en montrant que les fonctions support ont anticipé les exigences de l’AI Act plutôt que d’attendre la dernière échéance réglementaire.
Enfin, la formation à l’IA devient une obligation structurante, car l’AI Act impose déjà un socle de compétences minimales pour les utilisateurs professionnels, ce qui inclut les équipes support qui manipulent des systèmes d’IA au quotidien. Les programmes de formation doivent couvrir les risques liés aux systèmes d’IA, les règles de protection des données, la détection d’un risque inacceptable, la gestion des risques résiduels et les bonnes pratiques de supervision humaine, avec des cas concrets sur les ATS, les outils de performance et les assistants rédactionnels. Une checklist simple peut servir de support : vérifier la source des données, documenter chaque décision importante, signaler tout résultat surprenant, informer le salarié lorsqu’une décision est assistée par un algorithme. Pour un office manager, la vraie ligne de partage ne sera plus entre ceux qui utilisent l’IA et ceux qui s’en passent, mais entre les entreprises qui auront structuré leur conformité au nouveau cadre européen d’ici 2027 et celles qui subiront des sanctions coûteuses, financières comme réputationnelles, parce qu’elles auront sous-estimé le rôle stratégique des fonctions support dans la gouvernance de l’intelligence artificielle.