AFFEN&Co 370, la Collégiale de l’AFFEN avec Raphael BUCHARD, CEO de DIPEEO
Le sujet de la conformité aux réglementations européennes, notamment le RGPD (Règlement Général sur la Protection des Données) et le RIA (Règlement Intelligence Artificielle ou IA Act), est crucial pour les professionnels des RH et les organismes de formation. Ces textes s’inscrivent dans une stratégie d’harmonisation européenne et représentent un modèle réglementaire mondial, souvent appelé l’« effet Bruxelles »
Le RGPD impose des obligations claires, résumées en quatre piliers
1. La Transparence : Les structures doivent informer les individus (candidats, salariés, apprenants) sur le traitement de leurs données (type, durée, transferts). Cette information est idéalement fournie via une politique de confidentialité centralisée
2. Le Contrôle des Prestataires : L’organisme de formation doit contrôler ses sous-traitants (hébergeurs, outils de formation en ligne comme Zoom). Ces prestataires ne peuvent plus traiter les données que sur instructions spécifiques du client
3. La Sécurité : Une obligation d’assurer un niveau de sécurité minimum adapté aux traitements est requise. Les risques fréquents en RH sont l’envoi d’e-mails à la mauvaise personne ou l’utilisation de supports non sécurisés, les clés USB étant considérées comme « le pire truc ». L’utilisation du cloud est généralement préférable au stockage local
4. Le Droit des Personnes : Les individus disposent de droits fondamentaux nouvellement créés par le RGPD, tels que le droit d’accès et le droit à l’oubli. Le droit à l’oubli n’est cependant pas absolu ; des obligations légales (comme la rétention fiscale des informations de paiement pour 10 ans) priment
Concernant la prospection commerciale (un point de plainte majeur en RH/formation), l’organisme de formation peut prospecter en B2B (candidats, employés) sans consentement préalable (opt-in) en France. Toutefois, cette prospection doit impérativement être ciblée (la formation doit être adaptée à la personne) et toujours offrir une facilité de désabonnement
Les sanctions pour manquement au RGPD sont potentiellement lourdes, pouvant atteindre 4 % du chiffre d’affaires annuel mondial. L’ACNIL applique des sanctions plus faibles (entre 2 000 et 20 000 €) de manière quasi automatique pour les petites structures, rendant la non-conformité risquée
L’IA Act (RIA), complémentaire au RGPD, encadre l’Intelligence Artificielle selon des niveaux de risque. Les IA utilisées pour le recrutement sont considérées à haut risque. Ceci s’explique par le risque de discrimination ou de biais, comme l’ont montré des cas historiques où des outils d’IA basés sur des critères humains excluaient les femmes. Pour ces IA à haut risque, le prestataire doit fournir des rapports techniques démontrant l’exactitude des résultats et l’absence d’hallucinations, afin de protéger l’entreprise cliente du risque pénal lié à la discrimination
Il est important de souligner que l’utilisation d’outils d’IA comme Chat GPT pour le conseil juridique est déconseillée, car ils ne sont pas fiables et peuvent fournir des informations erronées avec de fausses sources
Enfin, la conformité est un facteur essentiel de la stratégie commerciale. Pour les organismes visant les grands comptes ou les ETI, la non-conformité est aujourd’hui un frein business. L’Europe utilise ces réglementations comme un levier de puissance économique en tant que premier marché mondial, imposant ses standards aux acteurs internationaux.