Une question de principe pour commencer: qu'en est-il de l'infrastructure informatique mise à la disposition des collaborateurs?
L'employeur détermine quel matériel et quels outils peuvent être utilisés. Ils peuvent lui appartenir ou être fournis par les collaborateurs dans le cadre de la pratique du «Bring Your Own Device». Dans les deux cas, l'employeur doit donner des instructions sur la sécurité et l'utilisation. Il peut notamment interdire toute utilisation privée des appareils et applications dont il est propriétaire. En ce qui concerne les appareils privés, l'utilisation privée peut être interdite pendant les heures de travail.
Certains employés utilisent des outils d'intelligence artificielle qui ne sont pas prévus dans l'univers informatique de l'entreprise. Comment faut-il interpréter cela du point de vue du droit du travail?
Si les employés utilisent des appareils, des logiciels ou des outils en dehors de l'infrastructure informatique de l'employeur dans le cadre de leur travail, la sécurité informatique peut être mise en danger et les obligations de confidentialité, de protection des données et de conservation peuvent être violées. Même si les données traitées ne sont pas enregistrées par l'outil, leur traitement dans l’outil peut déjà constituer une violation de l'obligation de confidentialité et de protection des données.
Quels sont les risques?
Ils sont énormes. Ce qui est déterminant, c'est l'ampleur de l'utilisation non autorisée et les contenus qui sont traités via des canaux externes. Il est beaucoup moins problématique de demander à ChatGPT une belle formulation pour un e-mail commercial que de faire rédiger tout un contrat ou un certificat de travail avec le nom de l’employé. A cela s'ajoute le fait que, le cas échéant, les données ne sont pas ou pas entièrement enregistrées dans le système de l'employeur.
Dans quelle mesure la rédaction d'un tel certificat de travail à l'aide de l'IA est-elle punissable?
En cas d'utilisation illicite, il peut s'agir d'un acte punissable. La personne responsable est punie. Dans certains cas, l'entreprise en tant que telle peut être poursuivie pénalement. Un exemple est celui des amendes de plusieurs millions infligées à UBS et Credit Suisse par l'autorité américaine de surveillance des marchés financiers, car des employés avaient écrit via WhatsApp et Signal sur des affaires professionnelles, qui n'ont pas pu être archivées correctement.
Et si les collaborateurs utilisent des applications d'IA de leur propre chef parce qu'ils ne sont pas satisfaits de l'offre de leur entreprise?
C'est une problématique qu'il ne faut pas sous-estimer. L'utilisation d'une infrastructure informatique externe est une source d'erreurs qui comporte un risque de responsabilité considérable pour les employeurs et les collaborateurs. Cela peut entraîner non seulement des pertes financières, mais aussi des dommages corporels et matériels, ce qui soulève également la question de la responsabilité pénale. C'est pourquoi l'utilisation de l'IA doit être encadrée avec soin.
Mais si des employés utilisent les outils à l'insu de leurs supérieurs, comment les entreprises en sont-elles informées et comment doivent-elles se comporter?
Même si, en tant qu'employeur, je bloque l'accès à d'autres outils, je ne peux pas empêcher les collaborateurs d'utiliser l'IA sur des appareils privés et d'y saisir des données de manière illicite. Une surveillance permanente du comportement des collaborateurs à l'aide de possibilités technologiques est en principe inadmissible. La surveillance de l'utilisation de l'infrastructure informatique s’effectue généralement sur une base anonyme pour sécuriser le système. Une évaluation personnelle est uniquement de mise en cas de soupçon concret d'abus. Cela est autorisé lorsque c’est prévu dans les documents du contrat de travail et n'est possible que si des appareils professionnels sont utilisés ou si l'on accède à l'infrastructure informatique de l'employeur via un VPN avec des appareils privés.
À quelles données de l'ordinateur d'un collaborateur l'employeur peut-il avoir accès?
Toute utilisation professionnelle d’un ordinateur et ses produits tels que documents, e-mails ou données appartiennent à l'employeur. Celui-ci peut et doit y avoir accès en tout temps. Les employeurs peuvent donc accéder à tout moment aux données professionnelles, y compris aux e-mails, et à l'adresse e-mail professionnelle de leurs collaborateurs. Ils ne doivent toutefois pas tenir compte de la vie privée.
Que recommandez-vous aux entreprises qui souhaitent prévenir l’apparition d’un Shadow IT?
En raison des changements technologiques qui ont eu lieu et qui se poursuivent, ainsi que de la multiplication des attaques contre les infrastructures informatiques, les employeurs devraient de toute urgence sensibiliser leurs employés, jusqu'au plus haut niveau de la direction, et les former régulièrement. Des règles claires concernant l'utilisation et les interdictions doivent être établies de manière précise, tout en étant expliquées.
Cet article est une adaptation d'une publication parue dans Handelszeitung.
