Souveraineté numérique RH: où vont les données de vos employés?

Les classeurs fédéraux contenant l’ensemble des informations sur les employés·es gardés sous clé au service RH ont dans bien des organisations été remplacés par leur équivalent numérique. Les dossiers des employés·es sont désormais stockés quelque part sur un serveur ou dans le Cloud, liés de manière directe ou non à un prestataire de service de système d’information RH. Cette dématérialisation des données RH soulève à la fois des questions liées à leur traitement et leur stockage, mais également à leur utilisation. La potentielle intégration de l’intelligence artificielle (IA) rajoute encore une part de complexité à cette virtualisation (sans compter les limites formulées par la loi européenne sur l’IA nommée l’AI Act).

Souveraineté numérique en un mot

La notion de souveraineté numérique est relativement débat tue dans la littérature académique, ses contours et sa définition variant selon l’angle sous lequel elle est abordée: politique, économique ou juridique. De manière générale, la souveraineté numérique peut être définie comme la capacité à s’autodéterminer dans l’espace numérique, c’est-à-dire la capacité à faire des choix, manifester ses préférences, mais également bénéficier de protection de ses données ainsi que d’un droit à l’oubli¹. La portée de la souveraineté numérique s’étend à la fois aux États, aux organisations ainsi qu’aux individus. Toutefois, il convient de distinguer la souveraineté numérique du droit à la protection des données. Le droit à la protection des données relève avant tout d’un cadre juridique visant à protéger les individus contre des usages abusifs de leurs données personnelles, en leur garantissant des droits tels que l’information, l’accès, la rectification ou l’effacement. Dans le cadre de la GRH, la souveraineté numérique mêle donc des enjeux liés au droit du travail, aux stratégies de digitalisation des RH et à la relation de confiance entre l’organisation et ses employés·es.

Traitement et stockage des données RH

La digitalisation favorise le traitement et le stockage d’un large éventail de données liées aux collaboratrices et collaborateurs, entre éléments traditionnels (identité, contrat, salaire, évaluations), et données plus fines et parfois sensibles (absentéisme, situation familiale, conflits, procédures disciplinaires). Ces enjeux se traduisent très concrètement dans les choix opérés par les organisations en matière de prestataires RH et d’infrastructures numériques. Le recours à des solutions hébergées hors de Suisse, voire hors d’Europe, peut exposer les données RH à des cadres juridiques extraterritoriaux, tout en limitant la capacité des organisations à garantir aux employés·es une maîtrise effective de leurs données et de leurs usages.

Utilisation des données RH

Au-delà du stockage, l’utilisation qui peut être faite par ces vastes volumes de données RH soulève également des questions. Avec la montée de l’analytique RH, la frontière peut devenir floue entre une exploitation «macro» des données (comprendre des tendances, anticiper des besoins, etc.) et un usage plus «micro» de celles-ci (suivre ou contrôler les comportements de certains·es collaborateurs·trices), ce qui peut porter préjudice à la souveraineté numérique des employés·es. Cela s’articule également avec la question de la variété des acteurs impliqués dans le processus: quels prestataires sont impliqués, quelles conditions d’utilisations sont associées aux diverses plateformes, avec notamment en lien avec les droits sur la protection des données. En pratique, cela suppose par exemple de privilégier des prestataires offrant des garanties claires en matière de localisation des données, de réversibilité et d’interopérabilité des systèmes. Pour les organisations suisses, cela peut passer par le choix de solutions dont les données sont hébergées en Suisse ou en Europe, par des contrats précisant explicitement les conditions de restitution des données en cas de changement de fournisseur, ou encore par une vigilance accrue sur les clauses relatives à la réutilisation des données à des fins d’entraînement ou d’amélioration des outils.

Souveraineté numérique et IA

Les larges modèles de langage et leur essor dans les organisations ont été l’occasion de relancer le débat sur la souveraineté numérique, parce qu’ils transforment la question «où sont stockées les données?» en une question plus sensible encore: qui contrôle l’IA, et à qui appartient ce qu’elle apprend des données d’une organisation? Au niveau tant organisationnel qu’individuel, cela peut être associé à une crainte que des données RH soient utilisées à des fins d’entraînement, directement ou indirectement. D’autre part, l’IA rend possible des usages qui peuvent nuire à la souveraineté numérique individuelle. C’est cela que la loi européenne régule (dont l’AI Act), en interdisant notamment certains usages jugés inacceptables comme l’inférence des émotions en milieu de travail (sauf exceptions limitées), et en marquant comme à haut risque plusieurs systèmes d’IA liés à l’emploi et à la gestion des travailleurs.

En définitive, la souveraineté numérique en RH ne se résume pas à une question technique ou réglementaire. Elle interroge la capacité des organisations à rester maîtresses de leurs choix numériques, tout en garantissant aux employés·es un pouvoir d’agir réel sur les dispositifs qui structurent leur travail. Dans un contexte de montée en puissance de l’IA, la fonction RH est appelée à jouer un rôle clé pour concilier innovation, protection des personnes, confiance et gouvernance des données et des technologies affectant le travail.

1 Türk, P. (2020). Définition et enjeux de la souveraineté numérique. Cahiers français, 415(2), 18-28.