La législation qui s'applique à vous
Agents at Work — CC BY 4.0
La plupart des petits opérateurs qui utilisent l’IA pour traiter les données personnelles ont une conviction rassurante : il n’y a pas de loi sur l’IA ici, donc il n’y a pas lieu de s’inquiéter. C’est l’erreur d’interprétation la plus dangereuse de tout ce cours. Il n’existe peut-être pas de « loi sur l’IA » spécifique en Nouvelle-Zélande, mais la législation déjà en vigueur s’applique aux activités de votre agent, et « l’absence de règle spécifique à l’IA » ne signifie pas « l’absence de règles ». Cette leçon vous sert de guide. Il s’agitd’une formation générale, et non d’un conseil juridique: le terrain est parfois véritablement instable, et votre situation particulière mérite un avis d’un spécialiste.
Nouvelle-Zélande — le droit général, et il a du mordant
La Nouvelle-Zélande ne dispose d’aucun équivalent de la réglementation européenne sur la prise de décision automatisée . Les treize principes de protection des données de la loi de 2020 sur la vie privée ne contiennent aucune disposition relative à l’IA ou à la prise de décision automatisée. (L’ examen quinquennal mené par le commissaire à la protection de la vie privée s’est penché sur la question de savoirs’il fallait ajouter des garanties pour la prise de décision automatisée — cela pourrait donc changer ; restez à l’affût.) Concrètement, cela signifie que l’IA dans le recrutement et le traitement des données à caractère personnel est régie par le droit général de la protection de la vie privée et le droit de la lutte contre la discrimination — qui s’appliquent à vous, que l’on mentionne ou non le terme « IA ».
Les principes de la loi sur la protection de la vie privée les plus contraignants :
- IPP1 — ne collectez que ce dont vous avez besoin. Vous ne devriez pas exiger des informations d’identification que la finalité ne justifie pas. C’est le fondement juridique du principe « d’anonymisation » du niveau 2 : fournir à un agent un nom, une photo ou une date de naissance dont il n’a pas besoin pour accomplir sa tâche va à l’encontre de ce principe.
- IPP5 — assurez la sécurité des informations personnelles, ce qui couvre expressément ce que vous saisissez dans un outil d’IA. Le Commissaire à la protection de la vie privée a clairement indiqué que votre obligation de sécurité s’étend jusqu’à la ligne de commande. Coller les coordonnées d’un client ou d’un candidat dans un LLM public susceptible de les stocker ou de les utiliser pour son apprentissage n’est pas une zone grise — c’est précisément l’objet de ce principe. C’est le seul fait qui devrait mettre un terme net à l’argument « on a juste collé les CV dans un chatbot ».
- IPP8 — exactitude, et IPP11 — limites de la divulgation. La question de savoir si le fait de confier des informations personnelles à un service externe (en particulier à l’étranger) constitue une divulgation nécessitant une base légale n’ est pas encore tranchée en Nouvelle-Zélande — il n’existe pas encore de jurisprudence à ce sujet —, ce qui est précisément la raison pour laquelle vous devez en décider avant d’activer l’agent .
La loi de 1993 sur les droits de l’homme — celle que tout le monde oublie. L’article 21 énumère les motifs interdits (sexe, âge, origine ethnique ou nationale, handicap, situation familiale, etc.). L’article 22 rend illégal le refus d’un candidat qualifié pour un motif interdit — et le paragraphe 22(2) vise expressément les recruteurs. Il est essentiel de noter qu’un résultatayant un impact disparate peut constituer une violation, quelle que soit l’intention: un critère de sélection qui semble neutre à première vue mais qui touche de manière disproportionnée un groupe protégé peut être illégal même si personne n’avait l’intention de discriminer. C’est pourquoi le test d’impact négatif du niveau 3 ne sont pas une simple courtoisie facultative — c’est le moyen de savoir si vous vous trouvez du mauvais côté de la barrière.
Ce que le Commissaire à la protection de la vie privée attend (il s’agit d’orientations, et non de dispositions légales strictes — mais elles définissent ce que signifie « raisonnable ») : l’aval de la haute direction ; une analyse d’impact sur la vie privée avant d’utiliser l’outil; la transparence vis-à-vis des personnes concernées ; la communication avec Māori concernant les risques que leurs informations font courir à taonga; un véritable examen humain avant d’agir; et des outils qui ne conservent ni ne divulguent les données. Le Commissaire souligne que la sélection des candidatures par IA présente un bilan « peu réussi », prévient qu’une intervention humaine symbolique ne suffira peut-être pas à pallier les lacunes de l’automatisation — et déclare, en substance : en cas de doute, n’utilisez pas d’outils d’IA pour traiter des données à caractère personnel.
L’Europe — si vous traitez ne serait-ce qu’un seul candidat basé dans l’UE
Vous pourriez penser que le droit européen est le problème de quelqu’un d’autre . Il peut s’appliquer à une entreprise néo-zélandaise par une voie spécifique : non pas là où votre entreprise est implantée, mais là où le résultat est utilisé. Si la décision de votre agent est utilisée à l’égard d’une personne située dans l’UE, les règles de l’UE peuvent s’appliquer à vous.
- Article 22 du RGPD — les décisions entièrement automatisées concernant une personne sont en principe interdites. Une décision de recrutement prise uniquement par une machine en est l’exemple type. Ce qui permet de la soustraire à cette interdiction, c’est une implication humaine réelle et non symbolique — une personne disposant de l’autorité et des informations nécessaires pour parvenir à une réponse différente. Si le processus est véritablement entièrement automatisé, il n’est licite que dans des cas très limités et toujours assorti de garanties (intervention humaine, droit d’être entendu, droit à une explication, droit de contestation et mesures anti-biais).
- La loi européenne sur l’IA considère l’IA appliquée au recrutement comme à haut risque. Les systèmes utilisés pour recruter ou sélectionner — pour filtrer les candidatures ou évaluer les candidats — sont qualifiés de « à haut risque » et sont soumis à des obligations, notamment une supervision humaine effective. Un système qui classe ou filtre des personnes n’ échappe pas à cette règle en invoquant le fait qu’il s’agit d’une « tâche restreinte ». (Les obligations prévues par la loi s’appliquent progressivement selon un calendrier transitoire ; vérifiez les dates d’entrée en vigueur actuelles dans le règlement lui-même avant de vous fier à une date précise — ce domaine évolue rapidement.)
Où se situe l’exposition
Si l’on combine les deux juridictions, le même schéma se dessine dans les deux : une décision concernant une personne, prise ou fortement influencée par une machine, sans véritable jugement humain et sans contrôle des biais, est là où réside le risque juridique — au titre du droit de la discrimination et du droit à la vie privée ici, et au titre de l’article 22 et de la loi sur l’IA si vous vous étendez en Europe. « Il n’y a pas de loi sur l’IA » n’a jamais constitué un moyen de défense. Les principes des niveaux précédents — collecter moins, assurer la garde des données, vérifier l’impact négatif, prendre une véritable décision humaine, et parfois ne pas automatiser du tout — ne sont pas seulement de bonnes pratiques. C’est ainsi que vous restez en conformité avec la loi qui existe déjà.
Pensez à une tâche liée aux données à caractère personnel que vous confieriez à un agent. Sur laquelle des lignes ci-dessus un avocat serait-il le plus enclin à vous interroger : la consigne copiée-collée (IPP5), l’impact disparate (article 22 de la HRA) ou l’absence de décision humaine (article 22) ? C’est sur celle-là que vous devriez demander conseil en premier lieu.
Ensuite
La loi mentionne une obligation qui est aussi une valeur : dialoguer avec Māori au sujet de ses données. Cela mérite une leçon à part entière.
Partagé librement, en toute bonne foi. Si cela vous a été utile, un koha destiné à couvrir les coûts de développement et de fonctionnement est le bienvenu.
Laisser un koha →