Les élus CFDT au CSE, premiers acteurs du dialogue social, doivent s’emparer de leurs prérogatives en matière de nouvelles technologies pour assurer la prise en compte des intérêts des salariés et les prémunir contre d’éventuelles atteintes à leurs droits et à leurs libertés fondamentales. L’intelligence artificielle étant susceptible de modifier profondément l’organisation du travail, d’entraîner des suppressions d’emplois et une surveillance accrue des travailleurs, le CSE doit être informé et consulté sur les systèmes d’IA que l’entreprise utilise, cette consultation devant permettre d’appréhender les conséquences environnementales du projet (Art. L 2312-8 du code du Travail).
Préambule
Il est important de rappeler les dispositions de l’article L. 2312-15 du code du Travail qui prévoit que :
« Le comité social et économique émet des avis et des vœux dans l’exercice de ses attributions consultatives. Il dispose à cette fin d’un délai d’examen suffisant et d’informations précises et écrites transmises ou mises à disposition par l’employeur, et de la réponse motivée de l’employeur à ses propres observations (…) »

Des évolutions relatives à la protection des données
Les publications par le Comité européen de la protection des données et les mises à jour de la CNIL renforcent les dispositifs de prévention des cyberattaques de détection des violations de données, et les obligations de transparence des entreprises vis-à-vis des utilisateurs.
Les élus CFDT au CSE doivent s’assurer d’actions concrètes en vérifiant :
• La cartographie des données : types de données personnelles traitées, sources et finalité de traitement.
• La nomination d’un délégué à la protection des données (DPO), lorsqu’elle est obligatoire.
• L’évaluation des risques et la mise à jour des politiques de confidentialité.
• Le renforcement de la sécurité des données.
• La procédure de notification de violation de données mise en place.
• Quels types de formations sont proposés aux équipes : RGPD et gestion des données personnelles.
Encadrement des systèmes d’intelligence artificielle
Le règlement européen AI Act (UE 2024/1689) encadre le développement et l’usage de l’IA pour protéger les droits humains et la sécurité des utilisateurs.
Les élus CFDT au CSE doivent interroger l’employeur sur :
• La classification des systèmes d’IA utilisés selon leur niveau de risque : faible, moyen, élevé ou inacceptable.
• La réalisation d’un audit des systèmes d’IA à risque élevé.
• La mise en place d’une analyse d’impact sur la protection des droits fondamentaux.
• La documentation et l’édition d’un rapport de conformité.
• La transparence auprès des utilisateurs et leur information sur l’utilisation de l’IA.
• La réalisation d’une veille réglementaire : le suivi des mises à jour de l’AI Act et l’adaptation du système si des critères évoluent.

Renforcement de la responsabilité sociétale des entreprises (RSE)
Les entreprises doivent mettre en place des systèmes de collecte de données pour la déclaration de performance extra-financière (Directive européenne sur le reporting de durabilité des entreprises – CSRD). La Directive introduit des obligations accrues en matière de transparence environnementale, sociale et de gouvernance.
Les entreprises concernées doivent publier un rapport détaillé sur leur performance RSE, incluant des indicateurs sur leur empreinte carbone, la gestion des ressources humaines, l’égalité femmes/hommes, etc.
Les élus CFDT au CSE vérifient que l’employeur a :
• Établi une stratégie RSE, avec des objectifs RSE (environnementaux, sociaux, de gouvernance).
• Identifié les indicateurs clés de performance (KPI) RSE.
• Mis en place un système de collecte de données pour produire un rapport annuel conforme aux exigences de la CSRD.
• Rédigé et publié la Déclaration de performance extra-
financière (DPEF) en ayant recours à un tiers vérificateur indépendant pour faire valider son rapport.
• Vérifié la conformité de la chaîne d’approvisionnement des partenaires et des fournisseurs.
Obligations en matière de sécurité numérique
La cybersécurité est un pilier transversal obligatoire qui demande à se mettre en conformité avec les normes
européennes (NIS2, DORA), en renforçant audits, tests d’intrusion, gestion des incidents, et pose l’obligation de notifier les violations de données.
Pour se mettre en conformité, les entreprises concernées doivent :
• Évaluer les risques et les priorités de sécurité.
• Mettre en place des mesures de protection renforcées.
• Formaliser une procédure de déclaration des incidents.
• Sensibiliser et former les salariés aux pratiques de cybersécurité et à la détection des cybermenaces.
• Réaliser une surveillance et une maintenance continue.
• Mettre en place une veille cybersécurité afin d’anticiper les nouvelles menaces et appliquer les correctifs de
sécurité nécessaires pour se conformer aux standards de la directive NIS2.






