Prévention augmentée par l’IA : agir mieux, sans surveiller les personnes

Midjourney/Ricardo Moreira

Voir les risques, pas les gens

Entre promesses d’efficacité et crainte de « flicage », l’usage de l’IA en Santé Sécurité au travail (SST) impose une ligne claire : réduire les presqu-accidents et accélérer l’action sans surveiller les personnes. C’est l’esprit du règlement européen sur l’IA (AI Act) : interdictions pour les pratiques « à risque inacceptable » (ex. reconnaissance des émotions au travail, scraping non ciblé d’images faciales) et obligations proportionnées selon 4 niveaux de risque (inacceptable, élevé, limité, minimal). Les premières interdictions s’appliquent depuis le 2 février 2025 ; d’autres obligations (GPAI, gouvernance) montent en puissance en 2025-2027.

Sources: Ministère du numérique, CNIL, Cloix-Mendès-Gil

1) Lignes rouges : ce que l’IA ne doit pas faire

Le règlement européen bannit plusieurs pratiques jugées inacceptables :

• reconnaissance des émotions sur le lieu de travail,
• catégorisation biométrique révélant des caractéristiques sensibles,
• Extraction non ciblée d’images faciales depuis internet/caméras pour entraîner des systèmes.

Ces usages n’ont pas leur place dans un projet de prévention : on évalue des situations (non-port d’EPI, franchissement de zones), pas les personnes.

Côté entreprise, la CNIL rappelle les fondamentaux : finalité légitime, information claire des salariés, proportionnalité du dispositif, et durées de conservation courtes. Pour les systèmes vidéo, les lignes directrices de l’EDPB (European Data Protection Board) donnent des cas concrets (zones à exclure, affichage, droits, etc.).

Sources: Parlement européen, Comission européenne, European Data Protection Board,  CNIL

2) Les usages utiles et non intrusifs (les “no-regret”) et leur classement AI Act

Le classement dépend du contexte. Hors évaluation disciplinaire des salariés et sans biométrie, ces cas d’usage restent hors “haut risque” ; ils basculent en « haut risque » s’ils servent à évaluer/manager des personnes au sens de l’Annexe III (« emploi, gestion des travailleurs ») ou s’ils deviennent composants de sécurité d’un produit soumis à réglementation.

Voici quatre cas d’usage qui diminuent les presqu’accidents sans surveiller les personnes :

1. a) Vision EPI et zones d’exclusion… sans identification
   Détecter le non-port d’EPI, un piéton en zone chariots ou un franchissement de ligne ; générer des alertes et cartes de chaleur (heatmap) pour cibler les actions. Conditions de succès : floutage ou cadrage pour éviter l’identification, information des équipes, rétention courte. Classement indicatif : limité/minimal (pas d’identification ni d’usage disciplinaire). Bascule en haut risque si l’outil évalue la performance des salariés.
2. b) Analyse des presqu-accidents à partir des retours terrain
   Classer automatiquement les signalements, faire ressortir les thèmes récurrents et les causes racines, prioriser les actions. Le presqu-accident = événement indésirable sans dommage : c’est une mine d’enseignements quand on l’exploite de façon systématique. Classement indicatif : limité/minimal si pas d’évaluation individuelle ; haut risque si utilisé pour décisions RH.
3. c) Anomalies IoT & maintenance préventive
   Des capteurs IoT (température, pression, vibrations, énergie…) couplés à l’IA repèrent les dérives en temps réel et déclenchent la maintenance préventive, ce qui limite les pannes et réduit le temps d’exposition aux incidents (incendie, casse, intoxication). Pour les gaz dangereux/ATEX, la détection fixe/portable constitue une alerte précoce à condition de tester/étalonner régulièrement les capteurs et d’en cadrer l’usage (procédures, vérifications). Classement indicatif : limité/minimal en supervision ; haut risque si l’IA devient composant de sécurité d’un produit soumis à réglementation (arrêt machine, etc.).
4. d) Tableaux de bord HSE “priorisateurs”
   Agrégation des signaux (écarts, audits, incidents) pour sortir 5 actions à impact rapide par semaine. L’IA assiste ; la décision reste humaine (et traçable). C’est conforme à l’approche par les risques du cadre européen. Classement indicatif : limité/minimal (outil d’aide), haut risque en cas d’usage décisionnel RH.

Sources: Union européenne, EU Artificial Intelligence Act, INRS, CNIL, Seban

3) Intégrer une IA sous contrôle : une proposition de check-list en 10 points

1. Finalité & périmètre : formalisés et connus des équipes (affichage + note d’info).
2. Information claire des salariés : utilisez un modèle CNIL et adaptez-le au site.
3. Minimisation & rétention courte : ne pas identifier les personnes ; conserver quelques jours suffira souvent (sauf enquête).
4. Zones interdites & masquage : pas de captation dans vestiaires/pauses ; privilégier le floutage.
5. Surveillance humaine : l’IA suggère, l’humain valide/infirme (éviter tout « management algorithmique » des personnes).
6. Journalisation & traçabilité : garder des traces des détections/décisions (audit & amélioration continue).
7. Tests & robustesse : mesurer faux positifs/faux négatifs ; prévoir un repli manuel. (Bonnes pratiques CNIL/EDPB, et focus cybersécurité ANSSI).
8. Calendrier AI Act : interdictions 02/02/2025, GPAI/gouvernance 02/08/2025, application générale 02/08/2026, compléments jusqu’en 2027.
9. Cybersécurité IoT & données : chiffrement, MFA, mises à jour, journalisation et durcissement selon l’ANSSI ; vérifier la conformité RED (cybersécurité obligatoire pour équipements radio/IoT au 1ᵉʳ août 2025).
10. Gouvernance & ISO/IEC 42001 : mettez en place un système de management de l’IA (première norme certifiable, 12/2023).

CSE obligatoire : en France, l’introduction de nouvelles technologies ou tout aménagement important modifiant les conditions de SST au travail doit être consulté au CSE, Comité Social et Économique (Code du travail L2312-8).

Sanctions pour les pratiques interdites selon le Parlement Européen : AI Act jusqu’à 35 M€ ou 7 % du CA mondial (selon la violation); et pour ce qui touche au RGPD jusqu’à 20 M€ ou 4 % du CA mondial.

Sources: Parlement européen, AFNOR, Légifrance, Code du travail, EDPB, SEIDOR

4) Quand NE PAS utiliser l’IA (ou pas tout de suite)

• Petites structures / faible volume de données : coûts de mise en place supérieur aux bénéfices
• Environnements trop changeants (layout/flux très instables) : risque élevé de faux positifs/recalibrages permanents.
• Objets mal sécurisés : si l’IoT n’est pas durci (mots de passe, mises à jour, chiffrement), ne branchez pas l’IA dessus.
• Risque du biais d’automatisation (excès de confiance) : imposez une vérification humaine et un droit de désactivation.

Sources: INRS, OSHA Europa

Efficacité + confiance, le bon équilibre

Mettre l’IA au service de la prévention, c’est choisir des usages utiles et non intrusifs : vision sécurité sans identification, analyse des presqu’accidents, détection d’anomalies IoT, tableaux de bord qui priorisent l’action. En appliquant quelques mesures de maîtrise simples (finalités claires, minimisation des données, information des équipes, supervision humaine, tests et journalisation), on obtient l’essentiel : moins de presqu’accidents, des décisions plus rapides et mieux ciblées, une confiance préservée.

Le vrai enjeu n’est pas d’avoir “plus d’IA”, mais d’avoir la bonne IA, bien intégrée, sous contrôle, et alignée sur vos risques réels. Commencez petit, mesurez l’impact, industrialisez ce qui fonctionne : c’est la voie la plus sûre pour la sécurité comme pour l’adhésion des équipes.

Et pour passer de l’idée à l’action : rendez-vous sur le salon Safexpo, où Inforisque présentera son village start-up Prévention. Sur place, découvrez des solutions concrètes et innovantes pour la santé et sécurité au travail.

Article écrit par INFORISQUE.