IA et analyse des emails au travail : quels garde-fous demander à votre employeur ?
En 2026, certaines entreprises dans le canton de Genève, dans le canton de Vaud et ailleurs en Suisse déploient des outils d’IA pour classer, résumer ou détecter des risques dans les emails et tickets. Cela peut vite ressembler à de la surveillance. L’équipe JuriUp vous propose une grille simple de questions et de garde-fous à exiger par écrit, en lien avec la LPD et les règles usuelles du droit du travail suisse.
La question posée
« Mon employeur veut activer un outil d’IA qui va analyser nos emails et nos tickets pour repérer des risques, faire des résumés et “améliorer la performance”. Est-ce légal en Suisse ? Qu’est-ce que je peux demander comme garde-fous, surtout sur la finalité, l’accès aux résultats et la durée de conservation ? »
Équipe JuriUp
Équipe de rédaction et de contenu juridique JuriUp, en collaboration avec des avocats partenaires en protection des données et en droit du travail.
La réponse de l’équipe JuriUp
En Suisse, le fait qu’un employeur utilise un outil d’IA pour analyser des emails internes n’est pas automatiquement illégal. En revanche, cela touche directement à des données personnelles et à la sphère privée au travail, donc la démarche doit être cadrée. En pratique, ce qui fait la différence, ce sont les garde-fous concrets, documentés et appliqués dans la durée, pas une phrase vague dans une politique interne.
1. Clarifier la finalité, et l’écrire noir sur blanc
Le premier réflexe est de demander une réponse simple à une question qui met souvent mal à l’aise, justement parce qu’elle révèle les zones grises. Pourquoi analyse-t-on ces emails, précisément ? Selon la législation suisse sur la protection des données, l’employeur devrait pouvoir expliquer une finalité déterminée et compréhensible. Une finalité du type « améliorer l’efficacité » est trop large si elle permet ensuite tout et n’importe quoi, par exemple du scoring RH individuel ou une surveillance continue. Concrètement, vous pouvez demander une confirmation écrite de points comme ceux-ci, avec une formulation sans ambiguïté :- Finalité exacte (exemples fréquents en entreprise : tri automatique des tickets, aide à la rédaction, détection d’emails de phishing, archivage structuré) et exclusion explicite des finalités non prévues.
- Interdiction d’usage disciplinaire automatique des résultats de l’IA, sauf analyse humaine et procédure interne claire.
- Pas de surveillance permanente du comportement individuel, ou à tout le moins une limitation stricte, sous réserve des règles applicables en droit du travail et de la protection de la personnalité.
Point de vigilance : Si la finalité n’est pas claire, ou si elle est formulée de manière extensible, vous prenez le risque que l’outil serve ensuite à évaluer vos performances, vos horaires, votre “tonalité” dans les échanges ou vos relations internes. C’est typiquement le moment où un avis d’un avocat spécialisé vaut la peine.
2. Limiter les données analysées (minimisation et ciblage)
Même avec une bonne finalité, l’outil peut être trop intrusif si son périmètre est trop large. L’objectif est simple : réduire ce que l’IA voit, réduire ce qu’elle conserve, et réduire ce qu’elle déduit. Voici une grille de questions utile, à adresser aux ressources humaines, à l’IT ou au responsable de la protection des données de l’entreprise :- L’outil analyse-t-il le contenu des emails, ou seulement des métadonnées (expéditeur, objet, date) ?
- Analyse-t-il tous les dossiers, ou uniquement des boîtes fonctionnelles (support, sales, helpdesk) ?
- Les pièces jointes sont-elles incluses, et si oui, lesquelles (PDF, documents, images) ?
- Existe-t-il une liste d’exclusions (par exemple échanges avec un avocat, sujets sensibles, canaux privés autorisés par le règlement) ?
- Le système effectue-t-il une détection d’émotions, d’intentions ou de “risque comportemental” ? Si oui, sur quelle base et avec quel contrôle humain ?
Conseil pratique
Demandez un document simple, par exemple une note interne ou une annexe au règlement, qui décrit le périmètre exact de l’analyse IA. Un échange oral en séance ne protège pas grand-chose si le projet évolue ensuite.
3. Encadrer l’accès aux résultats, et éviter l’effet boîte noire
Une IA peut générer des résumés, des tags, des alertes ou des scores. Le vrai risque se situe souvent là. Qui voit ces résultats, et comment sont-ils utilisés ? Vous pouvez demander des garde-fous du type :- Accès strictement limité aux personnes qui en ont besoin pour la finalité annoncée, avec des droits d’accès documentés.
- Journalisation des accès (qui a consulté quoi, quand), et audit interne possible.
- Interdiction de diffusion des résultats IA dans des canaux non prévus, par exemple partage large dans des chats d’équipe ou export dans des fichiers locaux.
- Contrôle humain obligatoire avant toute décision qui vous touche, surtout si cela peut avoir un impact RH.
4. Fixer une durée de conservation et des règles d’effacement
Une analyse IA produit souvent de nouvelles données, comme des tags, des profils, des catégories ou des alertes. Même si les emails d’origine existent déjà, les résultats dérivés peuvent devenir très sensibles. La demande la plus utile est simple : combien de temps conserve-t-on les emails analysés, et combien de temps conserve-t-on les résultats de l’IA ? Sans entrer dans des délais chiffrés, qui dépendent fortement du secteur et des obligations internes, vous pouvez exiger des règles de base :- Durées de conservation définies par catégorie de données (emails, logs, tags IA, alertes).
- Effacement ou anonymisation au terme prévu, et pas une conservation indéfinie “au cas où”.
- Séparation entre les données nécessaires à un dossier concret (incident de sécurité, litige) et la masse des échanges ordinaires.
- Règles d’export et interdiction des copies sauvages sur des appareils privés ou des stockages non autorisés.
À garder en tête : Si un outil IA est fourni par un prestataire externe, la question du lieu de traitement et des transferts de données devient centrale. En cas de doute, ne restez pas seul avec vos questions, un avis ciblé d’un avocat spécialisé via JuriUp permet souvent de clarifier très vite ce qui doit être exigé contractuellement.
Les points clés à retenir
Démarches recommandées
- Demandez la documentation du projet (note interne, politique de confidentialité, description du périmètre et des fonctions activées).
- Obtenez la finalité par écrit, avec des exclusions claires, notamment sur l’évaluation individuelle automatisée.
- Vérifiez le périmètre (quelles boîtes, quelles catégories d’emails, pièces jointes, métadonnées, tickets) et demandez des limitations si c’est trop large.
- Exigez un encadrement d’accès aux résultats, avec une liste de rôles autorisés et une journalisation des consultations.
- Clarifiez la conservation (emails, tags IA, alertes, logs), puis demandez un mécanisme d’effacement ou d’anonymisation.
- Faites valider le dispositif par un avocat spécialisé si votre contexte est sensible (conflit RH, restructuration, suspicion de surveillance, prestataire externe, transferts de données).
Vous voulez sécuriser vos droits avant l’activation de l’outil IA ?
Décrivez votre situation sur JuriUp et nous vous mettons gratuitement en relation avec un avocat spécialisé ou un juriste en protection des données et droit du travail, adapté à votre canton et à votre contexte (politique interne, consultation du personnel, accès IT, conservation, prestataire externe).
Questions fréquentes
-
Mon employeur a-t-il le droit de lire mes emails professionnels ?
Cela dépend du cadre interne (règlement, usage privé toléré ou interdit) et de la situation. En général, un employeur peut organiser l’utilisation des outils de travail, mais il doit respecter la protection de la personnalité et la législation suisse sur la protection des données. Si une lecture ou une analyse est envisagée, vous pouvez demander une finalité précise, un périmètre limité et un accès encadré.
-
Une IA peut-elle produire des “scores” sur les employés à partir des emails ?
C’est un point sensible. Même si l’outil le permet techniquement, ce type d’usage peut poser des problèmes sérieux en droit suisse, notamment si cela revient à une surveillance ou à une évaluation automatisée sans cadre clair. Si votre entreprise parle de scoring, d’alertes comportementales ou de “risque RH”, il est prudent de demander un avis d’un avocat spécialisé via JuriUp.
-
Quels garde-fous demander en priorité si je ne peux en demander que trois ?
En pratique, les trois plus efficaces sont la finalité écrite et limitée, un accès strict et journalisé aux résultats IA, puis des durées de conservation claires avec effacement ou anonymisation. Si l’un de ces points reste flou, le risque de dérive augmente.
-
Que faire si l’outil IA est fourni par un prestataire externe ?
Demandez où les données sont traitées, qui y a accès chez le prestataire, et quelles garanties contractuelles existent. Les transferts et la sous-traitance doivent être encadrés. Si vous n’obtenez pas de réponse claire, un expert juridique JuriUp peut analyser votre situation et vous aider à formuler des demandes précises.
-
Comment obtenir un avis rapide et fiable en Suisse romande ?
Le plus simple est de passer par JuriUp. Vous décrivez votre situation et vous recevez une mise en relation gratuite avec un expert juridique adapté. Vous pouvez aussi consulter le plan du site pour trouver d’autres contenus utiles sur vos droits.
Sources juridiques
- Fedlex, portail officiel du droit fédéral suisse (textes légaux, dont la LPD)
- Préposé fédéral à la protection des données et à la transparence (PFPDT), informations et recommandations
- SECO, informations officielles sur le droit du travail et la protection de la santé au travail
- Administration fédérale, accès aux informations officielles et aux autorités
- Tribunal fédéral, jurisprudence (recherches d’arrêts)
