Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

AI Act et recrutement 2026 : l'IA RH en haut risque

L'IA de recrutement est haut risque (annexe III). Obligations du déployeur (Art. 26), surveillance humaine, information des candidats et articulation Art. 22 RGPD.

L’essentiel. Les systèmes d’IA utilisés pour le recrutement et la gestion des ressources humaines sont classés à haut risque par l’annexe III (point 4) du AI Act (règlement (UE) 2024/1689). L’entreprise qui les utilise est un déployeur soumis aux obligations de l’article 26 : surveillance humaine effective, information des candidats et salariés, journalisation, respect de la notice d’utilisation. Ces obligations s’articulent avec l’article 22 du RGPD sur les décisions automatisées. Les échéances d’application se situent principalement à partir d’août 2026.

Le tri automatique de CV, le scoring de candidats, l’analyse vidéo d’entretiens, les outils de matching : l’IA s’est installée dans le recrutement et la gestion RH plus vite que la conformité ne l’a suivie. Or le législateur européen a explicitement rangé ces usages parmi les systèmes à haut risque, ceux qui appellent les obligations les plus lourdes du AI Act après les pratiques interdites. Pour un DRH ou un dirigeant de PME, c’est un signal clair : l’IA RH n’est pas un outil de productivité anodin, c’est un système réglementé.

Cet article détaille pourquoi l’IA de recrutement est classée haut risque, quelles obligations pèsent sur l’entreprise déployeuse, et comment articuler ces exigences avec le RGPD — notamment l’interdiction de principe des décisions entièrement automatisées. Pour le contexte général, voir notre actualité AI Act 2026 et le calendrier de l’AI Act.

Pourquoi l’IA RH est classée haut risque

L’annexe III du AI Act énumère les domaines dans lesquels un système d’IA est présumé à haut risque. Son point 4 vise l’emploi, la gestion des travailleurs et l’accès à l’emploi indépendant, en particulier :

  • Les systèmes destinés au recrutement ou à la sélection : diffusion ciblée d’offres, analyse et filtrage de candidatures, évaluation des candidats
  • Les systèmes utilisés pour des décisions affectant les conditions de travail, la promotion ou le licenciement, l’attribution de tâches, ou le suivi et l’évaluation des performances

La logique du législateur est celle du risque pour les droits fondamentaux : un tri algorithmique peut reproduire ou amplifier des discriminations (genre, origine, âge, handicap), avec un effet direct sur l’accès à l’emploi, sans que la personne concernée puisse aisément le contester. C’est précisément le type de risque que le AI Act entend encadrer. Voir notre analyse IA, recrutement et discrimination et le guide classification des risques IA.

Vous êtes déployeur : les obligations de l’article 26

Dans la quasi-totalité des cas, l’entreprise qui recrute utilise un outil d’IA fourni par un éditeur tiers. Elle est donc déployeur au sens du AI Act, et non fournisseur. Les obligations du déployeur figurent à l’article 26. Les principales :

Obligation (Art. 26) Ce que cela implique en pratique
Utiliser le système conformément à la notice Respecter les conditions d’usage prévues par le fournisseur, ne pas détourner l’outil
Assurer une surveillance humaine effective Désigner des personnes compétentes, formées, dotées de l’autorité pour ne pas suivre la recommandation de l’IA
Contrôler la pertinence des données d’entrée S’assurer que les données introduites sont pertinentes au regard de la finalité
Assurer la journalisation (logs) Conserver les journaux générés par le système, sous le contrôle du déployeur
Informer les personnes concernées Informer les candidats et salariés qu’un système d’IA à haut risque les concerne
Coopérer avec les autorités Fournir la documentation en cas de contrôle
Réaliser une FRIA le cas échéant Analyse d’impact sur les droits fondamentaux (Art. 27) pour certains déployeurs

L’obligation la plus structurante est la surveillance humaine. Elle ne se satisfait pas d’un humain qui valide machinalement les recommandations de l’outil. L’article 14 (repris via l’article 26) exige une supervision par une personne qui comprend le système, peut en interpréter les résultats, et dispose de la capacité effective de s’en écarter. Un recruteur qui suit systématiquement le classement de l’algorithme ne remplit pas cette obligation.

L’articulation avec l’article 22 du RGPD

C’est le point où beaucoup d’entreprises se trompent. Le recrutement automatisé relève de deux régimes cumulatifs : le AI Act (conformité du système) et le RGPD (traitement de données personnelles).

L’article 22 du RGPD pose un principe : une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative. Le rejet d’une candidature par un algorithme entre typiquement dans ce champ.

Régime Ce qu’il exige pour l’IA de recrutement
Art. 22 RGPD Pas de décision exclusivement automatisée sans base légale spécifique ; droit à une intervention humaine, à s’exprimer, à contester
Art. 26 AI Act Surveillance humaine effective, information, journalisation, usage conforme

Les deux logiques convergent vers la présence humaine réelle dans la décision. Concrètement, l’entreprise doit garantir qu’aucun candidat n’est écarté par la seule machine : un décideur humain doit examiner et pouvoir infirmer la recommandation. Elle doit aussi permettre au candidat d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision. Attention aussi aux données sensibles : un outil déduisant l’origine, la santé ou les opinions à partir d’un CV ou d’une vidéo soulève un risque majeur au titre de l’article 9 du RGPD.

Une AIPD est ici pratiquement systématique, l’IA RH cochant plusieurs critères de l’article 35 (évaluation systématique, décision affectant les personnes). Voir notre guide AIPD et intelligence artificielle et les recommandations CNIL sur l’IA.

Le cas particulier des outils de CV screening

Les outils de CV screening (analyse et classement automatique de CV) sont les plus répandus et les plus exposés. Points de vigilance :

  • Biais des données d’entraînement : un outil entraîné sur les recrutements passés d’une entreprise peut reproduire ses biais historiques (sous-représentation de certains profils)
  • Corrélations indirectes : un algorithme peut inférer un critère discriminatoire (genre, origine) à partir de variables apparemment neutres (prénom, adresse, parcours, activités)
  • Opacité : le candidat écarté ne sait généralement pas qu’un algorithme l’a filtré, ni pourquoi — d’où l’importance de l’obligation d’information et d’explicabilité

La responsabilité se partage : le fournisseur de l’outil doit fournir la documentation technique et la notice ; le déployeur (l’entreprise) doit l’utiliser correctement, superviser et informer. Mais c’est l’entreprise qui recrute qui reste en première ligne vis-à-vis des candidats et des autorités.

L’analyse vidéo et l’évaluation émotionnelle : la ligne rouge

Un cas particulier mérite une vigilance renforcée : les outils qui analysent la voix, le visage ou les expressions des candidats lors d’entretiens vidéo pour en déduire des traits de personnalité ou un « fit » avec le poste. Ces dispositifs cumulent les risques. D’une part, ils reposent souvent sur des fondements scientifiques contestés (la lecture des émotions à partir du visage est loin d’être établie). D’autre part, le AI Act interdit en principe les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement (article 5), sauf exceptions strictes (sécurité, raisons médicales).

Un outil de recrutement qui prétend évaluer l’état émotionnel ou la personnalité d’un candidat via l’analyse de son visage ou de sa voix peut donc basculer d’un régime « haut risque » vers une pratique interdite — le palier de sanction le plus lourd. Avant de déployer un tel outil, la question n’est plus « comment le mettre en conformité ? » mais « est-il seulement licite ? ». Voir notre article sur les amendes de l’AI Act pour mesurer l’exposition.

Information des candidats et des salariés

L’obligation d’information se cumule sur plusieurs fondements :

  • RGPD (Art. 13-14) : information sur le traitement de données, la logique sous-jacente à une décision automatisée, les droits
  • AI Act (Art. 26 et 50) : information sur le fait qu’un système d’IA à haut risque est utilisé, et transparence sur l’interaction avec un système d’IA
  • Droit du travail français : information et consultation du CSE préalablement à la mise en place d’un dispositif affectant les conditions de travail ou de recrutement (le CSE doit être informé des traitements automatisés utilisés pour la gestion du personnel)

Cette triple information est une exigence concrète et vérifiable, souvent le premier point qu’une autorité contrôlera — voir notre guide contrôles AI Act 2026.

Calendrier d’application

L’entrée en application des obligations haut risque de l’annexe III est échelonnée. Pour l’IA RH relevant du point 4, les obligations deviennent principalement applicables à partir d’août 2026, avec une montée en charge se poursuivant vers 2027.

Calendrier indicatif fondé sur le texte du règlement. Les normes harmonisées et actes d’exécution qui préciseront les exigences techniques ne sont pas encore tous publiés ; certaines modalités restent à confirmer par les lignes directrices de la Commission.

Le message pour un DRH : la fenêtre de mise en conformité est courte. Auditer dès 2026 les outils IA déjà utilisés dans le recrutement est prioritaire, d’autant que les obligations RGPD (Art. 22, AIPD, information CSE), elles, s’appliquent déjà.

Recommandations pratiques

1. Inventorier les outils IA RH

Recenser tous les outils mobilisant de l’IA dans le recrutement et la gestion RH, y compris ceux intégrés à un ATS ou introduits par des cabinets externes. Les intégrer au registre des systèmes d’IA.

2. Garantir une surveillance humaine réelle

Formaliser le processus décisionnel de façon à ce qu’aucun candidat ne soit écarté sans examen humain effectif, avec des recruteurs formés capables de s’écarter de la recommandation.

3. Réaliser AIPD et, le cas échéant, FRIA

Documenter l’analyse d’impact RGPD et, pour les déployeurs concernés, l’analyse d’impact sur les droits fondamentaux (Art. 27). Voir le rôle du DPO dans l’AI Act.

4. Organiser la triple information

Mettre à jour les mentions candidats, informer les salariés, consulter le CSE. Prévoir une procédure permettant au candidat d’obtenir une intervention humaine et de contester.

5. Auditer le risque de discrimination

Tester les outils pour détecter d’éventuels biais, exiger du fournisseur la documentation sur la gouvernance des données d’entraînement (Art. 10). Voir IA, recrutement et discrimination et AI Act pour les PME.

FAQ : AI Act et recrutement RH

L’IA de recrutement est-elle vraiment à haut risque ?

Oui. L’annexe III, point 4, du AI Act classe explicitement à haut risque les systèmes d’IA utilisés pour le recrutement, la sélection, l’évaluation et les décisions affectant les conditions de travail. C’est le niveau d’obligations le plus élevé après les pratiques interdites.

Suis-je fournisseur ou déployeur si j’achète un outil de tri de CV ?

Vous êtes déployeur : vous utilisez un système fourni par un tiers. Vous relevez des obligations de l’article 26 (surveillance humaine, information, journalisation, usage conforme). Le fournisseur, lui, porte les obligations de conception et de documentation technique.

Puis-je automatiser entièrement le rejet de candidatures ?

Non, en principe. L’article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets significatifs, sauf exceptions encadrées. Un examen humain effectif et la possibilité de contester sont requis. L’AI Act renforce cette exigence via la surveillance humaine.

Dois-je informer les candidats de l’usage d’une IA ?

Oui, sur un triple fondement : le RGPD (information sur le traitement et la logique de la décision automatisée), l’AI Act (usage d’un système d’IA à haut risque, transparence) et le droit du travail (consultation du CSE). C’est un point de contrôle prioritaire.

Une AIPD est-elle obligatoire pour l’IA de recrutement ?

En pratique quasi systématiquement, l’IA RH remplissant plusieurs critères de l’article 35 RGPD (évaluation systématique, décision affectant significativement les personnes). Elle s’articule avec la FRIA de l’article 27 du AI Act pour les déployeurs concernés.

Quand ces obligations s’appliquent-elles ?

Les obligations haut risque de l’annexe III s’appliquent principalement à partir d’août 2026, avec une montée en charge vers 2027. Les obligations RGPD (Art. 22, AIPD, information CSE) s’appliquent, elles, déjà. Pour structurer cette conformité et suivre vos outils IA RH, un logiciel de conformité permet de tenir l’inventaire des systèmes, les AIPD et la documentation exigée par l’AI Act. Voir aussi notre guide audit RGPD.