Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
Outils de tri automatisé des CV, systèmes de scoring des candidats, analyse vidéo des entretiens, évaluation continue des performances : l’intelligence artificielle s’est massivement déployée dans les fonctions RH au cours des trois dernières années. Cette adoption rapide de l’AI Act recrutement a précédé l’encadrement juridique — qui rattrape aujourd’hui son retard avec une vigueur inattendue. L’AI Act classe explicitement ces outils parmi les systèmes à haut risque, déclenchant une série d’obligations renforcées pour les employeurs. Cet article fait le point complet sur les obligations applicables au regard de l’AI Act recrutement et propose une méthodologie de mise en conformité opérationnelle.
SOMMAIRE
- Pourquoi l’IA RH relève du haut risque dans l’AI Act
- Les obligations de l’employeur déployeur
- L’articulation avec le RGPD et le droit du travail
- Tableau de synthèse : obligations, fondements, sanctions
- La méthodologie de mise en conformité en 4 étapes
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi l’IA RH relève du haut risque dans l’AI Act
Le règlement européen sur l’intelligence artificielle, applicable progressivement jusqu’en août 2027, structure son architecture autour d’une classification des systèmes IA par niveau de risque. Les systèmes utilisés dans les ressources humaines occupent une position particulière qui mérite d’être bien comprise pour calibrer la mise en conformité.
1.1 La qualification de l’annexe III
L’annexe III du règlement AI Act énumère limitativement les domaines dans lesquels les systèmes IA sont classés à haut risque. Le point 4 vise expressément les systèmes utilisés pour le recrutement et la gestion des salariés. Sont concernés tous les outils intervenant dans la sélection, l’évaluation, la promotion ou la résiliation du contrat de travail. Cette classification ne dépend pas de l’éditeur du système mais de l’usage qui en est fait — un même outil peut donc relever ou non du haut risque selon le contexte de déploiement.
1.2 Les outils typiquement concernés
Plusieurs catégories d’outils tombent dans le périmètre de l’AI Act recrutement. Les ATS (Applicant Tracking Systems) avec scoring automatisé des candidatures, les outils d’analyse de CV par IA générative, les systèmes d’analyse vidéo des entretiens d’embauche, les chatbots de présélection, les plateformes d’évaluation continue de la performance, les systèmes de matching entre candidats et postes. La quasi-totalité des grands éditeurs RH (Workday, SuccessFactors, Cornerstone, Lever, Greenhouse) intègre désormais de telles fonctionnalités.
1.3 Le rôle de déployeur de l’employeur
L’AI Act distingue plusieurs rôles : fournisseur, déployeur, importateur, distributeur. L’employeur qui utilise un outil IA RH dans ses processus internes endosse le rôle de déployeur au sens de l’article 3.4 du règlement. Cette qualification entraîne des obligations spécifiques — distinctes mais cumulables avec celles de l’éditeur (fournisseur). Aucune clause contractuelle ne peut transférer entièrement la responsabilité du déployeur vers le fournisseur.
2. Les obligations de l’employeur déployeur
Le statut de déployeur d’un système IA à haut risque emporte plusieurs obligations détaillées dans l’AI Act. Pour les directions RH, ces obligations transforment la manière de concevoir et de gérer les processus de recrutement et d’évaluation. Une mise en conformité progressive aux exigences de l’AI Act recrutement est devenue indispensable.
2.1 L’utilisation conforme aux instructions
L’article 26 du règlement impose au déployeur d’utiliser le système conformément à sa documentation technique et à ses notices d’utilisation. Concrètement, l’employeur ne peut détourner un outil IA RH de son usage prévu — utiliser un système conçu pour le tri initial de candidatures comme outil de décision finale d’embauche, par exemple, constitue un manquement caractérisé. Cette obligation impose une formation rigoureuse des équipes recrutement et une supervision opérationnelle continue.
2.2 La supervision humaine effective
L’article 14 de l’AI Act impose une supervision humaine pour tous les systèmes à haut risque. Cette supervision doit être effective, pas formelle. Pour l’AI Act recrutement, cela signifie qu’aucune décision concernant un candidat ne peut être prise par le seul système IA — un recruteur humain doit pouvoir comprendre, vérifier et le cas échéant infirmer la recommandation algorithmique. La traçabilité de cette intervention humaine doit être documentée pour preuve en cas de contrôle.
2.3 L’information des candidats et salariés
L’article 26 oblige le déployeur à informer les personnes faisant l’objet d’une décision impliquant un système IA à haut risque. Cette information doit être préalable, claire et accessible. Pour le recrutement, elle se traduit par une mention spécifique dans les offres d’emploi, sur le formulaire de candidature, et lors de tout entretien analysé par IA. La rédaction de cette information doit être articulée avec celle exigée par le RGPD pour éviter les doublons et les contradictions.
2.4 La conservation des journaux
L’article 26.6 impose la conservation des journaux automatiquement générés par le système IA pendant une durée appropriée, et au minimum six mois sauf disposition légale plus contraignante. Ces journaux doivent permettre la traçabilité des décisions, la détection des biais et la coopération avec les autorités de contrôle. Pour les outils RH, cela suppose des processus techniques précis avec le fournisseur — souvent absents dans les contrats standards.
2.5 L’analyse d’impact sur les droits fondamentaux
L’article 27 introduit une obligation nouvelle : l’analyse d’impact sur les droits fondamentaux (FRIA) préalable au déploiement de certains systèmes à haut risque. Pour les organismes publics et certaines entreprises privées (notamment celles utilisant des outils impactant l’accès à des services essentiels), cette analyse documentée est désormais obligatoire. Elle s’articule avec l’analyse d’impact RGPD (AIPD) sans s’y substituer.
3. L’articulation avec le RGPD et le droit du travail
L’AI Act recrutement ne s’applique pas seul. Il s’articule avec deux corpus juridiques préexistants qui imposent leurs propres obligations. Comprendre cette articulation est indispensable pour bâtir une mise en conformité cohérente plutôt que fragmentée.
3.1 L’article 22 du RGPD sur les décisions automatisées
L’article 22 du RGPD interdit en principe les décisions fondées exclusivement sur un traitement automatisé qui produisent des effets juridiques ou affectent significativement la personne concernée. Le recrutement entre clairement dans cette catégorie. Trois exceptions existent : nécessité contractuelle, consentement explicite, autorisation légale. Dans tous les cas, le candidat doit pouvoir exiger une intervention humaine, exprimer son point de vue et contester la décision. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
3.2 L’information-consultation du CSE
L’article L.2312-8 du Code du travail impose la consultation du CSE en cas d’introduction de nouvelles technologies impactant les conditions de travail. Le déploiement d’un outil IA RH déclenche systématiquement cette obligation. L’article L.2312-38 ajoute une consultation spécifique pour les traitements de données personnelles concernant les salariés. La consultation doit être préalable au déploiement effectif — pas après. Son omission expose à un contentieux en délit d’entrave.
3.3 La non-discrimination et les biais algorithmiques
Le droit du travail français interdit les discriminations à l’embauche fondées sur l’origine, le sexe, l’âge, l’état de santé, les opinions politiques ou syndicales, et d’autres critères protégés (article L.1132-1). Un système IA RH peut reproduire — et même amplifier — des biais discriminatoires présents dans les données d’entraînement. La responsabilité de l’employeur reste pleinement engagée même si la décision discriminatoire émane d’un algorithme. Auditer régulièrement les outils utilisés pour détecter les biais est devenu une bonne pratique opérationnelle indispensable.
4. Tableau de synthèse : obligations, fondements, sanctions
Le tableau ci-dessous récapitule les principales obligations applicables à l’AI Act recrutement, leur fondement juridique et les sanctions maximales encourues en cas de manquement.
| Obligation | Fondement | Sanction max |
|---|---|---|
| Usage conforme aux instructions | AI Act art. 26.1 | 15 M€ ou 3 % CA |
| Supervision humaine | AI Act art. 14 | 15 M€ ou 3 % CA |
| Information des candidats | AI Act art. 26 + RGPD art. 13/14 | 15 M€ + 20 M€ |
| Conservation journaux | AI Act art. 26.6 | 15 M€ ou 3 % CA |
| Analyse d’impact (FRIA) | AI Act art. 27 | 15 M€ ou 3 % CA |
| Intervention humaine sur décision | RGPD art. 22 | 20 M€ ou 4 % CA |
| Consultation du CSE | C. trav. art. L.2312-8 et L.2312-38 | Délit d’entrave |
| Non-discrimination | C. trav. art. L.1132-1 | Sanctions pénales + civiles |
5. La méthodologie de mise en conformité en 4 étapes
Aborder l’AI Act recrutement de manière structurée est indispensable. Une démarche en quatre étapes permet de couvrir l’ensemble des obligations sans en omettre — et de produire la documentation utile en cas de contrôle ultérieur.
5.1 Étape 1 : la cartographie des outils déployés
La première étape consiste à recenser tous les outils IA actuellement utilisés dans les fonctions RH : recrutement, intégration, formation, évaluation, gestion administrative. Cette cartographie révèle systématiquement plus d’outils que la direction RH n’en avait identifiés — notamment du fait des fonctionnalités IA intégrées dans les ATS classiques sans mention explicite. Sans cette cartographie, aucune mise en conformité n’est possible.
5.2 Étape 2 : la qualification au regard de l’AI Act
Pour chaque outil identifié, il faut qualifier juridiquement le système : relève-t-il du haut risque au sens de l’annexe III ? Si oui, quelles obligations sont concernées ? L’AI Act recrutement génère un volume considérable d’obligations pour les systèmes haut risque, mais certains outils RH peuvent relever de catégories moins exigeantes (risque limité, risque minimal). Cette qualification rigoureuse évite à la fois la sur-conformité (coûteuse) et la sous-conformité (risquée).
5.3 Étape 3 : la mise à niveau contractuelle et opérationnelle
Une fois la qualification réalisée, il faut renégocier les contrats fournisseurs IA pour intégrer les garanties contractuelles requises : conservation des journaux, accès aux informations techniques, coopération aux contrôles, désactivation possible, garantie d’éviction. Parallèlement, les procédures internes doivent être adaptées : information des candidats, formulaires de consentement, formation des recruteurs, procédure de supervision humaine, formats d’archivage.
5.4 Étape 4 : la gouvernance dans la durée
La conformité AI Act ne se fige pas à un instant donné. Un comité de gouvernance IA RH doit se réunir régulièrement pour évaluer les nouveaux outils, suivre les évolutions réglementaires, analyser les retours d’expérience et auditer les biais éventuels. Cette gouvernance est ce qui transforme une mise en conformité ponctuelle en système vivant capable d’absorber les évolutions techniques et réglementaires des prochaines années.
6. Pourquoi faire appel à Atias Avocats
Mettre en conformité une fonction RH au regard de l’AI Act recrutement exige une triple compétence rare : maîtrise du règlement AI Act et de ses textes d’application, expertise du RGPD appliqué aux ressources humaines, connaissance fine du droit du travail (consultation CSE, non-discrimination, recrutement). Cette combinaison est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique appliqué à l’entreprise.
Atias Avocats accompagne entreprises, startups et grands comptes dans la mise en conformité de leur fonction RH face à l’IA : audit initial des outils déployés, qualification AI Act des systèmes, renégociation des contrats fournisseurs IA RH, rédaction des procédures internes et chartes spécifiques, accompagnement de la consultation CSE, formation des équipes recrutement. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
Conclusion
L’usage de l’IA dans les ressources humaines n’est plus une innovation expérimentale : c’est une réalité opérationnelle massive dans la quasi-totalité des entreprises de plus de 100 salariés. Cette réalité est désormais encadrée par un cadre juridique convergent — AI Act, RGPD, droit du travail — qui impose des obligations précises et expose à des sanctions cumulables pouvant dépasser 35 millions d’euros.
Pour les directions RH et juridiques, la fenêtre d’opportunité d’une mise en conformité préventive se referme rapidement. Les premières sanctions liées à l’AI Act recrutement seront prononcées dès 2026-2027. L’investissement requis (3 000 à 15 000 € HT selon la complexité du périmètre) est sans commune mesure avec les sanctions encourues et le contentieux prud’homal potentiel. La rigueur juridique préventive transforme un risque massif en avantage concurrentiel structurant pour l’attraction et la rétention des talents.
FAQ — Questions fréquentes
Pourquoi l’IA RH est-elle classée à haut risque par l’AI Act ?
L’annexe III du règlement AI Act classe explicitement les systèmes IA utilisés pour le recrutement, la sélection, l’évaluation et la promotion des candidats et salariés parmi les systèmes à haut risque. Cette classification repose sur l’impact significatif de ces décisions sur la vie professionnelle des personnes concernées. Concrètement, sont visés : les outils de tri automatisé des CV, les systèmes de scoring des candidats, les outils d’analyse vidéo des entretiens, les systèmes d’évaluation continue des performances utilisés à des fins de promotion ou de licenciement.
Quelles sanctions encourt un employeur ne respectant pas l’AI Act en matière de recrutement ?
Les sanctions AI Act applicables aux manquements concernant les systèmes à haut risque peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Ces sanctions se cumulent avec : les sanctions RGPD jusqu’à 20 millions d’euros (article 22 sur les décisions automatisées), les sanctions du droit du travail pour défaut de consultation CSE, et la responsabilité civile envers les candidats discriminés. L’exposition totale peut donc dépasser 35 millions d’euros pour un manquement grave.
Faut-il informer le candidat lorsque l’IA participe à la sélection ?
Oui, l’information est obligatoire à plusieurs titres. L’article 26 de l’AI Act impose une information explicite des personnes faisant l’objet d’une décision impliquant un système IA à haut risque. Le RGPD (articles 13, 14 et 22) impose en outre une information sur la logique sous-jacente du traitement automatisé. L’information doit être délivrée avant la collecte de candidature et inclure les modalités d’exercice du droit de demander une intervention humaine. L’omission expose à des sanctions et à un risque de nullité des décisions.
Le CSE doit-il être consulté avant de déployer un outil IA dans le recrutement ?
Oui, dans la plupart des cas. Le déploiement d’un système IA modifiant les méthodes de recrutement ou d’évaluation déclenche l’information-consultation du CSE au titre de l’article L.2312-8 du Code du travail (introduction de nouvelles technologies impactant les conditions de travail). Pour les systèmes traitant des données personnelles des salariés, une consultation préalable est également exigée par l’article L.2312-38. Ignorer ces obligations expose à un contentieux en délit d’entrave.
Quelles sont les premières actions à mener pour se mettre en conformité ?
Quatre actions prioritaires : cartographier tous les outils IA actuellement utilisés en recrutement et RH (souvent plus nombreux qu’imaginé), qualifier chaque outil au regard de l’AI Act (haut risque ou non), renégocier les contrats fournisseurs IA pour intégrer les garanties contractuelles requises, et déployer une procédure interne d’information des candidats et de supervision humaine. Cet audit initial coûte généralement 3 000 à 8 000 euros HT — un investissement très inférieur aux sanctions potentielles.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, Intelligence artificielle, RGPD, Contrats IT