AI Act et recrutement : dossiers de candidature triés sous un portique de validation conforme

AI Act et recrutement : les obligations RH à connaître en 2026

Le tri de CV par IA, le scoring de candidatures et l’analyse d’entretiens vidéo se généralisent dans les services RH. Or ces outils relèvent désormais d’un cadre légal strict. Le règlement européen 2024/1689, dit AI Act, classe le recrutement par IA parmi les systèmes à haut risque (EUR-Lex, règlement 2024/1689).

Pour un dirigeant ou un DRH, la question n’est plus de savoir si l’IA entre dans le recrutement, mais comment l’utiliser sans s’exposer. Les sanctions atteignent 35 millions d’euros ou 7 pourcents du chiffre d’affaires mondial.

Ce cadre n’interdit pas l’IA. Il impose une méthode : transparence, supervision humaine et maîtrise des biais. Voici les obligations à connaître et la marche à suivre pour rester conforme.

Temps de lecture : 15 min

À retenir

  • L’annexe III de l’AI Act classe le recrutement par IA en haut risque : tri de CV, scoring et évaluation des candidats sont visés.
  • Aucune décision de rejet ne peut reposer sur l’IA seule (article 22 du RGPD, article 14 de l’AI Act).
  • Les obligations de transparence s’appliquent au 2 août 2026 ; le volet haut risque est reporté au 2 décembre 2027.
  • Les sanctions atteignent 35 millions d’euros ou 7 pourcents du chiffre d’affaires mondial.

Qu’est-ce que l’AI Act change pour le recrutement en 2026 ?

L’AI Act est le règlement européen 2024/1689 qui encadre les systèmes d’intelligence artificielle selon leur niveau de risque, et qui classe les outils de recrutement parmi les systèmes à haut risque. Il s’applique à toute entreprise qui utilise ces outils sur le marché européen, quel que soit le pays de l’éditeur.

Un règlement fondé sur le risque

Le règlement sur l’intelligence artificielle distingue quatre niveaux de risque : inacceptable, élevé, limité et minimal. Plus le risque pour les droits fondamentaux est fort, plus les obligations sont lourdes.

Le recrutement touche directement l’accès à l’emploi, un droit fondamental. C’est pourquoi il rejoint le niveau élevé, aux côtés du scoring de crédit ou de l’évaluation scolaire. Une entreprise américaine qui vend un logiciel de tri de CV à une entreprise française est, elle aussi, soumise au texte.

Un calendrier en plusieurs étapes

À partir du 2 août 2026 s’appliquent notamment les obligations de transparence (article 50) de l’AI Act. Les obligations pour les systèmes à haut risque de l’annexe III, initialement prévues à cette date, sont reportées au 2 décembre 2027, sous réserve de l’adoption définitive du Digital Omnibus (accord provisoire Conseil-Parlement du 7 mai 2026).

Le report ne signifie pas l’inaction. Les obligations de littératie en IA et de formation des équipes sont en vigueur depuis février 2025. Le RGPD et le droit du travail français s’appliquent, eux, dès aujourd’hui à tout traitement de données de candidats. Pour replacer ce texte dans le contexte européen, voir notre analyse sur l’AI Act et la souveraineté numérique européenne.

L’adoption reste pourtant inégale. Une enquête Bpifrance Le Lab indique que 3 pourcents seulement des dirigeants de TPE et PME utilisent régulièrement l’IA générative, et 12 pourcents de façon occasionnelle (Bpifrance Le Lab, 2026). La méconnaissance des usages domine encore, ce qui rend la mise en conformité d’autant plus stratégique pour les entreprises qui prennent de l’avance.

Pourquoi le recrutement par IA est-il classé à haut risque ?

La classification ne tient pas du hasard. Elle répond à des risques documentés de discrimination et d’opacité, que l’automatisation peut amplifier au lieu de corriger.

Le texte vise explicitement le recrutement

L’annexe III, point 4, du règlement vise les systèmes d’IA destinés à publier des offres d’emploi ciblées, à analyser et filtrer des candidatures, et à évaluer les candidats (annexe III, AI Act). Le suivi de la performance et les décisions de promotion ou de rupture relèvent du même régime.

Tri automatisé de CV, scoring de pertinence, analyse vidéo d’entretien : ces fonctions, banales dans un ATS moderne, déclenchent les obligations de la section haut risque dès qu’une IA intervient.

Le périmètre ne s’arrête pas à l’embauche. Le point 4 vise aussi l’attribution de tâches selon le comportement, le suivi et l’évaluation de la performance des salariés en poste. Un outil qui note la productivité ou oriente les promotions tombe donc dans le même régime. Pour un dirigeant, la bonne question n’est pas où commence le recrutement, mais où une IA pèse sur une décision touchant une personne.

Le risque de biais est réel et mesuré

Une IA reproduit les biais de ses données d’entraînement. Des chercheurs de l’université de Chicago et de l’UC Berkeley ont mesuré en 2023 que les CV portant un prénom à consonance afro-américaine recevaient près de 9,5 pourcents de réponses en moins, y compris via des systèmes automatisés (université de Chicago et UC Berkeley, 2023).

L’algorithme ne lit pas le prénom comme un marqueur ethnique. Mais les corrélations cachées dans les données produisent le même effet. L’IA déplace la responsabilité du recruteur, elle ne la supprime pas.

La maîtrise du biais passe par des tests réguliers. Le déployeur compare les taux de présélection entre groupes, documente les écarts et corrige les critères qui les produisent. Cette vigilance n’est pas qu’une contrainte légale : un vivier de talents appauvri par un filtre discriminant prive l’entreprise de profils compétents. La diversité du recrutement et la conformité poursuivent ici le même but.

En pratique

Avant d’acheter un outil de tri, demandez à l’éditeur ses résultats d’audit de biais sur des critères protégés comme le genre ou l’origine. Un fournisseur sérieux fournit cette documentation. Un refus est un signal d’alerte.

Quelles obligations pèsent sur l’employeur déployeur ?

L’AI Act distingue deux rôles. Le fournisseur conçoit et met l’outil sur le marché. Le déployeur l’utilise. L’employeur est presque toujours déployeur, et ce rôle porte ses propres devoirs.

Fournisseur et déployeur, deux régimes

Le fournisseur assure la conformité technique du système : gestion des risques (article 9), gouvernance des données (article 10), documentation technique (article 11), journalisation (article 12) et marquage CE. L’éditeur enregistre aussi le système dans la base de données européenne.

Le déployeur, lui, contrôle l’usage réel. Il met en place une supervision humaine effective, conserve les journaux, surveille le fonctionnement et informe les personnes concernées. Acheter une solution conforme ne suffit pas : la manière de s’en servir engage l’employeur.

Le déployeur garde aussi des devoirs de traçabilité. Il conserve les logs générés par le système pendant la durée prévue, vérifie la qualité des données qu’il fournit en entrée et signale tout dysfonctionnement grave au fournisseur. Pour une agence de recrutement ou une plateforme de gestion de la main-d’oeuvre, jouant le rôle d’intermédiaire, ces obligations sont encore plus contraignantes que pour le service RH d’une seule entreprise.

La supervision humaine, clé de voûte

Aucune décision produisant des effets juridiques, comme un rejet de candidature, ne peut reposer exclusivement sur un traitement automatisé. L’article 22 du RGPD et l’article 14 de l’AI Act convergent sur ce principe.

Cette supervision doit être réelle, pas formelle. Un recruteur doit comprendre la sortie de l’algorithme, pouvoir la contester et l’infirmer. Un ATS qui rejette tout candidat sous un seuil de score, sans regard humain, place l’entreprise en infraction. Ces sujets rejoignent notre dossier sur l’IA dans les RH et la refonte des effectifs.

Évaluez votre maturité IA en 5 minutes avec notre Diagnostic IA gratuit.

Faut-il informer les candidats de l’usage d’une IA ?

La transparence n’est pas une option de confort. C’est une obligation légale, et un facteur de confiance pour la marque employeur.

Une obligation de transparence renforcée

L’article L.1221-8 du code du travail impose que tout dispositif de collecte d’informations sur un candidat soit porté à sa connaissance avant son usage. L’AI Act ajoute un droit d’explication : le candidat doit savoir qu’une IA intervient et pouvoir demander la logique suivie.

En pratique, cette information se place dans l’offre d’emploi, dans la confirmation de candidature et dans la politique de confidentialité du processus. Un candidat informé conteste moins une décision qu’il comprend.

Le droit du travail français s’ajoute au règlement

Trois corpus se cumulent pour un employeur français : l’AI Act, le RGPD et le code du travail. La non-discrimination à l’embauche reste un socle, renforcé par le règlement plutôt que remplacé.

La CNIL est désignée comme l’une des autorités nationales compétentes pour l’AI Act en France. Elle avait déjà publié ses premières recommandations sur l’IA dès 2024. Son contrôle portera autant sur la documentation que sur les pratiques réelles. Un dossier de conformité tenu à jour, même imparfait, vaut mieux qu’une absence totale de traçabilité le jour d’un contrôle ou d’un litige prud’homal.

En pratique

Préparez une mention type à insérer dans chaque offre : nature de l’IA utilisée, finalité, possibilité de demander une intervention humaine et de contester. Une phrase claire suffit à remplir l’obligation et à rassurer les candidats.

Quels usages d’IA sont interdits dans le recrutement ?

Au-delà du haut risque, l’AI Act dresse une liste de pratiques interdites. Plusieurs touchent directement le recrutement et s’appliquent sans attendre le report de 2027.

La reconnaissance des émotions, bannie

L’article 5 interdit la reconnaissance des émotions sur le lieu de travail et durant le recrutement. Les outils qui prétendent déduire l’enthousiasme, le stress ou la sincérité d’un candidat à partir de sa voix ou de son visage en entretien vidéo tombent sous le coup de cette interdiction.

La catégorisation biométrique visant à déduire l’origine, les opinions politiques ou l’état de santé est également prohibée. Ces interdictions exposent aux sanctions maximales du règlement.

Le point de vigilance porte sur les outils d’entretien vidéo différé, où le candidat répond seul face à sa caméra. Plusieurs solutions du marché promettaient d’analyser le ton, le regard ou les micro-expressions pour noter la motivation. Cette promesse devient un risque juridique direct. Un éditeur qui maintient cette fonction expose ses clients employeurs, pas seulement lui-même.

Les sanctions, un risque concret

Les amendes atteignent 35 millions d’euros ou 7 pourcents du chiffre d’affaires mondial annuel pour les pratiques interdites. La norme ISO/IEC 42001 couvre 80 à 85 pourcents des exigences de l’AI Act et offre un socle de conformité documenté.

Calendrier d’application de l’AI Act au recrutement, situation en juin 2026
Échéance Ce qui s’applique
2 février 2025 Pratiques interdites (article 5), dont reconnaissance des émotions
2 août 2025 Gouvernance et obligations sur les modèles à usage général
2 août 2026 Obligations de transparence (article 50)
2 décembre 2027 Volet haut risque annexe III, dont recrutement (report Digital Omnibus)

Comment mettre son recrutement en conformité avec l’AI Act ?

La conformité n’est pas un projet juridique abstrait. C’est une démarche opérationnelle en cinq étapes, à la portée de tout service RH structuré.

Cinq étapes pour un service RH

Première étape : cartographier. Recensez tous les outils d’IA utilisés par vos recruteurs, y compris le shadow AI installé sans validation. Documentez la finalité et le contexte d’usage de chacun.

Deuxième étape : qualifier. Confrontez chaque système aux exemples de l’annexe III et tracez votre raisonnement. En cas de contrôle, c’est ce raisonnement qui sera demandé, pas seulement la conclusion.

Troisième étape : clarifier les rôles. Interrogez vos éditeurs sur leur conformité, leurs audits de biais et leur documentation. Identifiez ce qui reste à votre charge en tant que déployeur.

Quatrième étape : formaliser la supervision. Désignez des recruteurs formés, capables de contester une recommandation. Documentez cette supervision.

Cinquième étape : informer et former. Mentionnez l’IA dans vos offres, ouvrez un droit d’explication et formez vos équipes à la littératie en IA, déjà obligatoire.

Faire de la conformité un atout

La conformité documente vos pratiques, réduit les biais et protège vos candidats. Elle rapproche le recrutement de domaines déjà régulés comme la protection des données. Pour les professions juridiques concernées par ces sujets, voir notre dossier sur l’automatisation pour les avocats et comptables.

Une démarche bien menée devient aussi un argument commercial. Une entreprise qui prouve un recrutement transparent et non discriminant renforce sa marque employeur auprès des candidats les plus recherchés. À l’inverse, un scandale algorithmique se diffuse vite et coûte plus cher que l’amende. La conformité protège donc à la fois le candidat, l’entreprise et sa réputation.

Cette démarche se combine avec nos analyses sur l’IA et la transformation des RH et sur la formation des salariés à l’IA. Commencez maintenant : cartographiez vos outils, qualifiez leur niveau de risque, formez vos recruteurs et formalisez la supervision humaine bien avant l’échéance réglementaire.

Méthodologie

Cet article s’appuie sur les données publiées par EUR-Lex (règlement 2024/1689), l’annexe III de l’AI Act et la Commission européenne, consultées en juin 2026. Les chiffres correspondent aux données en vigueur au moment de la rédaction.

📞 Appelez Eric au 06 25 34 34 25

Diagnostic IA gratuit · Nous contacter · SEO & GEO automatisé

Questions fréquentes sur l’AI Act et le recrutement

Qu’est-ce que l’AI Act change pour le recrutement en 2026 ?

L’AI Act est le règlement européen 2024/1689 qui encadre les systèmes d’intelligence artificielle selon leur niveau de risque, et qui classe les outils de recrutement parmi les systèmes à haut risque. Il impose à l’employeur une supervision humaine, une information des candidats, une gouvernance des données et une vigilance sur les biais. Le tri de CV, le scoring et l’analyse d’entretien entrent dans son périmètre dès lors qu’une IA intervient dans la décision.

Le recrutement par IA est-il vraiment classé à haut risque ?

Oui. L’annexe III, point 4, du règlement vise expressément les systèmes d’IA utilisés pour publier des offres ciblées, analyser et filtrer des candidatures, et évaluer des candidats. Ces outils déclenchent les obligations renforcées de la section haut risque : gestion des risques, documentation technique, journalisation, supervision humaine et transparence. Le suivi de performance et les décisions de promotion ou de rupture du contrat de travail relèvent du même régime.

Une IA peut-elle rejeter seule une candidature ?

Non. L’article 22 du RGPD et l’article 14 de l’AI Act convergent sur ce point : aucune décision produisant des effets juridiques, comme un rejet de candidature, ne peut reposer exclusivement sur un traitement automatisé. Un recruteur formé doit pouvoir comprendre la sortie de l’algorithme, la remettre en cause et l’infirmer. Un ATS qui écarte automatiquement les scores inférieurs à un seuil, sans validation humaine, place l’entreprise en infraction.

Faut-il informer un candidat qu’une IA traite son dossier ?

Oui. L’article L.1221-8 du code du travail impose que tout dispositif de collecte d’informations sur un candidat soit porté à sa connaissance avant son usage. L’AI Act ajoute une obligation de transparence : le candidat doit savoir qu’une IA intervient, pouvoir demander des explications sur la logique suivie et contester une décision. Cette information figure utilement dans l’offre d’emploi et dans la politique de confidentialité du processus de recrutement.

Quels usages d’IA sont interdits dans le recrutement ?

L’article 5 de l’AI Act prohibe certaines pratiques. La reconnaissance des émotions sur le lieu de travail et durant le recrutement est interdite, ce qui vise directement les analyses faciales ou vocales d’entretiens vidéo différés. La catégorisation biométrique déduisant l’origine, les opinions ou la santé est également bannie. Ces interdictions s’appliquent indépendamment du report du volet haut risque et exposent l’entreprise aux sanctions les plus lourdes du règlement.

Quand l’AI Act s’applique-t-il vraiment aux RH ?

À partir du 2 août 2026 s’appliquent notamment les obligations de transparence de l’article 50. Les obligations pour les systèmes à haut risque de l’annexe III, dont le recrutement, sont reportées au 2 décembre 2027, sous réserve de l’adoption définitive du Digital Omnibus. Les obligations de littératie en IA et de formation des équipes sont déjà en vigueur depuis février 2025. Le RGPD et le droit du travail français s’appliquent eux dès aujourd’hui.

Qui est responsable, l’éditeur du logiciel ou l’employeur ?

Les deux, à des titres différents. L’éditeur est le fournisseur : il assure la conformité du système, sa documentation technique et l’évaluation des biais. L’employeur est le déployeur : il garde des devoirs propres, dont la supervision humaine effective, l’information des candidats et le contrôle de l’usage réel de l’outil. Un employeur qui achète une solution conforme reste responsable de la manière dont il s’en sert au quotidien.

Quelles sanctions en cas de non-conformité ?

Les sanctions de l’AI Act atteignent 35 millions d’euros ou 7 pourcents du chiffre d’affaires mondial annuel pour les pratiques interdites. Les manquements aux obligations des systèmes à haut risque exposent à des amendes plus modérées mais réelles. À ces sanctions s’ajoutent celles du RGPD et les recours en discrimination devant le conseil de prud’hommes, ainsi que le risque réputationnel, souvent plus coûteux pour une marque employeur que l’amende elle-même.

La norme ISO 42001 aide-t-elle à se mettre en conformité ?

Oui. La norme ISO/IEC 42001, première norme de management de l’intelligence artificielle, couvre 80 à 85 pourcents des exigences de l’AI Act. Elle structure la gouvernance, l’analyse de risques, la documentation et l’amélioration continue des systèmes d’IA. Pour un service RH, l’adopter offre un socle organisationnel solide et une preuve de bonne foi en cas de contrôle. Elle ne dispense toutefois pas des obligations propres au droit du travail français.

Par où commencer pour un service RH en 2026 ?

La première action est la cartographie : recenser tous les outils d’IA utilisés par les recruteurs, y compris le shadow AI installé sans validation. Vient ensuite la qualification de chaque système au regard de l’annexe III, puis la clarification des rôles entre éditeur et employeur. Il faut enfin formaliser la supervision humaine, l’information des candidats et la formation des équipes. Cette démarche peut s’appuyer sur un diagnostic externe pour gagner du temps.

À propos de l’auteur
Eric Christophe, dirigeant HDVMA, expert SEO et IA

Eric Christophe, dirigeant HDVMA

Expert SEO et automatisation IA. Accompagne PME et ETI françaises dans leur stratégie de visibilité Google et IA. Cas phare : BoatCible, +320 % de trafic organique en 5 mois, cité par ChatGPT et Perplexity. LinkedIn

Diag IA gratuit
Nous contacter
Parler à Eric


Autres articles sur l'IA SEO & GEO