IA et recrutement : ce que l'AI Act et le RGPD imposent vraiment

1. Pourquoi le recrutement par IA est classé « à haut risque »

Le règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1^er août 2024. Il classe les systèmes d'IA par niveau de risque : risque inacceptable (interdit), haut risque (encadré), risque limité (transparence), risque minimal (libre). Le recrutement ne relève pas d'une zone grise : il figure explicitement dans la catégorie à haut risque.

C'est l'Annexe III du règlement, « Emploi, gestion de la main-d'œuvre et accès à l'emploi indépendant », qui le prévoit. Sont visés les systèmes d'IA destinés à :

• recruter ou sélectionner des personnes physiques, en particulier pour publier des offres ciblées, analyser et filtrer des candidatures, et évaluer les candidats ;
• prendre des décisions affectant les conditions de travail, la promotion ou la rupture de la relation, répartir les tâches selon le comportement individuel, ou suivre et évaluer la performance des personnes.

Autrement dit : le tri de CV, le scoring de candidats, le matching profil/offre et l'évaluation automatisée tombent dans le périmètre. La logique du législateur est explicite : ces systèmes peuvent affecter directement l'accès à l'emploi et les moyens de subsistance d'une personne, et risquent de reproduire des discriminations historiques (genre, origine, âge, handicap). Le texte intégral est consultable sur EUR-Lex (règlement (UE) 2024/1689).

Une nuance utile : l'article 6 du règlement prévoit qu'un système listé en Annexe III peut échapper au régime haut risque s'il ne fait qu'une tâche préparatoire étroite, sans influence déterminante sur la décision. Mais l'opérateur qui invoque cette exception doit le documenter, et le profilage de candidats reste, lui, toujours à haut risque. En pratique, pour un outil de tri ou de scoring de candidats, le régime haut risque s'applique presque toujours.

2. Les obligations concrètes de l'AI Act

Un système à haut risque n'est pas seulement « surveillé » : il doit répondre à une liste précise d'exigences, portées principalement par le fournisseur (celui qui développe et met sur le marché) mais avec des devoirs aussi pour le déployeur (l'agence ou la DRH qui l'utilise). Voici les obligations qui structurent un projet de recrutement par IA.

Transparence envers les candidats

Une personne soumise à un système à haut risque qui produit une décision la concernant doit en être informée de manière claire. Concrètement : un candidat dont la candidature est triée ou scorée par un outil d'IA doit le savoir, comprendre le rôle de l'outil et pouvoir obtenir des explications. Cette transparence rejoint celle qu'impose le RGPD pour les traitements automatisés.

Supervision humaine effective

L'article 14 impose une supervision humaine « effective » pendant l'utilisation. Effective signifie : une personne capable de comprendre les limites de l'outil, d'interpréter ses sorties, de les ignorer et d'arrêter le système. Un humain qui valide en aveugle ce que l'outil propose ne constitue pas une supervision effective. Pour le recrutement, cela se traduit par une règle simple : l'outil propose un classement ou un score, un recruteur décide.

Documentation technique et gestion des risques

Le fournisseur doit tenir une documentation technique décrivant l'objectif du système, ses données d'entraînement, ses limites et ses performances (article 11), et mettre en place un système de gestion des risques continu sur tout le cycle de vie (article 9). Pour un outil de matching, cela inclut l'identification des biais possibles, les tests menés pour les détecter et les mesures d'atténuation retenues.

Qualité des données

L'article 10 exige des jeux de données d'entraînement, de validation et de test pertinents, représentatifs et, autant que possible, exempts d'erreurs. C'est le cœur de la lutte contre la discrimination algorithmique : un modèle entraîné sur des recrutements passés biaisés reproduira ces biais. La gouvernance des données n'est pas un détail technique, c'est une obligation légale.

Journalisation et traçabilité

L'article 12 impose une journalisation automatique des événements (logs) tout au long du fonctionnement, afin de pouvoir reconstituer ce qui s'est passé et détecter une dérive. En recrutement, c'est ce qui permet, en cas de contestation, de retracer comment une candidature a été traitée : quel score, sur quelles données, validé par qui. La CNIL rappelle régulièrement l'importance de cette traçabilité dans le recrutement.

S'ajoutent l'enregistrement du système, le marquage CE, la déclaration de conformité et, pour le déployeur, une analyse d'impact sur les droits fondamentaux dans certains cas. La logique d'ensemble : un système à haut risque doit être documentable, explicable et contrôlable de bout en bout.

3. Le calendrier d'application

L'AI Act ne s'applique pas d'un seul bloc. Il monte en charge par phases, ce qui laisse aux opérateurs le temps de se préparer — mais l'échéance qui concerne directement le recrutement est proche.

Le calendrier officiel et les analyses de la Commission sont disponibles sur le portail de la stratégie numérique de l'UE. La lecture opérationnelle est simple : une agence qui déploie de l'IA de recrutement en 2026 a intérêt à concevoir conforme dès maintenant, plutôt qu'à rétrofitter la conformité sous contrainte. Le RGPD, lui, s'applique déjà : aucun délai à attendre de ce côté.

4. Le RGPD : base légale, minimisation, droits, DPIA

L'AI Act ne remplace pas le RGPD : il s'y ajoute. Traiter des candidatures, c'est traiter des données personnelles — souvent sensibles. La CNIL a publié des questions-réponses dédiées au recrutement, qui précisent ce qui est attendu.

Base légale

Le traitement des candidatures repose généralement sur l'intérêt légitime du recruteur ou sur des mesures précontractuelles. Le consentement est rarement la bonne base en recrutement, car le candidat n'est pas en position de refuser librement. Quoi qu'il en soit, la base doit être identifiée et documentée avant de traiter.

Minimisation et pertinence

On ne collecte que les données nécessaires à l'évaluation des compétences professionnelles. La CNIL est claire : les informations sans lien direct avec le poste (situation familiale, opinions, données déduites par un algorithme sans pertinence métier) n'ont pas à être collectées ni utilisées pour scorer un candidat. Un outil de matching doit donc reposer sur des critères métier explicites, pas sur des corrélations opaques.

Durées de conservation

Les données d'un candidat non retenu ne se conservent pas indéfiniment. La CNIL recommande, en l'absence de relation de travail, une conservation limitée (de l'ordre de deux ans après le dernier contact, sauf base différente), et un point d'information clair sur la durée. Un dossier de candidature doit donc avoir une durée de vie définie et une purge automatisée.

Droits des candidats

Accès, rectification, effacement, opposition : les droits RGPD s'appliquent. S'ajoute l'article 22, qui encadre la décision entièrement automatisée produisant des effets juridiques ou significatifs : un candidat a le droit de ne pas faire l'objet d'une telle décision sans intervention humaine, d'obtenir une explication et de contester. C'est une raison de plus pour garder un humain dans la boucle de décision finale.

Analyse d'impact (DPIA)

Un traitement à grande échelle, impliquant du profilage ou de l'évaluation automatisée de candidats, déclenche généralement l'obligation de mener une analyse d'impact relative à la protection des données. La DPIA documente les risques pour les personnes et les mesures prises pour les réduire ; elle recoupe largement la gestion des risques exigée par l'AI Act. Les ressources de la CNIL sur le recrutement en précisent les attendus.

5. Ce que cela change pour le matching, le tri de CV et le scoring

Les principes précédents prennent un sens concret dès qu'on les applique aux trois usages les plus répandus de l'IA en recrutement et en intérim.

Le matching profil / offre

Faire correspondre un candidat à un poste sur des critères métier (qualification, disponibilité, zone géographique, expérience) est légitime — à condition que les critères soient explicites, justifiés par le poste et auditables. Un matching qui s'appuie sur des proxys discriminants (un quartier, un prénom, un trou dans un parcours) bascule dans l'illégal. Le bon matching propose un classement explicable ; il ne décide pas. Nous détaillons cette approche dans notre guide sur le matching de candidats par IA en intérim.

Le tri de CV

Pré-classer des centaines de candidatures pour faire remonter les profils pertinents fait gagner un temps considérable. Mais le tri reste une tâche à haut risque : il doit s'appuyer sur des compétences professionnelles, journaliser ses décisions et laisser le recruteur revoir, réordonner et réintégrer un profil écarté. Le tri n'élimine pas : il hiérarchise pour l'humain.

Le scoring de candidats

Attribuer une note à un candidat est l'usage le plus sensible, car il résume en un chiffre une évaluation complexe. Pour rester conforme, un score doit être décomposable (on doit pouvoir dire pourquoi il est haut ou bas), reposer sur des critères pertinents, et n'être qu'une aide — jamais un couperet automatique. C'est exactement la frontière tracée par l'article 22 du RGPD et l'article 14 de l'AI Act.

6. AI Act et RGPD : deux régimes à articuler

L'erreur fréquente est de croire qu'il faut choisir entre se conformer à l'AI Act ou au RGPD. Les deux s'appliquent en parallèle, sur des angles différents et largement complémentaires.

La bonne nouvelle : les deux régimes se renforcent. Une DPIA bien menée nourrit la gestion des risques de l'AI Act. Une journalisation conçue pour l'AI Act sert la traçabilité RGPD. La supervision humaine satisfait à la fois l'article 14 et l'article 22. Concevoir conforme une fois, c'est répondre aux deux textes.

7. Concevoir un outil « conforme by design »

La conformité coûte cher quand on l'ajoute après coup. Elle devient un atout quand elle est intégrée dès la conception. Voici les principes que nous appliquons pour concevoir un outil de recrutement ou de matching conforme par construction.

1. L'IA propose, l'humain décide. Le système classe, score et suggère ; il n'élimine ni n'embauche. Un écran de validation oblige un permanent à arbitrer, et son arbitrage est tracé.
2. Critères métier explicites. Le matching et le scoring reposent sur des critères liés au poste (qualification, CACES, disponibilité, distance), pas sur des corrélations opaques. Chaque critère est justifiable.
3. Explicabilité intégrée. Chaque proposition s'accompagne des raisons qui l'ont produite, pour le recruteur comme, sur demande, pour le candidat.
4. Journalisation native. Qui a proposé quoi, sur quelles données, validé par qui : tout est logé, conservé et exportable en cas de contrôle ou de contestation.
5. Minimisation et purge. Seules les données utiles sont collectées ; les dossiers ont une durée de vie et une purge automatique.
6. Gouvernance des données d'entraînement. Les jeux de données sont contrôlés pour leur représentativité, et les biais sont testés avant la mise en production.
7. Hébergement et souveraineté. Données hébergées dans l'UE, accès maîtrisés, conformité auditable de bout en bout.

Ces principes ne sont pas théoriques : ils orientent chaque décision d'architecture. Un outil « conforme by design » est souvent un meilleur outil tout court, parce qu'il est explicable, traçable et pilotable. C'est l'approche que nous portons sur l'ensemble de nos projets d'automatisation pour les agences d'intérim.

8. Cas concret : une plateforme d'intérim conforme by design

Pour un groupe d'agences d'intérim régional, nous avons conçu une plateforme métier intégrale, augmentée par IA et pensée dès le départ pour le RGPD et l'AI Act. Plutôt que d'ajouter de l'IA à un outil existant, nous avons intégré la conformité dans l'architecture même.

Des agents IA WhatsApp pour les bons de commande

Quand un client écrit sa demande de personnel sur WhatsApp en langage courant, un agent IA structure la commande : poste, quantité, qualification, date, lieu. L'agent n'évalue pas de candidat : il transforme un message libre en commande propre, qu'un permanent valide. La logique d'extraction est décrite dans notre article sur l'agent IA WhatsApp en entreprise et le traitement automatisé des bons de commande.

Reprise automatique des offres d'emploi

Un module reprend les offres entrantes (parsing), les normalise sur le référentiel de l'agence et les prépare à la rediffusion. Là encore, l'IA prépare ; le permanent valide et diffuse. Aucun candidat n'est évalué à ce stade : on traite des offres, pas des personnes.

Une plateforme métier intégrale et un site orienté performance

Nous avons refondu le site du groupe pour la performance et construit une plateforme métier complète : gestion du vivier, des commandes, des missions, des documents. Le rapprochement candidat/poste s'appuie sur des critères métier explicites, propose des profils sans jamais décider seul, et journalise chaque étape. La gestion documentaire suit la logique d'un dossier intérimaire dématérialisé, conforme par construction.

Le détail de cette mission est exposé dans notre étude de cas plateforme d'intérim IA. Le principe directeur reste le même sur toute la chaîne : l'IA accélère le travail répétitif, l'humain garde la décision, et la conformité est une propriété de l'architecture, pas une rustine.

9. FAQ

Pour aller plus loin

L'IA de recrutement n'est pas un sujet où l'on choisit entre conformité et efficacité. Bien conçu, un outil conforme — explicable, traçable, supervisé — est aussi un meilleur outil : plus sûr, plus auditable, plus défendable. L'AI Act et le RGPD ne freinent pas l'innovation, ils en fixent les règles. Les agences et DRH qui intègrent ces règles dès la conception prennent de l'avance sur celles qui devront rattraper sous contrainte en août 2026.