AI Act RH : un nouveau cadre pour les systèmes de recrutement à haut risque
L’AI Act RH classe désormais la plupart des outils d’intelligence artificielle utilisés pour le recrutement dans la catégorie des systèmes à haut risque, avec un niveau de risque comparable à celui des usages dans la santé ou le crédit. Le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, et notamment ses dispositions sur les systèmes à risque élevé (articles 6 à 9), impose aux entreprises un cadre strict de mise en conformité pour tous les systèmes de tri de CV, de scoring de candidats et de gestion des carrières. Les obligations portent sur la transparence, la supervision humaine, la qualité des données et la protection des droits fondamentaux, en cohérence avec la réglementation européenne existante sur les données personnelles.
Pour les directions des ressources humaines, l’AI Act RH devient un véritable act structurant qui s’ajoute au RGPD (règlement (UE) 2016/679) sur les données personnelles, créant un ensemble cohérent mais exigeant de règles à respecter. Les entreprises doivent désormais traiter leurs outils d’intelligence artificielle RH comme des systèmes à haut risque, en documentant les processus de décision, les critères de décision et les processus de recrutement qui s’appuient sur ces technologies. Les sanctions prévues par le règlement européen sur l’IA peuvent atteindre, selon l’article 71 du règlement (UE) 2024/1689, jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, en fonction du niveau de risque et de la gravité des manquements aux obligations de conformité ou d’atteinte aux droits fondamentaux des candidats et des salariés.
Les systèmes de recrutement basés sur l’intelligence artificielle sont particulièrement visés, car ils manipulent des données personnelles sensibles et influencent directement la gestion des carrières et l’accès à l’emploi. Chaque usage d’outils d’IA dans les processus RH doit être rattaché à un cadre logique clair, qui décrit le niveau de risque, les finalités de traitement des données et les mesures de supervision humaine prévues. Pour les DRH, ce nouveau cadre transforme la question du risque en défi majeur de gouvernance, mais aussi en opportunité de renforcer la confiance des équipes et des candidats en montrant une maîtrise rigoureuse de la réglementation européenne et une articulation solide entre AI Act, RGPD, act RGPD interne et règles de gouvernance des systèmes à risque.
Report à fin 2027 : un répit relatif pour la mise en conformité des opérations RH
Le report des obligations AI Act RH pour les systèmes de recrutement vers la fin de la décennie, avec une application progressive jusqu’à fin 2027 selon le calendrier officiel de mise en œuvre du règlement européen, offre un délai supplémentaire mais ne suspend pas les exigences de fond sur la conformité et la gestion du risque. Les entreprises doivent déjà engager la mise en conformité de leurs systèmes à haut risque, en alignant AI Act, RGPD et tout act RGPD interne, afin d’éviter une accumulation de chantiers critiques à l’approche de l’échéance. Comme le rappelle la Commission européenne dans ses communications, la régulation ne vise pas à freiner l’usage de l’intelligence artificielle, mais à encadrer les systèmes à risque pour protéger les droits fondamentaux et garantir un usage responsable des données personnelles.
Pour les ressources humaines, ce délai doit servir à structurer trois chantiers prioritaires autour de l’AI Act RH et de la réglementation européenne existante sur les données personnelles. Le premier chantier consiste à cartographier tous les outils d’intelligence artificielle utilisés dans les processus RH, du sourcing à la gestion des carrières, en identifiant les systèmes à haut risque et les systèmes de moindre risque, ainsi que les flux de données et les décisions automatisées associées. Le deuxième chantier porte sur l’audit des biais dans les processus de recrutement, avec une analyse détaillée des critères de décision, des données d’entraînement, des indicateurs de performance et des impacts potentiels sur les différentes populations de candidats, en articulation avec les principes de non-discrimination du RGPD et les obligations de risque définies par le règlement.
Le troisième chantier concerne la formation des équipes RH et des managers à la supervision humaine des systèmes d’IA, afin que chaque décision automatisée reste contestable, explicable et révisable. Cette formation doit articuler AI Act RH, RGPD, obligations de risque et règles internes, pour que les équipes comprennent la logique globale du cadre réglementaire et sachent réagir en cas d’incident. Les directions doivent aussi anticiper la consultation du CSE sur les nouveaux usages d’outils d’intelligence artificielle, car la consultation CSE devient un passage obligé pour tout déploiement significatif impactant les conditions de travail, les critères d’évaluation ou l’organisation des processus de recrutement.
Pour rendre ces chantiers opérationnels, les DRH peuvent s’appuyer sur une courte feuille de route en cinq points : 1) dresser un inventaire des systèmes d’IA RH et qualifier leur niveau de risque ; 2) définir un cadre logique de décision pour chaque usage, avec les critères de décision et les données personnelles mobilisées ; 3) mettre en place un audit régulier des biais et des performances, avec des KPI partagés avec les équipes ; 4) désigner des responsables de gouvernance (RH, juridique, data, DPO) pour piloter la mise en conformité et le reporting ; 5) planifier la consultation CSE et la communication interne avant toute mise en production d’une nouvelle solution d’intelligence artificielle en recrutement.
De la conformité à l’avantage concurrentiel : gouvernance, reporting et relation candidat
Les entreprises pionnières utilisent déjà l’AI Act RH comme levier de différenciation, en transformant la conformité en argument de marque employeur et de confiance. Elles mettent en avant une gouvernance claire des systèmes à risque, une supervision humaine structurée et des solutions de reporting automatisé qui rendent les processus de recrutement plus lisibles pour les candidats. Dans ces organisations, la transparence sur l’usage de l’intelligence artificielle et sur la protection des données personnelles devient un élément central de la promesse employeur, au même titre que les engagements sur la diversité ou la qualité de vie au travail.
Concrètement, ces entreprises documentent chaque processus de recrutement assisté par IA, en détaillant les critères de décision, le niveau de risque et les mesures de réduction du risque mises en place. Elles intègrent les exigences de l’AI Act, du RGPD et de tout RGPD act interne dans un même référentiel de conformité, avec des procédures de mise en conformité continues plutôt que ponctuelles. Les rapports produits alimentent à la fois les obligations de reporting réglementaire, les échanges avec les autorités et la consultation du CSE sur les impacts des nouveaux systèmes. Un groupe international a par exemple déployé en 18 mois une solution de présélection automatisée : 6 mois de cartographie et d’analyse de risque, 6 mois de tests et d’audit des biais, puis 6 mois de formation des équipes et de consultation CSE, avec une équipe projet d’une dizaine de personnes mobilisées à temps partiel et un budget d’environ 1,2 million d’euros.
Sur la relation candidat, l’AI Act RH impose un droit à l’explication qui redéfinit les standards de transparence dans les ressources humaines. Les candidats doivent être informés de l’usage d’outils d’intelligence artificielle, des logiques de traitement de leurs données et des voies de recours en cas de contestation d’une décision automatisée. Pour les DRH, articuler ce droit à l’explication avec une expérience candidat fluide, éthique et respectueuse des droits fondamentaux devient un défi majeur, mais aussi un puissant signal de sérieux dans un marché de l’emploi très concurrentiel. Comme le résume un régulateur européen, « la confiance dans les systèmes d’IA passe par une information claire, une supervision humaine réelle et une responsabilité assumée par les entreprises ».
Données clés sur l’AI Act RH et les systèmes RH à haut risque
- L’AI Act classe les outils de recrutement basés sur l’intelligence artificielle dans la catégorie des systèmes à haut risque (article 6), au même titre que certains usages dans la santé ou la finance, en raison de leur impact direct sur l’accès à l’emploi et la gestion des carrières.
- Les sanctions prévues en cas de non-respect des obligations de conformité peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, selon les tiers de sanctions définis par l’article 71 du règlement européen et le niveau de risque associé aux manquements.
- Les obligations portent notamment sur la qualité et la représentativité des données d’entraînement, la transparence des critères de décision, la traçabilité des processus et la mise en place d’une supervision humaine effective pour tous les systèmes de recrutement à haut risque.
- Les directions des ressources humaines doivent intégrer ces exigences dans leurs processus de recrutement, de gestion des carrières et de pilotage des équipes, en articulation avec le RGPD, le cadre logique de leurs outils et la réglementation européenne sur les données personnelles.
Questions fréquentes sur l’AI Act RH et la conformité des outils de recrutement
Comment l’AI Act RH s’articule t il avec le RGPD pour les données RH ?
L’AI Act RH complète le RGPD en se concentrant sur les systèmes d’intelligence artificielle, tandis que le RGPD encadre plus largement tous les traitements de données personnelles. Pour les ressources humaines, cela signifie que chaque outil d’IA utilisé dans le recrutement ou la gestion des carrières doit respecter à la fois les principes de protection des données et les exigences spécifiques liées aux systèmes à haut risque. Les entreprises doivent donc aligner leurs politiques de conformité, en traitant l’AI Act, le RGPD et tout règlement d’obligation interne comme un ensemble cohérent plutôt que comme des textes séparés, avec un dialogue renforcé entre DPO, équipes RH, juristes et responsables des systèmes d’information.
Quels sont les principaux risques pour les entreprises qui utilisent des outils d’IA en recrutement ?
Les principaux risques concernent les biais discriminatoires dans les décisions, la mauvaise qualité des données d’entraînement et l’absence de supervision humaine effective. Un système de recrutement mal paramétré peut exclure certains profils de manière injustifiée, créant un niveau de risque élevé pour les droits fondamentaux des candidats et pour la réputation de l’entreprise. À cela s’ajoutent les risques financiers liés aux sanctions, qui peuvent atteindre plusieurs dizaines de millions d’euros en cas de non-respect des obligations de conformité prévues par la réglementation européenne, ainsi que les risques sociaux en cas de contestation collective des décisions automatisées.
Quelles actions lancer dès maintenant pour préparer la mise en conformité AI Act RH ?
Les directions RH doivent d’abord cartographier tous les usages d’intelligence artificielle dans les processus RH, en identifiant les systèmes à haut risque et les systèmes de moindre risque. Ensuite, il est nécessaire de conduire un audit des biais sur les processus de recrutement, en analysant les critères de décision, les données utilisées et les résultats obtenus pour différents groupes de candidats, puis en ajustant les modèles et les règles métiers. Enfin, la formation des équipes RH et des managers à la supervision humaine, à la lecture des rapports de risque et à la gestion des incidents doit devenir une priorité, avec une articulation claire entre AI Act, RGPD, obligations internes et consultation CSE pour chaque nouveau projet d’outils d’intelligence artificielle.
Quel rôle joue la consultation du CSE dans les projets d’IA RH ?
La consultation du CSE est obligatoire dès lors qu’un projet d’IA impacte l’organisation du travail, les conditions d’emploi ou les critères d’évaluation des salariés. Pour l’AI Act RH, cela signifie que tout déploiement d’outils de recrutement, de scoring interne ou de gestion des carrières basés sur l’intelligence artificielle doit être présenté et discuté avec les représentants du personnel. Cette consultation permet d’anticiper les risques sociaux, d’ajuster les solutions techniques et de renforcer la légitimité des décisions de la direction auprès des équipes, en montrant que la gouvernance des systèmes à risque intègre réellement la dimension sociale et les droits fondamentaux.
Comment transformer la conformité AI Act RH en avantage de marque employeur ?
Les entreprises peuvent valoriser leur conformité AI Act RH en communiquant de manière transparente sur l’usage de l’intelligence artificielle, la protection des données personnelles et la supervision humaine des décisions. En expliquant clairement aux candidats comment leurs données sont traitées, quels sont les critères de décision et quels recours existent, les organisations renforcent la confiance et se distinguent de concurrents moins transparents. Cette approche, combinée à des engagements forts sur l’éthique, la non-discrimination et la maîtrise du risque, peut devenir un argument puissant pour attirer des talents sensibles aux enjeux de responsabilité numérique et à la qualité du cadre réglementaire appliqué aux processus de recrutement.
