AI Act et RH : ce que change le 2 août 2026 pour les outils de recrutement

Le règlement (UE) 2024/1689 classe en haut risque (Annexe III, point 4) les systèmes IA utilisés pour le recrutement, la sélection, l'évaluation et la promotion des personnes. Au 2 août 2026, cette classification déclenche des obligations contraignantes pour les déployeurs (entreprises utilisatrices) et les fournisseurs (éditeurs SaaS RH). Voici ce qui change concrètement.

Quels outils RH sont concernés ?

L'Annexe III point 4 couvre tout système IA destiné à être utilisé :

• Pour le recrutement ou la sélection — tri de CV automatisé, scoring de candidatures, présélection par algorithme, matching de profils.
• Pour la décision sur les conditions de travail — promotion, augmentation, allocation de tâches algorithmique.
• Pour la résiliation — détection de désengagement, scoring de risque attrition, recommandations de licenciement.
• Pour la surveillance et l'évaluation — analyse de performance automatisée, monitoring productivité.

En pratique : Workday Recruiting AI, Eightfold, HireVue, LinkedIn Recruiter AI features, HiredScore, modules ATS avec scoring intégré, outils internes maison utilisant un LLM pour analyser des candidatures. Tous concernés.

Obligations pour le déployeur (DRH / DSI)

1. Cartographie obligatoire — recenser tous les systèmes IA RH utilisés, y compris ceux intégrés dans les SaaS RH existants. Beaucoup de DRH ne savent pas que leur ATS embarque déjà du scoring IA.

2. Information des candidats (Art. 50) — chaque candidat dont la candidature est évaluée par IA doit en être informé, en termes clairs, avant traitement. Mention obligatoire dans les formulaires, descriptions de poste, communications.

3. Information des représentants du personnel — CSE/CE informé et consulté préalablement à tout déploiement IA RH impactant les salariés. En France, cumul avec les obligations Code du travail Art. L2312-26.

4. Supervision humaine effective (Art. 14) — aucune décision RH ne peut résulter uniquement du système IA. Procédure documentée d'intervention humaine, formation des responsables RH à comprendre et écarter les recommandations.

5. Logging et conservation — toutes les décisions IA sur des candidats ou salariés doivent être journalisées, traçables, conservées 6 mois minimum (Art. 12 + cohérence RGPD).

Obligations pour le fournisseur (éditeur SaaS RH)

Si vous éditez un outil RH avec IA :

• Documentation technique conforme à l'Annexe XI (architecture, données d'entraînement, performance, limitations, mesures de gestion des risques).
• Système de gestion des risques tout au long du cycle de vie (Art. 9).
• Évaluation de la conformité avant mise sur le marché — pour les systèmes haut risque RH, autoévaluation puis marquage CE.
• Enregistrement dans la base EU AI Act (Annexe VIII) avant mise sur le marché.
• Information transparente aux déployeurs sur les performances, limitations, conditions d'utilisation.

Risques juridiques croisés AI Act × RGPD × Code du travail

Un système RH IA non conforme cumule trois angles d'exposition :

AI Act — Art. 99 §3 : sanctions jusqu'à 15 M€ ou 3% du CA mondial (autres manquements aux obligations haut risque, hors pratiques interdites).

RGPD — Art. 22 (décision automatisée) + Art. 9 (données sensibles si profilage caractéristiques protégées). Sanctions jusqu'à 20 M€ ou 4% du CA mondial.

Code du travail — Art. L1132-1 (discrimination) + obligations CSE. Contentieux prud'homal cumulatif.

Et surtout : contentieux civil en cas de discrimination algorithmique détectée. Charge de la preuve renversée — l'employeur doit démontrer l'absence de biais.

Cas concrets : scoring de candidats biaisé

Amazon a abandonné en 2018 un outil de scoring CV interne car il discriminait systématiquement les candidates femmes — modèle entraîné sur des CV historiques majoritairement masculins. Sous AI Act 2026, ce type d'outil non audité serait classé en violation d'Art. 9 (gestion des risques) + Art. 10 (qualité des données).

HireVue (analyse vidéo + IA pour évaluer candidats) a été mis en cause par l'EPIC (Electronic Privacy Information Center) aux US en 2019. Sous AI Act, ce type d'analyse expression faciale / ton de voix est en zone grise — proche des "systèmes de reconnaissance des émotions" classés à risque limité voire interdits selon contexte (Art. 5).

Audit RH-IA : périmètre et livrables

Un audit Gétul AI ActReady spécialisé RH (Audit Standard 5 000 à 8 000 € HT) couvre :

• Inventaire complet des systèmes IA RH (déclarés et Shadow AI).
• Classification de chaque système (haut risque, limité, minimal) avec argumentaire écrit.
• Gap analysis vs Annexe XI + Art. 13 + Art. 14 + Art. 50.
• Audit des contrats fournisseurs SaaS RH (clauses AI Act, DPA, hébergement).
• Plan d'action priorisé : 5-15 actions chiffrées en effort et impact.
• Préparation à un contrôle AESIA / CNIL — dossier de preuves.
• Synergie possible avec une formation Getul Learn "AI Act & RH" pour l'équipe paie/recrutement.

Ce qu'il faut faire avant le 2 août 2026

Pour une DRH d'ETI utilisant un ATS avec scoring IA :

1. Cartographier en interne en 2 semaines — registre des systèmes IA RH.

2. Mettre à jour les formulaires de candidature avec mention transparence Art. 50.

3. Consulter le CSE sur les systèmes IA RH en place — procès-verbal à produire.

4. Demander aux fournisseurs SaaS RH une attestation de conformité AI Act et leur documentation Art. 11.

5. Documenter la procédure de supervision humaine pour chaque décision automatisée.

6. Auditer les contrats DPA en place — ajouter clauses AI Act si manquantes.