← Retour au blog

AI Act : ce que les outils IA RH et recrutement doivent respecter

Les outils IA utilisés dans le recrutement, l'évaluation des performances et la gestion de la main-d'œuvre sont à haut risque au titre de l'Annexe III §4 de l'AI Act. La conformité est obligatoire à partir d'août 2026, pour les éditeurs qui les développent et les employeurs qui les déploient.

17 mai 2026DILAIG

L'IA RH est à haut risque. Sans ambiguïté.

L'Annexe III §4 de l'AI Act place directement dans la catégorie à haut risque les systèmes d'IA utilisés dans le domaine de l'emploi, de la gestion des travailleurs et de l'accès au travail indépendant. Ce n'est pas une zone grise qui dépend du positionnement ou de la présentation commerciale du système.

Si votre système d'IA filtre des CV, note des candidats, analyse des entretiens vidéo, surveille les performances des employés, recommande des promotions ou contribue à des décisions de licenciement, il est à haut risque. Les obligations qui en découlent sont substantielles, et l'échéance est le 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).

Cela concerne deux groupes distincts :

  • Les éditeurs de solutions RH tech qui développent et vendent ces outils — ils sont fournisseurs avec des obligations de conformité complètes
  • Les employeurs qui achètent et déploient ces outils — ils sont déployeurs avec leurs propres obligations indépendantes

Les deux groupes doivent agir. Aucun ne peut s'appuyer sur la conformité de l'autre pour satisfaire ses propres exigences.

Ce que l'Annexe III §4 couvre exactement

Le règlement est précis. Les systèmes d'IA suivants sont classifiés à haut risque au titre de l'Annexe III §4 :

Recrutement et sélection :

  • Systèmes utilisés pour placer des offres d'emploi ciblées
  • Systèmes qui analysent et filtrent les candidatures — y compris l'analyse de CV, le classement et la présélection
  • Systèmes utilisés pour évaluer les candidats — y compris l'analyse d'entretiens vidéo, le scoring psychométrique et l'évaluation des compétences

Décisions liées au travail :

  • Systèmes utilisés pour prendre des décisions affectant la promotion ou la résiliation de relations contractuelles de travail
  • Systèmes utilisés pour allouer des tâches fondées sur le comportement ou les traits et caractéristiques personnels
  • Systèmes utilisés pour surveiller et évaluer les performances et le comportement des personnes dans des contextes professionnels

Précision sur le périmètre : La question clé est de savoir si le système d'IA prend ou influence significativement une décision concernant l'emploi d'une personne. Un outil de planification qui assigne des créneaux en fonction des disponibilités n'est généralement pas à haut risque. Un outil de suivi des performances dont les sorties alimentent les évaluations ou les primes l'est.

Qui est concerné

Éditeurs RH tech : Vous êtes fournisseurs

Si vous développez un ATS avec scoring IA, un outil d'analyse d'entretiens vidéo, une plateforme d'analytics de la main-d'œuvre, ou un système de gestion des performances avec des insights IA, et que vous le vendez ou le licenciez à des employeurs dans l'UE, vous êtes fournisseur d'un système d'IA à haut risque.

Cela s'applique quelle que soit votre localisation. Une entreprise RH tech basée aux États-Unis dont l'outil est utilisé par un employeur allemand pour filtrer des candidats en Allemagne est soumise à l'AI Act (Article 2(1)(c)).

Employeurs : Vous êtes déployeurs

Si vous utilisez l'un des outils ci-dessus pour prendre ou informer des décisions d'emploi sur des personnes dans l'UE, vous êtes déployeur d'un système d'IA à haut risque. Vous avez des obligations indépendantes au titre de l'Article 26 qui existent quelle que soit la conformité de votre fournisseur.

Cela inclut les entreprises utilisant :

  • Des plateformes ATS avec scoring IA (Workday, SAP SuccessFactors, Greenhouse avec scoring IA, etc.)
  • Des outils d'analyse d'entretiens vidéo (HireVue, Pymetrics, et similaires)
  • Des plateformes de gestion des performances IA
  • Des outils d'optimisation de la main-d'œuvre utilisant des données comportementales individuelles

Obligations du fournisseur : ce que les éditeurs RH tech doivent faire

Les fournisseurs de systèmes IA RH à haut risque doivent réaliser les étapes suivantes avant de mettre leur système sur le marché européen ou de le rendre disponible à des clients européens :

1. Système de gestion des risques (Article 9)

Mettre en place un processus documenté et continu d'identification et d'atténuation des risques tout au long du cycle de vie du système. Pour les IA RH, cela nécessite spécifiquement d'évaluer les risques de résultats discriminatoires, le risque que l'IA perpétue ou amplifie des biais contre des groupes protégés (genre, âge, origine, handicap, etc.).

Le système de gestion des risques doit être revu et mis à jour chaque fois que le système est substantiellement modifié ou qu'une preuve de nouveaux risques émerge.

2. Gouvernance des données (Article 10)

Les données d'entraînement, de validation et de test doivent être :

  • Pertinentes par rapport à la finalité prévue
  • Représentatives de la population à laquelle le système sera appliqué
  • Exemptes d'erreurs et complètes
  • Examinées pour les biais — l'AI Act exige explicitement que les données d'entraînement soient évaluées pour les biais possibles affectant les personnes présentant des caractéristiques protégées

Pour les IA de recrutement, cela signifie que vos données d'entraînement ne peuvent pas sur-représenter des schémas de recrutement historiques reflétant des discriminations passées. Si votre modèle a été entraîné sur des données historiques de « recrutements réussis » d'une entreprise présentant des lacunes documentées en matière de diversité, ces données d'entraînement elles-mêmes peuvent rendre le système non conforme.

3. Documentation technique (Article 11, Annexe IV)

Préparer et maintenir un dossier technique complet incluant :

  • L'architecture du système et les choix de conception
  • Les sources de données d'entraînement et la méthodologie
  • Les résultats d'évaluation, y compris les indicateurs de performance désagrégés par groupes démographiques
  • Les limites connues et les scénarios de mauvaise utilisation prévisibles
  • Les instructions d'utilisation appropriée

Cette documentation doit être disponible pour l'AI Office et les autorités nationales sur demande, et doit être conservée pendant 10 ans après la mise sur le marché.

4. Transparence et instructions d'utilisation (Article 13)

Fournir aux déployeurs (employeurs) des instructions d'utilisation claires couvrant :

  • La finalité prévue et les limitations du système
  • Les indicateurs d'exactitude et de performance, y compris les variations entre groupes démographiques
  • Comment mettre en place une supervision humaine adéquate
  • Les circonstances prévisibles dans lesquelles le système pourrait défaillir ou produire des sorties non fiables

Masquer les écarts de performance entre groupes démographiques dans les instructions d'utilisation n'est pas conforme, et sera probablement un domaine de contrôle réglementaire actif.

5. Supervision humaine par conception (Article 14)

Le système doit être conçu de sorte que les déployeurs puissent de manière significative surveiller, comprendre et annuler ses sorties. La « supervision humaine » doit être substantielle, le système doit permettre aux humains de :

  • Détecter quand le système opère en dehors de ses paramètres prévus
  • Annuler des sorties individuelles
  • « Éteindre » le système si nécessaire

6. Exactitude, robustesse, cybersécurité (Article 15)

Documenter les indicateurs d'exactitude sur la population d'usage prévue. Pour les IA RH, cela doit inclure des indicateurs désagrégés, performance ventilée par genre, âge et autres caractéristiques protégées pertinentes. Un système qui performe bien en moyenne mais présente une exactitude significativement plus faible pour un groupe protégé peut ne pas satisfaire aux exigences de l'Article 15.

7. Évaluation de conformité, Déclaration UE, Enregistrement (Articles 43, 47, 49)

  • Réaliser une évaluation de conformité interne démontrant que le système satisfait aux Articles 9–15
  • Établir une Déclaration UE de conformité
  • Enregistrer le système dans la base de données européenne des systèmes d'IA à haut risque avant de le mettre sur le marché européen

Pour la plupart des systèmes Annexe III §4, l'auto-évaluation est permise. L'évaluation tierce par un organisme notifié n'est pas requise sauf si le système implique également une identification biométrique.

Obligations du déployeur : ce que les employeurs doivent faire

Les employeurs utilisant des outils d'IA RH et de recrutement sont déployeurs au titre de l'Article 26. Indépendamment de la conformité de leur fournisseur, ils doivent :

1. Utiliser le système dans sa finalité prévue

Déployer le système uniquement aux fins décrites dans les instructions d'utilisation du fournisseur. Utiliser un outil de scoring d'entretien IA pour des décisions pour lesquelles il n'a pas été validé, ou dans un contexte qu'il n'a pas évalué, peut transférer la responsabilité à l'employeur.

2. Désigner un personnel de supervision humaine formé

Désigner des professionnels RH ou des managers qui :

  • Comprennent ce que le système d'IA peut et ne peut pas faire
  • Ont l'autorité d'annuler les recommandations générées par l'IA
  • Ont reçu une formation spécifique au système

3. Assurer la qualité des données d'entrée

Lorsque les employeurs contrôlent les données transmises au système (ex. : descriptions de poste, dossiers candidats), ils doivent s'assurer que ces données sont pertinentes et représentatives du rôle et de la population évalués.

4. Conserver les journaux pendant au minimum 6 mois

Conserver les journaux générés par le système pendant au moins 6 mois. Ces journaux sont des éléments de preuve essentiels en cas de plainte pour discrimination ou d'investigation réglementaire.

5. Notifier les travailleurs avant le déploiement

Avant d'utiliser tout système d'IA à haut risque pour surveiller, évaluer ou informer des décisions concernant des travailleurs, les employeurs doivent informer :

  • Les travailleurs concernés
  • Les représentants des travailleurs (syndicats, comités d'entreprise) le cas échéant

Cela doit avoir lieu avant le déploiement du système, pas après.

6. Divulguer l'utilisation de l'IA aux candidats et employés

Les employeurs doivent informer les individus qu'ils sont soumis à une évaluation ou une décision pilotée par IA. Cela s'applique à :

  • Les candidats évalués par des outils IA lors du recrutement
  • Les employés soumis à une surveillance des performances par IA

7. Surveiller les performances et signaler les incidents graves

Les employeurs doivent surveiller le fonctionnement du système d'IA et signaler les incidents graves, sorties causant un préjudice, produisant des résultats discriminatoires, ou présentant des risques pour la santé, la sécurité ou les droits fondamentaux, au fournisseur et aux autorités sans délai injustifié.

Le risque spécifique : l'IA discriminatoire dans le recrutement

L'AI Act recoupe directement le droit antidiscriminatoire européen dans le contexte de l'emploi. Les systèmes d'IA utilisés pour le recrutement ou la gestion du personnel qui produisent des résultats discriminatoires, même involontairement, créent une responsabilité à la fois au titre de l'AI Act et de la Directive sur l'égalité en matière d'emploi (2000/78/CE) et des Directives sur l'égalité entre hommes et femmes.

Scénarios de risque clés :

  • Biais des données d'entraînement : Un modèle entraîné sur des données de recrutement historiques d'un secteur à dominance masculine peut systématiquement attribuer de moins bons scores aux femmes
  • Discrimination indirecte : Un modèle utilisant des caractéristiques corrélées à des attributs protégés (code postal, nom de l'université, lacunes dans le parcours professionnel) peut discriminer indirectement
  • Absence de transparence : Un système incapable d'expliquer pourquoi un candidat a été rejeté peut violer à la fois les exigences de transparence de l'AI Act et les droits des candidats au titre de l'Article 22 du RGPD

L'AI Act ne crée pas de nouveau droit antidiscriminatoire, mais il exige des fournisseurs qu'ils documentent les performances de leurs systèmes par groupes protégés, et des déployeurs qu'ils maintiennent une supervision humaine capable de détecter les schémas discriminatoires.

Dates clés

Date Étape
2 février 2025 Obligations de culture IA en vigueur
2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus) Obligations Annexe III complètes, fournisseurs et déployeurs
2 août 2027 Délai pour les systèmes existants mis sur le marché avant août 2026

Comment DilAIg aide les équipes RH et les éditeurs RH tech

Pour les éditeurs RH tech : L'audit DilAIg classe votre système selon les quatre niveaux de risque de l'AI Act et génère les quatre documents obligatoires, Documentation technique (Annexe IV), Déclaration UE de conformité, FRIA et Notice de transparence, sous forme de projets professionnels. Chaque document est structuré selon les exigences exactes du règlement.

Pour les employeurs : L'audit identifie quels outils IA déployés sont à haut risque, cartographie vos obligations de déployeur au titre de l'Article 26, et détermine si vous êtes tenu de réaliser une FRIA au titre de l'Article 27. Si c'est le cas, DilAIg génère le projet de FRIA.

Démarrer votre audit AI Act gratuit →

Réserver une démo →

FAQ : IA RH et AI Act

Tout ATS (système de suivi des candidatures) est-il à haut risque ?

Seulement s'il utilise une IA pour prendre ou influencer significativement des décisions de recrutement. Un ATS de base qui stocke et organise des candidatures sans scoring IA n'est pas à haut risque. Un ATS avec classement IA des CV, scoring des candidats ou présélection automatisée est à haut risque au titre de l'Annexe III §4.

Cela s'applique-t-il aux outils de recrutement internes développés en interne ?

Oui. Si votre entreprise a développé son propre outil IA pour filtrer des candidats ou évaluer des employés, et que vous l'utilisez dans l'UE, votre entreprise est à la fois fournisseur et déployeur. Toutes les obligations fournisseur et déployeur s'appliquent.

Et si l'IA ne fait qu'une recommandation : un humain prend la décision finale ?

La présence d'un humain « dans la boucle » ne retire pas le système de la classification à haut risque. Ce qui compte, c'est si l'IA influence significativement la décision, pas si un humain l'approuve formellement. Si les responsables du recrutement suivent systématiquement les recommandations de l'IA sans examen indépendant substantiel, l'exigence de supervision n'est pas satisfaite.

L'AI Act nous oblige-t-il à expliquer les décisions de recrutement IA aux candidats rejetés ?

Oui, via une combinaison de l'Article 26(11) (divulgation de l'utilisation de l'IA) et des dispositions de transparence de l'AI Act. Les candidats ont le droit de savoir qu'ils ont été évalués par un système d'IA. Le droit à une explication significative des décisions automatisées peut également s'appliquer au titre de l'Article 22 du RGPD si la décision était entièrement automatisée.

Cela s'applique-t-il aux outils de surveillance des performances (ex. : suivi de productivité) ?

Oui, si l'IA surveille les performances ou le comportement individuels d'une manière qui informe des décisions liées au travail (promotions, allocation des tâches, licenciement). L'obligation de notification des travailleurs au titre de l'Article 26(7) est particulièrement importante ici, les employeurs doivent informer les travailleurs avant de déployer de tels systèmes.

Points clés à retenir

  • Les IA RH et de recrutement sont sans ambiguïté à haut risque au titre de l'Annexe III §4 — aucune zone grise
  • Éditeurs (fournisseurs) et employeurs (déployeurs) ont des obligations obligatoires indépendantes
  • Les éditeurs doivent réaliser : gestion des risques, évaluation des biais dans les données d'entraînement, documentation technique, évaluation de conformité, Déclaration UE de conformité, enregistrement
  • Les employeurs doivent : désigner une supervision humaine formée, conserver les journaux ≥ 6 mois, notifier les travailleurs avant le déploiement, divulguer l'utilisation de l'IA aux candidats, surveiller et signaler les incidents
  • Le règlement recoupe le droit antidiscriminatoire européen — une IA produisant des résultats discriminatoires crée une responsabilité dans plusieurs cadres juridiques
  • Les obligations complètes s'appliquent à partir du 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus)
  • DilAIg génère tous les documents obligatoires pour les fournisseurs et les déployeurs

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit