- ▸ Pourquoi le recrutement bascule en haut risque
- ▸ Les 7 obligations qui s'imposent dès le 2 août 2026
- ▸ Le piège du déployeur : la responsabilité ne se transfère pas
- ▸ Trois scénarios concrets
Le AI Act recrutement entre dans sa phase la plus contraignante le 2 août 2026. À cette date, les obligations de fond pour les systèmes IA classés « haut risque » deviennent opposables. Or, tout outil utilisé pour trier des CV, scorer un candidat, analyser une vidéo d’entretien ou prédire la performance future d’un salarié figure explicitement dans cette catégorie. Pour les directions RH, c’est un changement de régime : on quitte la zone grise pour entrer dans un cadre où chaque déploiement engage la responsabilité juridique de l’entreprise.
Pourquoi le recrutement bascule en haut risque
L’AI Act, entré en vigueur le 1er août 2024, prévoit une montée en charge progressive. Les pratiques interdites sont déjà bannies depuis février 2025. Les modèles à usage général ont été encadrés en août 2025. Restait le bloc le plus lourd : les systèmes à haut risque, dont la liste figure à l’Annexe III du règlement.
Le recrutement y occupe une place explicite. Sont visés : le tri automatisé de candidatures, la notation des candidats, l’analyse comportementale en entretien vidéo, mais aussi les systèmes de gestion de carrière qui décident des promotions ou des affectations. La logique du législateur européen est claire : ces décisions affectent l’accès à l’emploi, droit fondamental, et leurs biais peuvent reproduire ou amplifier des discriminations à grande échelle.
Les 7 obligations qui s’imposent dès le 2 août 2026
Le règlement impose un socle de sept exigences cumulatives pour les déployeurs de systèmes IA à haut risque dans le recrutement :
- Évaluation de conformité préalable : avant tout déploiement, l’entreprise doit vérifier que le fournisseur a réalisé l’évaluation requise et obtenu le marquage CE.
- Système de gestion des risques : un processus documenté d’identification, d’analyse et de mitigation des risques tout au long du cycle de vie de l’outil.
- Gouvernance des données d’entraînement : preuves que les jeux de données utilisés sont pertinents, représentatifs, exempts d’erreurs et statistiquement appropriés au contexte français.
- Documentation technique et logs : enregistrement automatique des événements significatifs, conservation des logs et tenue d’une documentation technique détaillée.
- Transparence vis-à-vis des candidats : information claire et préalable sur l’usage d’un système IA dans le processus, et sur les éléments pris en compte dans la décision.
- Supervision humaine effective : un opérateur formé doit pouvoir comprendre les sorties du système, les contester et reprendre la main. Une simple validation à l’aveugle ne suffit pas.
- Enregistrement dans la base européenne : inscription du système dans la base de données centralisée gérée par la Commission, accessible aux régulateurs nationaux.
Ces obligations ne sont pas optionnelles. L’absence de l’une d’elles suffit à caractériser un manquement.
Le piège du déployeur : la responsabilité ne se transfère pas
Beaucoup de DRH pensent que la conformité incombe au seul fournisseur du logiciel. C’est une erreur juridique. L’AI Act distingue le fournisseur (qui développe et met sur le marché) du déployeur (qui utilise le système dans son activité). Le déployeur a ses propres obligations, indépendantes de celles du fournisseur.
Concrètement, une PME qui achète un ATS « clé en main » sur étagère reste responsable de la supervision humaine, de la transparence vis-à-vis des candidats, de la tenue d’un registre interne et de l’analyse d’impact si l’outil influence des décisions affectant les personnes. Selon une analyse croisée Reed Smith / Parlement européen publiée début 2026, la majorité des PME et ETI européennes n’ont pas encore désigné de responsable conformité IA, ne disposent pas de registre documenté de leurs systèmes à haut risque, et n’ont engagé aucune évaluation formelle.
Trois scénarios concrets
Pour aider les directions RH à se projeter, voici trois situations typiques et leurs implications.
Scénario 1 : ATS avec scoring de CV
Une ETI utilise un outil de tri qui attribue un score de 0 à 100 aux candidatures. Avant le 2 août, l’usage est libre. Après, l’entreprise doit obtenir du fournisseur la preuve de marquage CE, informer les candidats du recours à un scoring automatisé, conserver les logs des décisions et garantir qu’un recruteur humain peut écarter le score.
Scénario 2 : analyse vidéo des entretiens
Un grand groupe filme ses entretiens et fait analyser le langage corporel par un système IA. Cas d’école du haut risque : tonalité de voix, micro-expressions, vocabulaire. L’analyse d’impact sur les droits fondamentaux devient obligatoire avant tout nouveau déploiement, le consentement éclairé du candidat doit être recueilli en amont, et un système de recours doit permettre à un candidat de contester la lecture algorithmique.
Scénario 3 : ChatGPT pour rédiger des fiches de poste
Une PME demande à ChatGPT de générer une fiche de poste, sans automatiser de décision. Ce cas reste hors champ haut risque : l’IA n’évalue ni ne décide. Mais attention si la même PME utilise ensuite l’IA pour pré-trier les candidatures à ce poste : le bascule est immédiat.
Sanctions : jusqu’à 35 M€ ou 7 % du CA mondial
Le régime de sanctions est calqué sur le RGPD, en plus sévère. Pour un manquement aux obligations applicables aux systèmes à haut risque, l’amende peut atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Pour les pratiques interdites, le plafond grimpe à 35 millions d’euros ou 7 % du CA mondial. Les autorités nationales — en France, principalement la CNIL et la DGCCRF — pourront engager des contrôles dès les premiers mois suivant l’entrée en application.
Comparaison RGPD / AI Act : ce qui change vraiment
Les DPO connaissent déjà le RGPD. L’AI Act ajoute trois différences structurantes. D’abord, la logique de classification par risque : tous les systèmes ne se valent pas, et le haut risque déclenche un régime spécifique. Ensuite, l’évaluation de conformité ex ante : on ne peut pas attendre l’incident pour démontrer son sérieux, il faut documenter avant. Enfin, la base européenne centralisée : les régulateurs verront en temps réel quels systèmes sont déployés où, ce qui facilite considérablement le contrôle.
Pour les RSSI et DPO, c’est un nouveau front à instruire en parallèle du RGPD, pas en substitution. Les enjeux de droit d’auteur sur l’IA générative s’ajoutent au tableau.
La feuille de route en 4 mois
D’ici le 2 août 2026, les directions RH peuvent encore agir. Quatre étapes prioritaires :
- Cartographier tous les outils IA utilisés dans le recrutement et la gestion RH, y compris les fonctions « cachées » dans les ATS classiques.
- Classer chaque système (haut risque ou non) selon les critères de l’Annexe III.
- Demander aux fournisseurs leur évaluation de conformité, les logs, et la documentation technique.
- Désigner un référent conformité IA, formé à l’AI Act, et tracer les supervisions humaines effectives.
Implications sectorielles : l’intérim et le SaaS RH en première ligne
Trois secteurs concentrent l’essentiel du risque opérationnel. L’intérim et le travail temporaire, d’abord, où le tri massif de candidatures est déjà fortement automatisé : Adecco, Randstad et Manpower ont confirmé en début 2026 des chantiers de mise en conformité accélérés. Les éditeurs de logiciels RH ensuite, pour qui le marquage CE devient un prérequis commercial : sans lui, plus aucune ETI européenne ne peut acheter sans s’exposer. Les cabinets de chasse de têtes, enfin, dont les outils de scoring de candidats senior tombent dans le périmètre haut risque dès qu’ils suggèrent une priorité d’appel.
Pour les déployeurs hors-UE qui visent le marché européen — typiquement, les startups américaines de HR Tech — l’AI Act devient une barrière à l’entrée. Plusieurs éditeurs californiens ont annoncé fin mars 2026 le retrait temporaire de leurs services du marché européen, faute de pouvoir documenter leurs modèles d’entraînement. Le mouvement rappelle l’effet immédiat du RGPD en 2018.
Comparatif multi-pays : l’AI Act fait référence
Sur le plan international, la régulation européenne est désormais le standard de fait. Le Royaume-Uni a publié en février 2026 son AI Bill, calqué à 80 % sur l’AI Act mais avec un seuil d’application plus permissif. Les États-Unis n’ont toujours pas de loi fédérale unifiée, mais la Californie, le Colorado et l’Illinois ont adopté des dispositions très proches sur le recrutement automatisé. Au Canada, la loi C-27 reprend l’architecture européenne. Le résultat : pour une multinationale, viser la conformité AI Act revient quasi automatiquement à se conformer dans la majorité des juridictions développées. Les cabinets conseils spécialisés estiment que le coût marginal d’extension d’un programme AI Act aux autres juridictions reste inférieur à 15 %, contre plus de 40 % dans l’autre sens.
Ce que l’AI Act change vraiment
Le AI Act recrutement n’interdit pas l’usage de l’IA dans les RH. Il impose un cadre exigeant qui responsabilise le déployeur autant que le fournisseur. Pour les entreprises matures sur le RGPD, l’effort est gérable mais réel. Pour celles qui ont laissé proliférer les outils sans gouvernance, le 2 août 2026 sera un mur. Comme l’a montré le récent AI Index 2026, l’Europe a perdu la course à la puissance — mais elle pose les règles que les autres devront suivre pour vendre sur son marché. Les directions RH ont quatre mois pour transformer leur retard en avance compétitive.
Sources : DG Entreprises, Parlement européen, Bpifrance.
