RH & Recrutement — Conformité au règlement sur l'IA de l'UE

Obligations au titre du règlement sur l'IA de l'UE pour les systèmes d'IA utilisés dans le recrutement, la surveillance des salariés et l'évaluation des performances. La catégorie 4 de l'Annexe III couvre l'ensemble des systèmes d'IA dans le domaine de l'emploi.

Pourquoi le règlement sur l'IA de l'UE est central pour les technologies RH

L'intelligence artificielle est désormais profondément ancrée dans les pratiques en matière d'emploi à travers l'UE — du traitement automatisé des CV dans les systèmes de suivi des candidatures aux tableaux de bord de performance en temps réel et aux analyses comportementales dans les centres de contact. Le règlement sur l'IA de l'UE, en vigueur depuis le 1er août 2024, les obligations applicables aux systèmes à haut risque prenant effet à compter du 2 août 2026, traite les systèmes d'IA dans le domaine de l'emploi comme un secteur particulièrement sensible au regard des droits fondamentaux, justifiant le niveau de contrôle réglementaire le plus élevé.

La catégorie 4 de l'Annexe III du règlement identifie les systèmes d'IA utilisés dans l'emploi, la gestion des travailleurs et l'accès au travail indépendant comme à haut risque selon trois sous-catégories distinctes : le recrutement et la sélection (cat. 4(a)), les décisions relatives à la promotion, à l'attribution des tâches et à la surveillance des obligations contractuelles (cat. 4(b)), et la surveillance en temps réel de l'état émotionnel ou comportemental des travailleurs (cat. 4(c)). Cette classification est catégorique — il n'existe aucun seuil de matérialité, aucune exemption pour les déploiements de faible envergure, et aucune distinction selon que l'outil est développé en interne ou acquis auprès d'un prestataire tiers.

Ce secteur se situe à l'intersection de trois cadres réglementaires : le règlement sur l'IA, le GDPR (en particulier l'Art. 22 relatif à la prise de décision automatisée) et le droit national du travail — notamment les droits de codécision relatifs aux technologies sur le lieu de travail. La mise en conformité requiert une approche coordonnée associant les fonctions juridiques, RH, informatiques et les représentants du personnel.

Cas d'usage à haut risque — Tous les systèmes relevant de la catégorie 4 de l'Annexe III

Recrutement et sélection (Cat. 4(a))

Les systèmes d'IA utilisés tout au long du processus de recrutement sont à haut risque sans exception. Cela comprend :

Les outils de présélection de CV intégrés dans des plateformes ATS (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). La logique de classement, de sélection et de rejet pilotée par l'IA relève pleinement de la cat. 4(a).
Les outils d'analyse d'entretiens vidéo qui évaluent les expressions faciales, le ton de la voix, les schémas de parole ou les micro-expressions afin d'inférer l'adéquation du candidat ou ses traits de personnalité (par exemple, les outils de type HireVue). Ces systèmes peuvent également déclencher les obligations de transparence prévues à l'Art. 50(2) s'ils intègrent une fonctionnalité de reconnaissance des émotions.
Les algorithmes de publicité d'emploi ciblée qui déterminent quels individus voient des offres d'emploi en fonction de caractéristiques inférées — notamment l'âge, le sexe ou des indicateurs géographiques — sont explicitement visés par la cat. 4(a) et présentent un risque particulier de ciblage discriminatoire.

Gestion et surveillance de la main-d'œuvre (Cat. 4(b))

Les systèmes d'IA utilisés pour gérer la relation de travail après l'embauche sont également à haut risque :

Les systèmes d'IA d'évaluation des performances qui génèrent des scores, des notes ou des classements utilisés pour éclairer des décisions de promotion, de prime ou de licenciement.
Les algorithmes d'attribution des tâches dans les plateformes de l'économie à la demande (Uber, Deliveroo, Amazon Flex) qui assignent le travail, fixent les tarifs et prononcent la désactivation. Ces systèmes sont à haut risque au titre de la cat. 4(b), quelle que soit la qualification juridique de la relation de travail.
Les logiciels de surveillance de la productivité qui agrègent l'activité au clavier, l'usage des applications, les métadonnées de communication ou les données de localisation pour produire des indicateurs de performance. Lorsque les résultats alimentent des décisions contractuelles, la cat. 4(b) s'applique.

Surveillance émotionnelle et comportementale en temps réel (Cat. 4(c))

La catégorie 4(c) de l'Annexe III vise spécifiquement les systèmes qui surveillent l'état émotionnel ou comportemental des travailleurs en temps réel. Les déploiements courants concernés :

Les outils d'analyse des émotions dans les centres d'appels qui évaluent le sentiment du client et de l'agent en cours d'appel et génèrent des signaux d'alerte sur les performances.
Les plateformes biométriques de bien-être qui inférent le stress, la fatigue ou le niveau d'engagement à partir de signaux physiologiques ou comportementaux.
La surveillance de l'attention et de l'engagement lors du travail à distance par inférence via webcam.

Ces systèmes déclenchent par ailleurs l'Art. 50(2) : tout déployeur utilisant la reconnaissance des émotions sur des travailleurs doit en informer ces derniers. Cette obligation de notification s'applique indépendamment du respect du calendrier général de conformité pour les systèmes à haut risque.

Obligations des fournisseurs et des déployeurs — La position de l'employeur

Au titre du règlement sur l'IA, la plupart des employeurs ont la qualité de déployeurs — ils acquièrent des systèmes d'IA à haut risque auprès de fournisseurs (éditeurs de logiciels) et les déploient dans leurs processus RH. La distinction fournisseur/déployeur est juridiquement significative car les obligations diffèrent.

Obligations des fournisseurs (responsabilités des éditeurs)

Les fournisseurs — éditeurs de logiciels RH — doivent, avant de mettre des systèmes à haut risque sur le marché de l'UE :

Établir et maintenir un système de gestion de la qualité (Art. 9) couvrant la gestion des risques, la gouvernance des données, la documentation technique et la surveillance post-commercialisation.
Préparer une documentation technique conformément à l'Annexe IV démontrant la conception du système, sa destination prévue, ses indicateurs de performance, ses données d'entraînement et ses limites connues.
Réaliser une évaluation de la conformité au titre de l'Art. 43 et enregistrer le système dans la base de données de l'UE (Art. 49).
Apposer le marquage CE et délivrer une déclaration de conformité UE.
Fournir aux déployeurs des instructions d'utilisation (Art. 13) incluant des informations sur les limites, les profils d'utilisateurs prévus et les exigences de surveillance.

Obligations des déployeurs (responsabilités des employeurs)

Les employeurs doivent :

Vérifier la conformité du fournisseur avant tout déploiement : contrôler le marquage CE, la déclaration de conformité et le caractère adéquat des instructions d'utilisation.
Mettre en œuvre conformément aux instructions : les déployeurs ne peuvent pas utiliser le système à des fins autres que celles explicitement prévues (Art. 25(1)).
Garantir une surveillance humaine effective (Art. 25(2)) : les personnes désignées pour superviser les résultats du système d'IA doivent disposer de l'autorité, de la compétence technique et du temps nécessaires pour comprendre les résultats et les infirmer le cas échéant. Une révision humaine de façade — une simple validation sans examen réel — ne satisfait pas à cette exigence.
Réaliser une évaluation de l'impact sur les droits fondamentaux (FRIA) (Art. 27) : obligatoire pour les déployeurs du secteur public ; fortement recommandée pour les employeurs du secteur privé déployant des systèmes de cat. 4, en particulier lorsque les résultats affectent des caractéristiques protégées.
Assurer une surveillance post-déploiement : si un déployeur identifie des risques non anticipés par le fournisseur, il doit en informer ce dernier et, le cas échéant, l'autorité de surveillance du marché.
Suspendre l'utilisation en cas d'incidents graves ou si le système s'avère non conforme en opération.

Articulation avec l'article 22 du GDPR et le droit du travail

Article 22 du GDPR — Prise de décision automatisée

L'Art. 22 du GDPR demeure pleinement applicable aux côtés du règlement sur l'IA et s'applique directement aux systèmes d'IA RH. Il interdit les décisions fondées exclusivement sur un traitement automatisé lorsque ces décisions produisent des effets juridiques ou des effets significatifs similaires sur la personne concernée. Dans le contexte de l'emploi, les décisions suivantes entrent sans ambiguïté dans son champ d'application : l'embauche et le rejet, le licenciement, la promotion et la rétrogradation, la détermination de la rémunération, et les mesures disciplinaires.

La mise en conformité requiert :

Une intervention humaine réelle avant toute décision ayant des conséquences — la personne chargée de la révision doit avoir accès aux données et à la logique sous-jacentes, et pas uniquement à un résumé de recommandation.
Le droit d'obtenir une révision humaine de toute décision automatisée sur demande, avec une capacité de réexamen effective.
Une base juridique pour le traitement au titre de l'Art. 6 et, lorsque des données de catégories particulières sont impliquées (données de santé, origine ethnique, données biométriques inférées à partir d'une analyse faciale), au titre de l'Art. 9.

Le règlement sur l'IA et le GDPR sont complémentaires et non mutuellement exclusifs. L'Art. 2(7) du règlement sur l'IA confirme qu'il s'applique sans préjudice du GDPR. Les employeurs doivent satisfaire simultanément aux deux régimes.

Droit national du travail — Représentants du personnel et codécision

Dans plusieurs États membres de l'UE, le droit national du travail confère des droits de codécision sur les technologies utilisées dans l'entreprise, qui s'appliquent aux systèmes d'IA indépendamment du règlement sur l'IA :

Allemagne — Betriebsverfassungsgesetz §87(1) n° 6 : le comité d'entreprise dispose d'un droit de codécision contraignant sur l'introduction de dispositifs techniques destinés à surveiller le comportement ou les performances des salariés. Le déploiement d'outils d'IA de surveillance ou d'évaluation sans accord préalable du comité d'entreprise peut faire l'objet d'un recours devant le tribunal du travail (Arbeitsgericht) et être suspendu par injonction.
Pays-Bas — Wet op de ondernemingsraden (WOR) Art. 27 : l'ondernemingsraad dispose de droits de consentement sur les systèmes de gestion du personnel et les dispositifs de surveillance.
Autriche — Arbeitsverfassungsgesetz §96 : codécision contraignante sur les mesures de surveillance portant atteinte à la dignité personnelle.
France — Code du Travail L. 2312-38 : le Comité Social et Économique doit être informé et consulté avant le déploiement de tout outil automatisé affectant les conditions de travail.

Les droits des représentants du personnel impliquent généralement un préavis, la communication de documents sur le fonctionnement du système et, dans de nombreux cas, la conclusion d'un accord formel ou d'un accord d'entreprise (Betriebsvereinbarung) préalablement au déploiement. Ces obligations se déclenchent avant le calendrier de conformité du règlement sur l'IA et ne peuvent être différées.

La directive 2002/14/CE sur l'information et la consultation des travailleurs fournit également un cadre pour les comités d'entreprise européens des groupes multinationaux déployant des outils d'IA dans plusieurs États membres.

Contrôle et application — Autorités de protection des données, organismes de lutte contre les discriminations et inspection du travail

Le contrôle du respect des obligations du règlement sur l'IA dans le secteur des RH impliquera plusieurs autorités compétentes :

Autorités de protection des données (APD) : dans de nombreux États membres, la désignation de l'autorité principale de surveillance du marché est confiée aux APD ou est exercée conjointement avec elles. Les APD disposent d'une compétence concurrente au titre de l'Art. 22 du GDPR pour les violations relatives à la prise de décision automatisée. Les lignes directrices du Comité européen de la protection des données (CEPD) sur l'IA et l'emploi constituent la référence interprétative au niveau de l'UE.
Organismes nationaux de lutte contre les discriminations : lorsque des systèmes d'IA produisent des résultats discriminatoires dans le recrutement ou la promotion — par exemple, un impact disproportionné sur les femmes, les minorités ethniques ou les travailleurs âgés — les organismes compétents (par exemple, l'ECRI, le Défenseur des droits, les membres d'Equinet) disposent de pouvoirs d'enquête et de sanction au titre des directives sur l'égalité de traitement (2000/43/CE, 2000/78/CE, 2006/54/CE).
Inspection du travail : dans les États membres dotés de régimes d'inspection du travail solides, les inspecteurs peuvent enquêter sur les manquements liés à l'IA en matière de conditions de travail, de limitations de la surveillance et de droits des représentants du personnel. La France (DREETS), l'Allemagne (Gewerbeaufsicht) et l'Espagne (Inspección de Trabajo) sont des exemples d'autorités actives en matière d'application.

Les sanctions prévues par le règlement sur l'IA peuvent atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et 15 millions d'euros ou 3 % du chiffre d'affaires pour les autres violations concernant les systèmes à haut risque. Les amendes prononcées au titre du GDPR en vertu de l'Art. 83 s'appliquent de manière cumulative. Le risque réputationnel et les contentieux initiés par les salariés au titre du droit national du travail constituent des expositions supplémentaires.

Feuille de route de conformité pour les professionnels des RH

Un programme de conformité structuré pour les employeurs déployant des systèmes d'IA dans les RH doit traiter les points suivants dans l'ordre :

1. Inventaire des systèmes d'IA : répertorier tous les outils d'IA utilisés tout au long du cycle de vie de l'emploi — recrutement, intégration, gestion des performances, planification des effectifs et départ. Pour chaque outil, identifier la catégorie de l'Annexe III et confirmer la classification à haut risque.

2. Diligence raisonnable vis-à-vis des fournisseurs : avant le 2 août 2026 (ou lors du prochain renouvellement de contrat), exiger de chaque prestataire : le marquage CE, la déclaration de conformité UE, un résumé de la documentation technique et les instructions d'utilisation. Les prestataires dans l'incapacité de fournir ces éléments doivent être considérés comme non conformes.

3. Consultation des représentants du personnel : engager les procédures de codécision ou de consultation requises par le droit national applicable pour tous les systèmes d'IA ne faisant pas encore l'objet d'un accord formel. Consigner les résultats dans un accord d'entreprise ou un instrument équivalent.

4. Audit au titre de l'Art. 22 du GDPR : recenser toutes les décisions RH produisant des effets juridiques ou significatifs et vérifier qu'aucune décision ne repose exclusivement sur un résultat automatisé. Mettre en place des protocoles de surveillance humaine documentant la compétence des réviseurs et les traces d'intervention.

5. Évaluation de l'impact sur les droits fondamentaux : réaliser une FRIA au titre de l'Art. 27 pour tous les déploiements relevant de la catégorie 4 de l'Annexe III. Pour les employeurs du secteur public, cette évaluation est obligatoire ; pour les employeurs du secteur privé, elle constitue le standard de diligence attendu et un moyen de défense en cas de procédure d'application.

6. Obligations de transparence : mettre en œuvre la notification des salariés prévue à l'Art. 50(2) pour tout système de reconnaissance des émotions. Veiller à ce que les candidats soient informés de l'utilisation d'une présélection assistée par l'IA, conformément aux exigences de transparence du GDPR (Arts. 13 à 14).

7. Capacité de surveillance humaine : vérifier que les personnes désignées pour examiner les résultats des systèmes d'IA RH disposent effectivement de l'autorité pour infirmer les recommandations, du temps suffisant pour effectuer un examen réel et d'une formation documentée adaptée à la complexité du système.

8. Procédures de gestion des incidents : mettre en place des procédures de journalisation, d'investigation et de signalement des incidents graves impliquant des systèmes d'IA RH, conformément aux obligations des fournisseurs prévues à l'Art. 73, répercutées sur les déployeurs par voie contractuelle.

La conformité dans ce secteur n'est pas un projet ponctuel. La combinaison des obligations du règlement sur l'IA, de l'évolution des lignes directrices des APD sur l'Art. 22 du GDPR et d'un dialogue actif avec les représentants du personnel exige une structure de gouvernance pérenne, dotée d'un pilotage dédié au sein des fonctions RH, juridiques et de protection des données.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-20 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Les outils d'IA de présélection de CV sont-ils automatiquement classés à haut risque au titre du règlement sur l'IA ?

Oui. **L'Annexe III, catégorie 4(a)** énumère explicitement les systèmes d'IA utilisés pour le recrutement et la sélection — notamment la présélection de CV, le classement de candidatures et la publicité d'emploi ciblée — comme étant à haut risque. Il n'existe aucun seuil de minimis. Tout outil de présélection intégré à un ATS et déployé dans l'UE est soumis à l'ensemble des obligations applicables aux systèmes à haut risque, prévues aux **Art. 9 à 15** et **Art. 25 à 27**, indépendamment de la taille du fournisseur ou de la sophistication du modèle.

Les employeurs doivent-ils consulter les représentants du personnel avant de déployer des outils d'IA pour le recrutement ou la surveillance ?

En Allemagne, le **Betriebsverfassungsgesetz §87(1) n° 6** confère aux comités d'entreprise un droit de codécision contraignant sur les dispositifs techniques de surveillance, ce qui inclut les systèmes d'IA qui contrôlent le comportement ou les performances des salariés. Des droits de consultation équivalents s'appliquent aux Pays-Bas (OR), en Autriche (Betriebsrat) et en France (Comité Social et Économique). L'absence d'accord préalable peut rendre le déploiement illicite au regard du droit national du travail, indépendamment de la conformité au règlement sur l'IA.

Comment l'article 22 du GDPR s'articule-t-il avec le règlement sur l'IA dans le contexte des ressources humaines ?

**L'Art. 22 du GDPR** interdit les décisions fondées exclusivement sur un traitement automatisé qui produisent des effets juridiques ou des effets significatifs similaires sur les personnes concernées. Dans le domaine des RH, les décisions d'embauche, de licenciement et de promotion entrent clairement dans son champ d'application. Le règlement sur l'IA ne remplace pas l'Art. 22 — il y ajoute des obligations supplémentaires. Les employeurs doivent prévoir une **intervention humaine réelle** avant toute décision ayant des conséquences, documenter cette intervention et s'assurer que la personne chargée de la révision dispose des compétences et de l'autorité nécessaires pour infirmer la recommandation du système d'IA.

Les outils d'IA de reconnaissance des émotions peuvent-ils être utilisés lors des entretiens d'embauche ?

Les systèmes d'IA de reconnaissance des émotions ne sont pas interdits dans le contexte du recrutement, mais **l'Art. 50(2)** du règlement sur l'IA impose une obligation de transparence : les déployeurs doivent informer les personnes lorsqu'elles sont soumises à un tel système. Par ailleurs, ces systèmes relevant de la catégorie 4(a) de l'Annexe III, toutes les exigences applicables aux systèmes à haut risque s'appliquent — évaluation de la conformité, documentation technique, surveillance humaine et évaluation de l'impact sur les droits fondamentaux. La validité scientifique de la reconnaissance des émotions dans le recrutement est largement contestée, ce qui soulève des préoccupations supplémentaires au titre du principe de proportionnalité du GDPR.

Que doit faire un employeur lorsqu'il utilise un outil de recrutement tiers basé sur l'IA (par exemple Workday ou SAP SuccessFactors) ?

Les employeurs ont la qualité de **déployeurs** au titre du règlement sur l'IA (**Art. 3(4)**) et sont soumis à des obligations spécifiques prévues aux **Art. 25 à 27**. Ils doivent : vérifier que le fournisseur a fourni une déclaration de conformité, la documentation technique européenne et les instructions d'utilisation ; mettre en œuvre le système conformément à ces instructions ; s'assurer que les personnes désignées pour la surveillance humaine disposent de l'autorité, des compétences et du temps nécessaires pour intervenir ; réaliser une **évaluation de l'impact sur les droits fondamentaux** (obligatoire pour les déployeurs du secteur public, recommandée pour le secteur privé) ; et suspendre l'utilisation si des risques se manifestent. Les déployeurs ne peuvent pas contourner les restrictions du fournisseur ni utiliser le système à des fins autres que celles prévues.

Le règlement sur l'IA s'applique-t-il aux systèmes d'IA utilisés pour l'attribution des tâches dans l'économie des plateformes ?

Oui. **L'Annexe III, catégorie 4(b)** couvre les systèmes d'IA utilisés pour l'attribution des tâches et la surveillance des obligations contractuelles des travailleurs, ce qui englobe directement les systèmes de gestion algorithmique utilisés par les plateformes de l'économie à la demande, comme la livraison, le transport de personnes et les services à la demande. Ces systèmes sont à haut risque. Les travailleurs de ces plateformes ont droit à une surveillance humaine effective des décisions affectant leur accès au travail, leurs tarifs de rémunération et la désactivation de leur compte.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.