L'essentiel en 30 secondes
- Le scoring de CV par IA est classé « système à haut risque » par l'AI Act lorsqu'il influence des décisions de recrutement.
- Les PME doivent garantir la transparence, la non-discrimination et réaliser une évaluation d'impact de leur système.
- Les sanctions peuvent atteindre 7 % du chiffre d'affaires annuel pour non-conformité (Article 65 du Règlement (UE) 2024/1689).
- Les cabinets RH doivent fournir des explications claires sur les critères de scoring et garantir le droit de rectification des candidats.
- Référence directe : Article 6 du Règlement (UE) 2024/1689 et RGPD (Règlement (UE) 2016/679).
1. Le scoring de CV par IA : définition et utilisation
Le scoring de CV est une technique d'intelligence artificielle qui analyse automatiquement les candidatures pour attribuer à chaque dossier un score de pertinence. L'algorithme évalue des données textuelles — formation, expérience, compétences déclarées — mais aussi des signaux moins évidents : proximité sémantique avec la fiche de poste, cohérence du parcours professionnel, récurrence de mots-clés sectoriels.
Les cabinets RH et les services RH internes adoptent ces outils pour deux raisons principales. D'abord, la rapidité : une PME qui reçoit 200 candidatures pour un poste de technicien ne peut pas lire chaque CV avec la même attention. Ensuite, la capacité à détecter des compétences latentes que le recruteur humain aurait manquées — un profil atypique dont le parcours correspond pourtant aux exigences réelles du poste.
Cette automatisation présente cependant un risque structurel. Si le modèle d'IA a été entraîné sur des données historiques biaisées — par exemple, une surreprésentation d'un profil démographique parmi les candidats embauchés par le passé —, le système reproduit et amplifie ces biais. Un candidat qualifié peut être éliminé sans que jamais un humain ne lise son dossier.
C'est précisément pour encadrer ce type de risque que le législateur européen a classé le scoring de CV parmi les systèmes à haut risque. Pour comprendre le périmètre complet de l'AI Act applicable aux PME, consultez notre page AI Act et PME en France.
2. Classification de l'AI Act : système à haut risque
L'Article 6 du Règlement (UE) 2024/1689 — communément appelé « AI Act » — définit les systèmes à haut risque selon deux voies. La première voie vise les systèmes utilisés comme composantes de sécurité dans des produits soumis à une législation d'harmonisation européenne. La seconde voie, la plus pertinente pour les cabinets RH, liste des catégories spécifiques dans l'Annexe III du règlement.
L'Annexe III, point 4, mentionne explicitement les « systèmes d'IA utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour la présélection et le filtrage de candidatures, le tri automatique ou le classement des candidats ». Le scoring de CV entre directement dans cette catégorie dès lors qu'il influence une décision de recrutement.
Peu importe que la décision finale reste formellement humaine : si l'IA filtre les candidats avant que le recruteur ne les examine, le système est à haut risque. C'est la nature de la fonction — influencer une décision d'emploi — qui détermine la classification, pas le degré d'autonomie du système.
| Critère d'évaluation | Scoring de CV | Conséquence AI Act |
|---|---|---|
| Influence une décision d'emploi | Oui | Haut risque (Annexe III, §4) |
| Traite des données personnelles | Oui | Obligation RGPD concomitante |
| Décision pouvant affecter des droits fondamentaux | Oui | Exigences renforcées de transparence |
| Automatisation partielle (présélection) | Oui | Haut risque même sans décision finale IA |
| Fournisseur ou déployeur | Les deux possibles | Obligations distinctes selon le rôle |
Cette classification s'applique que vous soyez fournisseur du logiciel ou simple utilisateur. En tant que cabinet RH qui déploie un outil tiers de scoring, vous êtes qualifié de « déployeur » au sens de l'Article 3, point 4, du règlement. Vous assumez des obligations propres, distinctes de celles du fournisseur, notamment en matière de surveillance et de formation des opérateurs.
3. Obligations pour les systèmes à haut risque
Les systèmes à haut risque sont soumis à un régime d'obligations détaillé dans le Chapitre III du Règlement (UE) 2024/1689.
Évaluation d'impact (Article 9). Avant tout déploiement, le fournisseur — et dans certains cas le déployeur — doit réaliser une évaluation des risques. Cette évaluation identifie les risques prévisibles pour les droits fondamentaux, les mesures d'atténuation mises en place et les indicateurs de performance à surveiller. Elle n'est pas une formalité : elle doit être documentée, mise à jour tout au long de la durée de vie du système, et tenue à disposition des autorités de surveillance.
Documentation technique et journaux. L'Article 12 du règlement impose la conservation automatique de journaux d'événements permettant de retracer les décisions du système. Pour un outil de scoring, cela signifie conserver, pour chaque candidature traitée, le score attribué, les variables ayant le plus influencé le résultat, et l'horodatage du traitement.
Surveillance humaine. L'Article 14 exige que les personnes supervisant le système aient la compétence, l'autorité et les moyens d'intervenir, de corriger ou de suspendre le système en temps réel. Il est formellement interdit de laisser un système de scoring fonctionner en « boîte noire » sans qu'un référent identifié soit capable de l'interrompre.
L'ensemble du cadre technique de conformité pour les PME est présenté dans notre glossaire réglementaire.
4. Implications pour les cabinets RH
Un cabinet RH qui utilise un outil de scoring de CV doit agir sur trois fronts simultanément.
Enregistrement du système. Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données européenne visée à l'Article 71 du règlement. En France, la CNIL est l'autorité compétente pour les aspects qui recoupent le RGPD. Elle a publié des recommandations spécifiques aux systèmes RH utilisant l'IA, consultables sur cnil.fr. Ces recommandations précisent notamment les critères d'une analyse d'impact relative à la protection des données (AIPD) dans le contexte du recrutement automatisé.
Documentation des processus et des critères. Le cabinet doit tenir un dossier technique décrivant l'architecture du système, les données d'entraînement utilisées (ou celles documentées par le fournisseur), les critères de scoring, les tests de performance effectués, et les mesures anti-biais. Si le logiciel est fourni par un tiers, le cabinet a le droit d'exiger cette documentation au titre de l'Article 53 du règlement. Un fournisseur qui refuse de la communiquer expose le cabinet à un risque de non-conformité.
Formation des utilisateurs. Les recruteurs qui utilisent le scoring doivent comprendre ce que le score représente et, surtout, ce qu'il ne représente pas. Une formation minimale doit aborder trois points : comment l'algorithme attribue les scores, quelles données il ne prend pas en compte, et comment contester ou écarter un score manifestement erroné. Cette obligation de formation est posée par l'Article 26, paragraphe 4, du règlement.
Vérifiez votre conformité AI Act en 15 minutes
Notre checklist gratuite vous guide pas à pas pour évaluer si votre outil de scoring RH respecte les exigences de l'AI Act. Sans jargon, adaptée aux PME françaises.
Télécharger la checklist5. Exigences spécifiques pour le scoring de CV
Trois exigences méritent une attention particulière dans le contexte des outils de scoring RH.
Justification des critères de scoring. Le cabinet doit être en mesure d'expliquer à tout candidat les éléments qui ont conduit à son score. Cette obligation découle conjointement de l'Article 13 de l'AI Act — transparence envers les personnes affectées — et de l'Article 22 du RGPD, qui encadre les décisions fondées exclusivement sur un traitement automatisé. Si votre fournisseur ne peut pas vous fournir une explication intelligible du fonctionnement de son algorithme, c'est un signal d'alarme.
Non-discrimination et détection des biais. L'Article 10 du règlement impose que les données d'entraînement et de test soient pertinentes, représentatives et exemptes d'erreurs. En pratique, le cabinet doit exiger du fournisseur un rapport de test anti-biais couvrant au minimum les variables : sexe, âge, et origine géographique. Des tests de disparate impact — comparaison des taux de sélection entre groupes — doivent être conduits périodiquement, idéalement à chaque mise à jour du modèle.
Droit de rectification et d'opposition. Tout candidat a le droit, au titre du RGPD, d'accéder aux données le concernant, de les rectifier, et de s'opposer à un traitement automatisé. Le cabinet doit disposer d'une procédure opérationnelle pour traiter ces demandes dans le délai légal d'un mois (Article 12 RGPD). L'absence de procédure formalisée constitue une violation autonome du RGPD, indépendante de toute question AI Act.
Consultez également nos sources réglementaires pour accéder aux textes officiels complets.
6. Sanctions en cas de non-conformité
La non-conformité à l'AI Act expose les cabinets RH à des sanctions financières sévères. L'Article 65 du Règlement (UE) 2024/1689 prévoit des amendes pouvant atteindre 7 % du chiffre d'affaires annuel mondial pour les manquements les plus graves, notamment l'exploitation d'un système à haut risque sans respecter les obligations du Chapitre III.
| Type d'infraction | Plafond de l'amende |
|---|---|
| Utilisation d'un système interdit (Article 5) | 35 000 000 € ou 7 % du CA mondial |
| Non-respect des obligations systèmes à haut risque | 15 000 000 € ou 3 % du CA mondial |
| Fourniture d'informations incorrectes aux autorités | 7 500 000 € ou 1 % du CA mondial |
Pour les PME, l'Article 65 précise que les autorités nationales tiennent compte de la taille et du chiffre d'affaires de l'entreprise pour calibrer les sanctions. Cette atténuation ne supprime pas l'obligation de conformité : elle réduit le montant potentiel de l'amende, elle ne réduit pas le risque d'un contrôle. Les détails complets du régime de sanctions sont disponibles dans notre guide sanctions AI Act pour les PME.
En parallèle des sanctions AI Act, les violations des droits des candidats au titre du RGPD exposent le cabinet à des amendes pouvant atteindre 20 000 000 € ou 4 % du chiffre d'affaires annuel mondial (Article 83 du Règlement (UE) 2016/679). Les deux régimes sont cumulables.
7. Comment les PME peuvent se conformer
La mise en conformité n'implique pas un investissement massif. Voici une démarche en trois étapes adaptée aux PME de moins de 250 salariés.
Étape 1 : Cartographier les outils en place. Listez tous les outils numériques qui participent à vos processus de recrutement. Pour chaque outil, posez la question : « Cet outil attribue-t-il un score, un classement ou un filtre automatique à un candidat ? » Si oui, il est potentiellement à haut risque. Demandez au fournisseur sa déclaration de conformité AI Act et sa documentation technique.
Étape 2 : Réaliser une évaluation d'impact. Utilisez le modèle DPIA (Analyse d'Impact relative à la Protection des Données) de la CNIL comme point de départ, en l'adaptant aux exigences spécifiques de l'Article 9 de l'AI Act. Documentez les risques identifiés et les mesures d'atténuation. Conservez ce document : il sera votre première ligne de défense en cas de contrôle de la CNIL ou d'un régulateur AI Act.
Étape 3 : Structurer la gouvernance interne. Désignez un référent interne pour chaque système d'IA à haut risque. Ce référent est responsable de la surveillance du système, du traitement des demandes des candidats, et de la mise à jour de la documentation. Il n'est pas nécessaire que ce référent soit un juriste : une formation de quelques heures suffit pour les outils standards.
Pour un panorama complet de vos obligations, lisez notre guide AI Act et PME en France.
8. Conclusion : l'importance de la conformité
Le scoring de CV par IA est un outil puissant qui, bien utilisé, améliore la qualité et la rapidité du recrutement. Son classement en système à haut risque sous l'Article 6 du Règlement (UE) 2024/1689 crée des obligations concrètes et non négociables pour les cabinets RH français. Transparence, documentation, anti-biais, droits des candidats : chaque obligation correspond à un risque réel pour votre activité si elle est ignorée.
L'approche proactive produit des effets positifs sur deux tableaux. Elle protège des sanctions financières — jusqu'à 7 % du CA pour les manquements graves — et renforce la confiance de vos clients, qui recherchent des partenaires RH qui prennent la réglementation au sérieux. La Directive 2002/58/CE et le RGPD ajoutent des obligations complémentaires sur la protection des données des candidats, applicables en parallèle de l'AI Act.
Commencez dès maintenant : cartographiez vos outils, demandez les documentations à vos fournisseurs, et formez vos recruteurs. Les autorités nationales, dont la CNIL, ont déjà commencé à structurer leur doctrine de contrôle des systèmes IA dans le secteur RH. Retrouvez toutes nos références sur la page sources réglementaires.
Besoin d'un accompagnement sur mesure ?
Regulia accompagne les cabinets RH et les PME françaises dans leur mise en conformité AI Act et RGPD. Audit initial, documentation technique, formation des équipes : nous couvrons l'ensemble du parcours de conformité.
Demander un audit gratuitFAQ
Qu'est-ce qu'un système à haut risque selon l'AI Act ?
Un système à haut risque est un système d'IA susceptible de porter atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes. L'Annexe III du Règlement (UE) 2024/1689 liste les catégories concernées. Le scoring de CV entre explicitement dans la catégorie « recrutement et sélection de personnes », classée à haut risque car les décisions d'embauche ont un impact direct et durable sur la vie professionnelle des candidats.
Quelles sont les obligations pour les cabinets RH utilisant un scoring de CV par IA ?
Les cabinets RH qualifiés de « déployeurs » au sens de l'AI Act doivent : enregistrer le système dans la base européenne, réaliser une évaluation d'impact documentée (Article 9), conserver les journaux d'événements du système, s'assurer de la non-discrimination des critères de scoring, et former les utilisateurs aux limites du système. Ils doivent également disposer d'une procédure pour traiter les demandes d'accès, de rectification et d'opposition des candidats dans le délai d'un mois imposé par le RGPD.
Quelles sont les sanctions en cas de non-conformité avec l'AI Act ?
Les sanctions peuvent atteindre 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves, selon l'Article 65 du Règlement (UE) 2024/1689. Les autorités nationales peuvent également prononcer une interdiction temporaire ou définitive d'utiliser le système. Des sanctions complémentaires au titre du RGPD peuvent s'ajouter pour les violations relatives aux données personnelles des candidats.
Comment les PME peuvent-elles se conformer à l'AI Act pour leur système de scoring de CV ?
La démarche comprend quatre étapes : identifier tous les outils de recrutement automatisés, demander au fournisseur sa documentation de conformité AI Act, réaliser une évaluation d'impact (Article 9), et mettre en place une procédure de gestion des droits des candidats. Un accompagnement par un expert en conformité est recommandé pour les PME sans DPO en interne.
Où puis-je trouver plus d'informations sur l'AI Act et le scoring de CV ?
Le texte officiel est disponible sur eur-lex.europa.eu. Le site artificialintelligenceact.eu propose une version annotée et commentée. La CNIL publie des ressources spécifiques aux systèmes RH sur cnil.fr. Pour les questions techniques d'implémentation, le service desk européen ai-act-service-desk.ec.europa.eu répond aux demandes des entreprises.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
- artificialintelligenceact.eu — version annotée de l'AI Act
- CNIL — ressources IA et RGPD
- AI Act Service Desk européen
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique. Consultez un professionnel qualifié pour toute question relative à votre situation spécifique.