L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 classe les systèmes d'IA de tri de candidatures et de matching comme « à haut risque » (Annexe III, point 4). - Les cabinets de recrutement sont des « déployeurs » au sens de l'Art. 3 §4 et doivent appliquer l'Article 26 du Règlement (UE) 2024/1689. - Les obligations incluent la supervision humaine, la journalisation, l'information des candidats (Art. 50) et le contrôle de la conformité du fournisseur (marquage CE, Art. 47–48). - Les sanctions atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour manquement aux obligations « haut risque » (Art. 99 §4). - Les obligations applicables aux systèmes haut risque deviennent pleinement opposables le 2 août 2026. - L'ISO/IEC 42001:2023 fournit un cadre de management directement aligné sur ces exigences.
1. Introduction : pourquoi l'AI Act s'impose au recrutement
Le Règlement (UE) 2024/1689 — communément appelé « AI Act » — encadre l'usage des systèmes d'intelligence artificielle dans l'Union européenne. Il est entré en vigueur le 1er août 2024. Ses dispositions s'appliquent par paliers, jusqu'à pleine opposabilité en 2027.
Les cabinets de recrutement utilisent quasi systématiquement des outils numériques pour gérer les candidatures. ATS, scoring de CV, matching sémantique, classement automatisé : ces systèmes traitent des données personnelles et influent sur l'accès à l'emploi. À ce titre, ils relèvent du champ d'application du Règlement.
L'Annexe III, point 4, du Règlement (UE) 2024/1689 désigne explicitement les systèmes d'IA utilisés pour le recrutement et la sélection comme des systèmes « à haut risque ». Les cabinets sont, dans la majorité des cas, des « déployeurs » au sens de l'Article 3 §4 — c'est-à-dire des utilisateurs professionnels d'un outil fourni par un éditeur tiers.
Pour comprendre le cadre général applicable aux PME, consultez notre guide complet AI Act pour les PME françaises.
2. Les systèmes concernés : ATS et outils de matching
2.1 Définition d'un ATS
Un Applicant Tracking System (ATS) est une plateforme logicielle de gestion des candidatures. Il centralise CV, lettres de motivation, échanges et étapes du processus. Quand l'ATS intègre un moteur d'IA — scoring, classement, présélection automatique — il devient un « système d'IA » au sens de l'Article 3 §1 du Règlement.
2.2 Définition d'un outil de matching
Le matching désigne un algorithme qui rapproche un profil candidat d'une fiche de poste. Il s'appuie sur des modèles statistiques, du traitement automatique du langage ou de l'apprentissage profond. Le matching est sémantique quand il compare le sens des compétences, comportemental quand il infère des traits du parcours.
2.3 Catégorisation au regard de l'AI Act
| Fonctionnalité de l'outil | Classification AI Act | Article applicable |
|---|---|---|
| ATS sans IA (stockage, workflow) | Hors champ | — |
| Scoring automatique des CV | Haut risque | Annexe III §4 a) |
| Matching candidat / poste | Haut risque | Annexe III §4 a) |
| Présélection automatisée | Haut risque | Annexe III §4 a) |
| Évaluation de la personnalité par IA | Haut risque | Annexe III §4 b) |
| Chatbot d'accueil candidat sans décision | Transparence | Art. 50 §1 |
3. Les obligations de l'AI Act pour les cabinets
En tant que déployeur, le cabinet de recrutement n'a pas les mêmes obligations qu'un fournisseur (éditeur du logiciel). L'Article 26 du Règlement (UE) 2024/1689 fixe le périmètre du déployeur.
3.1 Obligations de l'Article 26
- Utiliser le système conformément à sa notice — pas de détournement de l'usage prévu par le fournisseur (Art. 26 §1).
- Assigner une supervision humaine disposant de la compétence et de l'autorité nécessaires (Art. 26 §2).
- Surveiller le fonctionnement du système et signaler les incidents graves (Art. 26 §5).
- Conserver les journaux générés automatiquement pendant au moins six mois (Art. 26 §6).
- Informer les travailleurs et leurs représentants avant la mise en service (Art. 26 §7).
- Informer les personnes physiques soumises à une décision du système (Art. 26 §11).
3.2 Enregistrement et analyse d'impact
L'Article 49 impose au fournisseur d'enregistrer le système haut risque dans la base de données UE. Le déployeur public ou agissant pour le compte d'une autorité publique s'enregistre également (Art. 49 §1 bis). Les cabinets purement privés ne sont pas systématiquement soumis à cette obligation d'enregistrement.
L'Article 27 impose une analyse d'impact sur les droits fondamentaux (FRIA) aux organismes publics et à certains prestataires de services publics. Les cabinets privés n'y sont pas tous soumis. Toutefois, l'analyse d'impact relative à la protection des données (AIPD) prévue à l'Article 35 du RGPD reste obligatoire dès lors qu'un traitement automatisé produit des effets significatifs sur les personnes.
3.3 Transparence vis-à-vis des candidats
L'Article 50 §3 du Règlement impose d'informer toute personne physique exposée à un système d'IA haut risque. Le cabinet doit indiquer clairement au candidat que sa candidature est analysée par un système d'IA. Cette information complète celle exigée par l'Article 22 du RGPD sur les décisions individuelles automatisées.
4. Les risques : biais algorithmiques et données candidats
4.1 Le biais algorithmique
Un système entraîné sur des historiques de recrutement déséquilibrés reproduit ces déséquilibres. Plusieurs cas documentés montrent une sous-évaluation de certains profils — féminins, seniors, ou issus de la diversité. Le Règlement impose au fournisseur une étape de détection et d'atténuation des biais (Art. 10 §2 f) et g)). Le déployeur doit vérifier que cette diligence a été menée et la documenter.
4.2 La protection des données candidats
Le RGPD s'applique en parallèle de l'AI Act. Les obligations clés pour le recrutement :
- Base légale : intérêt légitime ou consentement explicite selon le traitement (Art. 6 RGPD).
- Durée de conservation : 2 ans à compter du dernier contact avec le candidat, conformément aux recommandations CNIL.
- Droit d'opposition à une décision entièrement automatisée (Art. 22 §1 RGPD).
- AIPD obligatoire pour les profils sensibles ou les scorings à grande échelle.
4.3 Explicabilité
L'Article 13 du Règlement (UE) 2024/1689 oblige le fournisseur à concevoir des systèmes « suffisamment transparents pour permettre aux déployeurs d'interpréter les résultats ». Le cabinet doit pouvoir expliquer à un candidat refusé pourquoi son CV n'a pas été retenu — au moins en termes généraux. Cette obligation rejoint le droit à l'explication issu de l'Article 22 §3 du RGPD.
Auditer vos outils de recrutement en moins de 7 jours
Notre pack documentaire « Conformité AI Act recrutement » contient le registre ATS, la grille d'audit fournisseur, le modèle d'information candidats et le journal de supervision humaine.
Demander le pack5. Les étapes de conformité : une approche méthodique
5.1 Étape 1 — Inventaire des systèmes d'IA
Listez chaque outil utilisé dans la chaîne de recrutement. Pour chaque outil, identifiez :
- Le fournisseur et la version du moteur d'IA
- Les fonctionnalités d'IA réellement actives
- Les données traitées et leur durée de conservation
- Les utilisateurs internes habilités
5.2 Étape 2 — Évaluation des risques
Pour chaque système classé « haut risque » :
- Demandez au fournisseur sa déclaration de conformité UE (Art. 47).
- Vérifiez le marquage CE (Art. 48).
- Lisez la notice d'utilisation et les limites documentées (Art. 13).
- Identifiez les angles morts : biais résiduels, populations sous-représentées, décisions sans recours humain.
5.3 Étape 3 — Mise en place des mesures correctives
| Mesure | Article AI Act | Responsable interne |
|---|---|---|
| Supervision humaine effective | Art. 14 + Art. 26 §2 | IA Lead ou Directeur opérationnel |
| Information candidats | Art. 50 §3 + Art. 13 RGPD | DPO |
| Journalisation 6 mois | Art. 26 §6 | DSI |
| Information CSE et salariés | Art. 26 §7 | DRH |
| Procédure de recours candidat | Art. 26 §11 | DPO |
5.4 Étape 4 — Documentation et suivi
Tenez un registre des systèmes d'IA déployés. Pour les définitions précises des termes employés, consultez notre glossaire AI Act. Le registre doit être tenu à jour et présentable lors d'un contrôle de l'autorité nationale compétente — en France, l'autorité de surveillance sera désignée par décret [à vérifier selon le calendrier de transposition].
6. L'ISO/IEC 42001:2023 : un référentiel de management
6.1 Présentation
L'ISO/IEC 42001:2023 — « Artificial Intelligence Management System » — est la première norme internationale dédiée au management de l'IA. Publiée en décembre 2023, elle pose les exigences d'un système de management couvrant la gouvernance, le cycle de vie et le contrôle des risques.
6.2 Apport pour la conformité AI Act
| Exigence ISO/IEC 42001 | Article AI Act couvert |
|---|---|
| §6.1 Évaluation des risques IA | Art. 9 — gestion des risques |
| §7.5 Information documentée | Art. 11 — documentation technique |
| §8.2 Cycle de vie du système | Art. 17 — système qualité fournisseur |
| §9 Évaluation des performances | Art. 26 §5 — surveillance déployeur |
| §10 Amélioration continue | Art. 72 — surveillance post-marché |
6.3 Exigences clés pour les cabinets
Un cabinet certifié ISO/IEC 42001 démontre une gouvernance structurée. Il dispose d'une politique IA, d'un responsable désigné, d'un registre des risques et d'un cycle d'amélioration. La certification n'est pas une obligation légale. Elle constitue toutefois une preuve robuste de diligence auprès des clients grands comptes et des autorités de contrôle.
7. Les sanctions : conséquences d'une non-conformité
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions. Les montants varient selon la nature du manquement.
| Type de manquement | Plafond — montant fixe ou % du CA mondial, le plus élevé |
|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % |
| Manquement obligations haut risque (Art. 16, 22, 23, 24, 25, 26, 27, etc.) | 15 M€ ou 3 % |
| Information inexacte aux autorités | 7,5 M€ ou 1 % |
Pour les PME et start-ups, l'Article 99 §6 prévoit que le montant le plus bas des deux s'applique (le plafond fixe ou le pourcentage). Cette atténuation est essentielle pour les cabinets de moins de 250 salariés.
Au-delà des amendes, l'autorité de surveillance peut ordonner le retrait du système du marché (Art. 79) et imposer des mesures correctives immédiates. Une analyse approfondie est disponible dans notre article dédié aux sanctions AI Act et amendes pour PME.
8. Outils et ressources pour la conformité
8.1 Sources institutionnelles
- AI Office (Commission européenne) : ai-act-service-desk.ec.europa.eu — service d'assistance pour les questions d'interprétation.
- CNIL : 13 fiches pratiques sur le développement et l'usage des systèmes d'IA, applicables au volet RGPD.
- Cigref : guide AI Act janvier 2025, retours d'expérience grands comptes.
- Numeum : guide AI Act mars 2025, focus éditeurs et intégrateurs.
8.2 Standards techniques
L'AFNOR et le CEN-CENELEC élaborent les normes harmonisées qui présumeront de la conformité aux exigences techniques de l'AI Act. La publication progressive est attendue entre 2025 et 2026 [à vérifier]. La liste complète des sources externes est disponible sur notre page sources officielles.
8.3 Audits
Deux types d'audit s'imposent au cabinet :
- Audit fournisseur — examen de la déclaration de conformité UE, du marquage CE et de la documentation technique exigée à l'Article 11.
- Audit déployeur — examen de la supervision humaine, des journaux, de l'information des candidats et des procédures internes.
Sécuriser votre conformité avant le 2 août 2026
Le pack regulia « AI Act cabinets de recrutement » inclut 47 modèles documentaires : registre déployeur, AIPD, grille d'audit ATS, courrier d'information candidats, procès-verbal CSE, procédure de recours.
Recevoir le packFAQ
Quelles sont les principales obligations de l'AI Act pour les cabinets de recrutement utilisant des ATS ?
Le cabinet, en tant que déployeur, doit respecter l'Article 26 du Règlement (UE) 2024/1689 : utilisation conforme à la notice, supervision humaine, journalisation des opérations pendant 6 mois, information du CSE et des salariés, information des candidats. Il doit aussi vérifier que le fournisseur respecte ses propres obligations (marquage CE — Art. 48, documentation Art. 11, déclaration UE Art. 47). Le déployeur tient son propre registre opérationnel et conserve les preuves de cette diligence.
Quelles sont les sanctions en cas de non-conformité avec l'AI Act ?
L'Article 99 du Règlement fixe trois paliers. Pour les manquements aux obligations « haut risque » applicables aux ATS de recrutement, le plafond est de 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Les pratiques interdites (Art. 5) — non concernées par le recrutement standard — atteignent 35 M€ ou 7 %. Pour les PME, l'Article 99 §6 retient le montant le plus bas des deux. L'autorité peut également ordonner le retrait du système (Art. 79).
Comment l'ISO/IEC 42001:2023 aide-t-elle à la conformité AI Act ?
L'ISO/IEC 42001:2023 fournit un système de management couvrant gouvernance, gestion des risques, documentation, surveillance et amélioration continue. Ses chapitres 6, 7, 8 et 9 répondent directement aux Articles 9, 11, 17 et 26 du Règlement. La certification n'est pas obligatoire mais elle constitue une preuve robuste de diligence en cas de contrôle, et facilite les réponses aux questionnaires des clients grands comptes.
Quels sont les principaux risques liés à l'utilisation d'outils de matching ?
Trois risques majeurs ressortent. Premier risque : le biais algorithmique, susceptible de provoquer une discrimination indirecte sur le genre, l'âge ou l'origine. Deuxième risque : la violation de la protection des données (Articles 6 et 22 du RGPD). Troisième risque : le défaut d'explicabilité d'une décision défavorable. La supervision humaine (Art. 14 AI Act) et l'information du candidat (Art. 50 §3) atténuent ces risques sans les supprimer totalement.
Où trouver des ressources officielles pour la conformité AI Act ?
Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. La CNIL publie 13 fiches pratiques applicables au volet RGPD-IA. EUR-Lex héberge le texte officiel consolidé du Règlement (UE) 2024/1689. Les guides Cigref (janvier 2025) et Numeum (mars 2025) offrent des retours d'expérience français récents et exploitables.
Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689 — EUR-Lex
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA — CNIL
- Texte annoté du Règlement IA — artificialintelligenceact.eu
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.