L'essentiel en 30 secondes
- Un ATS de recrutement automatisé est un système d'IA à haut risque au sens de l'Annexe III, point 4 du Règlement (UE) 2024/1689 (« AI Act »).
- La PME utilisatrice agit comme « déployeur » et porte des obligations propres : analyse d'impact sur les droits fondamentaux (Article 27), supervision humaine (Article 14), tenue de journaux (Article 26).
- Le calendrier critique est le 2 août 2026 : entrée en application des règles haut risque (Article 113).
- Sanctions Article 99 : jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial pour manquement aux obligations haut risque ; plafond ramené au plus bas des deux montants pour les PME.
- L'AI Act se cumule avec le RGPD : l'analyse d'impact AI Act n'exonère pas de l'AIPD (Article 35 RGPD).
- Le fournisseur de l'ATS reste responsable du marquage CE et de la documentation technique (Articles 11, 16, 47).
1. Contexte juridique : AI Act et recrutement automatisé
L'Annexe III, point 4, du Règlement (UE) 2024/1689 classe à haut risque deux familles d'usage RH : - l'analyse et le filtrage des candidatures ; - la prise ou l'orientation de décisions affectant la relation de travail (embauche, promotion, allocation de tâches, fin de contrat).
Un ATS qui scrute des CV, attribue un score de pertinence ou recommande une short-list relève donc du régime haut risque (Art. 6, §2). La classification ne dépend pas de la marque du logiciel. Module développé en interne, brique d'un SIRH généraliste, SaaS étranger : peu importe. L'usage en France suffit à déclencher l'application (Art. 2).
Le règlement distingue deux rôles juridiques : - le fournisseur (« provider »), qui développe ou met sur le marché le système ; - le déployeur (« deployer »), qui l'utilise sous son autorité.
La PME utilisatrice est presque toujours déployeur. Cette qualification détermine la liste exacte de ses obligations (Art. 26 et 27).
L'articulation avec le RGPD est explicite. L'AI Act ne remplace ni n'allège la protection des données personnelles. L'analyse d'impact relative à la protection des données (AIPD, Art. 35 RGPD) demeure obligatoire. La CNIL a publié en 2025 des fiches pratiques précisant cette articulation. Pour les définitions clés, voir le glossaire AI Act.
2. Analyse du cas pratique : PME de 50 salariés
Cas illustratif : la société « ABC Industrie » compte 50 salariés sur deux sites en France et prévoit 12 recrutements sur 12 mois (CDI, CDD, alternance). Elle déploie un ATS SaaS européen doté d'un module de scoring automatique (« match score » de 0 à 100). La décision finale d'entretien est prise par la responsable RH, qui consulte le score avant de fixer la liste des candidats convoqués.
Quatre éléments font basculer ce déploiement dans le régime haut risque :
| Élément | Conséquence AI Act |
|---|---|
| Filtrage automatisé de CV | Annexe III, point 4 (a) — système haut risque |
| Score d'aptitude calculé par algorithme | Influence directe sur l'accès à l'emploi |
| Traitement de données personnelles | RGPD applicable + Art. 10 AI Act sur les jeux de données |
| Décisions prises sur la base du score | Obligation de supervision humaine (Art. 14) |
L'argument « la décision finale est humaine » ne suffit pas. Dès lors que l'humain s'appuie sur un score produit par l'IA, la fonction d'aide à la décision relève de l'Annexe III. Le considérant 57 de l'AI Act le confirme : la simple présence d'un humain ne désactive pas la qualification haut risque.
Trois données sensibles transitent par l'ATS : identité, parcours, et parfois caractéristiques inférables (genre, âge, origine). Cette circulation engage la PME au titre du RGPD et de l'AI Act simultanément.
3. Étapes de conformité obligatoires
La séquence de mise en conformité d'une PME déployeur est encadrée par les Articles 26 et 27. L'ordre suivant est recommandé :
- Cartographier l'ATS et son usage : périmètre, données traitées, décisions impactées.
- Recueillir auprès du fournisseur la notice d'utilisation (Art. 13) et les éléments démontrant la conformité du système : déclaration UE de conformité, marquage CE, identifiant d'enregistrement à la base européenne (Art. 47, 48, 49).
- Réaliser l'analyse d'impact sur les droits fondamentaux (FRIA, Art. 27) avant la première utilisation.
- Mener ou actualiser l'AIPD RGPD (Art. 35 RGPD).
- Mettre en place la supervision humaine prévue par le fournisseur (Art. 14, §4) et la documenter.
- Informer les personnes concernées : candidats (Art. 26, §11) et représentants du personnel (Art. 26, §7).
- Tenir les journaux générés automatiquement pendant six mois minimum (Art. 26, §6).
- Documenter l'ensemble dans un dossier de conformité opposable.
| Étape | Article AI Act | Pièce produite |
|---|---|---|
| Notice d'utilisation reçue | Art. 13 | Document fournisseur archivé |
| FRIA réalisée | Art. 27 | Rapport interne signé direction |
| Information du CSE | Art. 26, §7 + Code du travail | Procès-verbal CSE |
| Information des candidats | Art. 26, §11 + Art. 22 RGPD | Mention dans la procédure de recrutement |
| Journalisation | Art. 26, §6 | Logs conservés 6 mois |
Besoin d'un dossier FRIA prêt à signer ?
regulia propose un pack documentaire spécifique recrutement IA, conforme aux Articles 26 et 27 du Règlement (UE) 2024/1689 : modèle de FRIA, registre de supervision humaine, information candidats, mention CSE.
Demander le pack recrutement IA4. Obligations spécifiques pour les PME déployeurs
L'AI Act ne crée pas d'obligation de « déclaration à l'ANSSI ». La logique est différente : c'est le fournisseur qui enregistre son système dans la base de données européenne (Art. 49 et 71). Le déployeur public a une obligation d'enregistrement propre (Art. 49, §1bis). Les déployeurs privés en sont en principe dispensés, sauf usage spécifique.
La PME déployeur privée doit donc, en priorité :
- vérifier l'enregistrement du fournisseur dans la base européenne (numéro d'enregistrement listé sur la déclaration UE de conformité) ;
- conserver les coordonnées du fournisseur et le canal de remontée d'incident grave (Art. 26, §5 et Art. 73) ;
- désigner un référent IA au sein de la PME, ce qui n'est pas obligatoire mais fortement recommandé ;
- former les personnels chargés de la supervision humaine au titre de l'« AI literacy » (Art. 4), obligation applicable depuis le 2 février 2025.
L'autorité nationale compétente en France sera précisée par décret. Plusieurs travaux préparatoires citent la CNIL pour les usages couverts par le RGPD et la DGCCRF pour la surveillance marché. [à vérifier — désignation officielle à publier]
| Acteur | Rôle attendu |
|---|---|
| CNIL | Volet protection des données personnelles |
| DGCCRF / DGE | Surveillance marché du dispositif AI Act [à vérifier] |
| AI Office (Commission européenne) | Coordination centrale, modèles GPAI |
| ANSSI | Cybersécurité, sans compétence directe sur les ATS |
5. Risques de non-conformité
L'Article 99 fixe trois plafonds principaux :
| Manquement | Plafond (entreprise hors PME) | PME / start-up |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Le plus bas des deux montants |
| Manquement aux obligations haut risque (fournisseur ou déployeur) | 15 M€ ou 3 % du CA mondial | Le plus bas des deux montants |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Le plus bas des deux montants |
Pour une PME de 50 salariés réalisant 8 M€ de chiffre d'affaires, 3 % représentent environ 240 000 €. La règle « plus bas montant » plafonne la sanction au pourcentage, généralement plus protecteur que le forfait en euros.
Au-delà du financier : - les autorités peuvent ordonner le retrait du système du marché (Art. 79 et 82) ; - la réputation employeur se dégrade après publication d'une décision ; - les candidats lésés disposent d'un droit d'explication renforcé (Art. 86) et d'un droit de plainte auprès de l'autorité nationale (Art. 85).
Le détail du calcul figure dans notre article dédié : sanctions AI Act pour les PME.
6. Bonnes pratiques pour la mise en conformité
Cinq pratiques font la différence dans un audit :
- Choisir un fournisseur déjà conforme. Exiger la déclaration UE de conformité (Art. 47), la notice d'utilisation (Art. 13) et le numéro d'enregistrement à la base européenne (Art. 49).
- Encadrer le score. Définir par écrit un seuil de score en deçà duquel un humain réexamine systématiquement la candidature, sans s'aligner mécaniquement sur l'algorithme.
- Pratiquer un test contradictoire. Une fois par semestre, faire passer un échantillon de CV anonymisés et vérifier l'absence de biais (genre, origine, âge).
- Tracer les surcharges humaines. Chaque fois qu'un recruteur ignore un score élevé ou retient un score faible, motiver la décision en deux lignes. Ces traces protègent l'entreprise en cas de contentieux.
- Mettre à jour la FRIA. La FRIA n'est pas figée : l'Art. 27, §2 impose une mise à jour dès qu'un élément du déploiement change (nouvelle version logicielle, nouveau périmètre, nouveau type de poste).
| Pratique | Bénéfice conformité | Bénéfice opérationnel |
|---|---|---|
| Test contradictoire semestriel | Preuve d'absence de biais (Art. 10) | Améliore la qualité du sourcing |
| Trace des surcharges humaines | Démontre la supervision (Art. 14) | Capitalise la mémoire RH |
| FRIA actualisée | Conformité Art. 27 | Réduit le risque litige candidat |
7. Rôles des acteurs : fournisseurs versus déployeurs
Le partage des responsabilités constitue le piège classique des PME. Beaucoup pensent que l'éditeur SaaS « se charge de tout ». L'AI Act dit l'inverse : les obligations sont cumulatives, jamais transférables intégralement.
| Obligation | Fournisseur (Art. 16) | Déployeur PME (Art. 26-27) |
|---|---|---|
| Système de gestion des risques (Art. 9) | Oui | Non |
| Données et gouvernance (Art. 10) | Oui | Coopère |
| Documentation technique (Art. 11) | Oui | Reçoit et archive |
| Tenue de journaux (Art. 12) | Conçoit la fonction | Active et conserve les logs |
| Transparence et notice (Art. 13) | Rédige | Lit, applique, diffuse en interne |
| Supervision humaine (Art. 14) | Conçoit le dispositif | Met en œuvre et documente |
| Précision, robustesse, cybersécurité (Art. 15) | Oui | Signale les dérives |
| Marquage CE et déclaration UE (Art. 47-48) | Oui | Vérifie la présence |
| FRIA (Art. 27) | Non | Oui — obligation propre |
| Information CSE et candidats | Non | Oui |
La PME n'a pas à reproduire la documentation technique du système. Elle a, en revanche, l'obligation propre de l'analyse d'impact sur les droits fondamentaux et de l'information des personnes. Deux pièces que le fournisseur ne produira jamais à sa place.
Le AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) fournit des réponses officielles aux questions d'interprétation. Les avis publiés font foi auprès des autorités nationales.
8. Outils de conformité recommandés
Trois catégories d'outils accélèrent la mise en conformité d'une PME de 50 salariés :
A. Documents-modèles - Modèle de FRIA recrutement, couvrant l'ensemble des éléments listés à l'Art. 27, §1 ; - Mention candidats au sens de l'Art. 26, §11 combiné à l'Art. 22 RGPD ; - Registre de supervision humaine ; - Charte d'usage IA recrutement à présenter au CSE.
B. Procédures - Procédure d'information du candidat, avant et après décision ; - Procédure d'escalade en cas d'incident grave (Art. 73) ; - Procédure de réexamen des candidatures à score faible.
C. Formation - Module « AI literacy » (Art. 4) à destination des recruteurs et du management, d'une durée recommandée de 2 à 4 heures ; - Module ciblé responsable RH sur les obligations Art. 26-27 ; - Mise à jour annuelle au rythme des avis de l'AI Office.
La construction artisanale de ces livrables dépasse souvent 60 heures de travail interne. L'achat d'un pack documentaire pré-validé, adapté ensuite au contexte, ramène ce temps à une dizaine d'heures. Les hubs internes AI Act pour les PME françaises et sources officielles regroupent les références complètes.
Pack documentaire ATS recrutement
Modèle FRIA, mention candidats, charte CSE, registre de supervision humaine, checklist fournisseur : livrables prêts à l'emploi, conformes aux Articles 26 et 27 du Règlement (UE) 2024/1689.
Demander une démonstrationFAQ
Quel est le délai pour se conformer après l'entrée en vigueur de l'AI Act ?
L'AI Act est entré en vigueur le 1er août 2024. Les obligations applicables aux systèmes haut risque listés à l'Annexe III, dont les ATS de recrutement, s'appliquent à compter du 2 août 2026 (Art. 113). L'obligation d'AI literacy (Art. 4) est déjà applicable depuis le 2 février 2025. Anticiper dès le premier semestre 2026 reste prudent : la FRIA et l'AIPD demandent plusieurs semaines de travail.
Doit-on déclarer chaque ATS à l'ANSSI ?
Non. L'AI Act ne prévoit pas de déclaration à l'ANSSI. C'est le fournisseur qui enregistre son système dans la base de données européenne (Art. 49 et 71). Le déployeur privé doit, lui, conserver la preuve de cet enregistrement et tenir un dossier interne. L'ANSSI conserve un rôle propre sur la cybersécurité, distinct de la conformité AI Act.
Quelles sont les sanctions pour une PME non conforme ?
L'Article 99 prévoit jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour un manquement aux obligations haut risque. Le plafond est ramené au plus bas des deux montants pour les PME. À cela s'ajoutent les sanctions RGPD (jusqu'à 4 % du CA mondial, Art. 83 RGPD) et le risque de retrait du système (Art. 79). Voir notre calculateur de sanctions.
Peut-on utiliser un ATS sans contrôle humain ?
Non. L'Art. 14 impose une supervision humaine effective sur tout système haut risque. Pour un ATS, cela signifie qu'aucune décision défavorable (rejet de candidature, élimination automatique) ne peut être finalisée sans intervention d'un recruteur qualifié. La supervision doit être documentée, pas seulement déclarée.
Quelle documentation est requise pour un ATS de recrutement ?
Côté déployeur PME : la FRIA (Art. 27), l'AIPD RGPD (Art. 35 RGPD), la notice d'utilisation reçue du fournisseur (Art. 13), les logs de fonctionnement (Art. 26, §6), la mention d'information des candidats (Art. 26, §11 et Art. 22 RGPD), et le procès-verbal d'information du CSE. Le fournisseur conserve, lui, la documentation technique (Art. 11) et la déclaration UE de conformité (Art. 47).
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA — CNIL
- Texte intégral et navigation par article — artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Management system for AI
- ISO/IEC 23894:2023 — AI risk management
Pour approfondir : glossaire AI Act, sources officielles complètes, AI Act pour les PME françaises, sanctions et calculateur.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.