L'essentiel en 30 secondes
- Un outil d'évaluation des talents utilisé pour le recrutement ou la promotion relève des systèmes d'IA à haut risque au sens de l'Annexe III, point 4 du Règlement (UE) 2024/1689.
- Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689).
- Le RGPD impose la notification d'une violation de données à la CNIL dans les 72 heures (Article 33 du RGPD).
- La norme ISO/IEC 42001:2023 structure le système de management de l'IA, complémentaire au RGPD et à l'AI Act.
- Le AI Act Service Desk de la Commission européenne fournit un accompagnement gratuit aux PME.
- L'employeur reste responsable du système, même lorsqu'il achète une solution SaaS auprès d'un éditeur tiers.
Une PME française de 80 salariés déploie un logiciel SaaS pour évaluer les candidatures, scorer les compétences et recommander des promotions. La DRH gagne du temps. Le candidat reçoit une note. Le directeur valide. Le scénario semble banal — il déclenche pourtant trois régimes juridiques cumulés : l'EU AI Act, le RGPD et le Code du travail français.
Ce cas pratique décrit les étapes concrètes que doit franchir un DRH de PME pour rester conforme. Nous prenons l'exemple d'une entreprise industrielle de 80 salariés, baptisée Mécanica SAS, qui utilise un outil d'évaluation tiers depuis janvier 2026.
1. Contexte juridique : AI Act et RGPD pour les outils d'IA
L'EU AI Act (Règlement (UE) 2024/1689) classe les systèmes d'IA selon quatre niveaux de risque. Un outil qui évalue, sélectionne ou note des candidats relève automatiquement du haut risque. Cette qualification résulte de l'Annexe III, point 4, qui vise « les systèmes destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi, analyser et filtrer des candidatures, et évaluer les candidats ».
La même Annexe III couvre les décisions de promotion et de licenciement, ainsi que l'attribution de tâches sur la base de comportements individuels.
Triple régime applicable
| Régime | Texte | Obligation principale pour Mécanica SAS |
|---|---|---|
| AI Act haut risque | Règlement (UE) 2024/1689, Art. 26 | Surveillance humaine, registre des activités, information des utilisateurs |
| RGPD | Règlement (UE) 2016/679 | Base légale, AIPD obligatoire, droits des personnes |
| Code du travail | Art. L1222-4, L2312-38 | Information préalable du salarié, consultation du CSE |
La consultation du CSE est obligatoire avant le déploiement d'un dispositif de surveillance ou d'évaluation automatisée, conformément à l'Article L2312-38 du Code du travail. Cette consultation est documentée par un procès-verbal opposable.
Pour comprendre la typologie de risque dans son ensemble, consultez notre pillar AI Act PME France qui détaille les quatre catégories de risque.
2. Risques pour les PME : sanctions et réputation
Sanctions cumulatives
Le non-respect des obligations relatives aux systèmes à haut risque expose Mécanica SAS aux sanctions prévues à l'Art. 99 du Règlement (UE) 2024/1689.
| Type de manquement | Plafond financier | Référence |
|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ ou 7 % CA mondial | Art. 99 §3 |
| Non-respect haut risque (Art. 16) | 15 M€ ou 3 % CA mondial | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % CA mondial | Art. 99 §5 |
| Violation RGPD cumulable | 20 M€ ou 4 % CA mondial | RGPD Art. 83 |
Le calcul retient le montant le plus élevé entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Pour les PME, l'Art. 99 §6 précise que l'autorité retient le plafond le plus bas entre les deux, ce qui constitue un allègement partiel — mais pas une exemption.
Notre analyse détaillée des sanctions AI Act inclut un calculateur d'amende potentielle.
Risques non financiers
- Litiges prud'homaux : un candidat écarté par un score automatisé peut saisir le conseil de prud'hommes pour discrimination algorithmique.
- Procédure de référé CNIL : suspension immédiate du traitement en cas de risque grave pour les droits des personnes.
- Réputation employeur : 67 % des candidats français se déclarent défavorables aux décisions purement automatisées [à vérifier — source à consolider].
- Action de groupe : possible depuis la loi du 20 juin 2018 modifiée, lorsque plusieurs salariés subissent un préjudice commun.
3. Étapes de conformité : audit et documentation
Mécanica SAS doit constituer un dossier de conformité complet avant la première utilisation opérationnelle. La logique est celle d'un dossier technique opposable à l'autorité de marché (l'ANSSI ou la CNIL selon les compétences).
Plan de conformité en 9 étapes
- Cartographier l'outil : éditeur, version, finalité, flux de données.
- Qualifier le niveau de risque selon l'Annexe III du Règlement.
- Vérifier le marquage CE du système haut risque (Art. 49).
- Obtenir la documentation technique du fournisseur (Art. 11 et Annexe IV).
- Réaliser l'AIPD (Analyse d'Impact Protection des Données) conformément à l'Article 35 du RGPD.
- Conduire la FRIA (Fundamental Rights Impact Assessment) prévue à l'Art. 27 du Règlement (UE) 2024/1689.
- Inscrire le traitement au registre RGPD et au registre AI Act interne.
- Notifier l'utilisation à l'autorité nationale compétente avant mise en service.
- Informer salariés et candidats, puis consulter le CSE.
Documents minimaux à produire
| Document | Régime | Délai de conservation |
|---|---|---|
| FRIA | AI Act Art. 27 | Durée d'usage + 10 ans |
| AIPD | RGPD Art. 35 | Durée du traitement |
| Registre des traitements | RGPD Art. 30 | À jour en permanence |
| Logs automatiques | AI Act Art. 12 | Minimum 6 mois |
| Information CSE | C. trav. L2312-38 | 5 ans |
| Politique de surveillance humaine | AI Act Art. 14 | Durée d'usage |
Pour les définitions précises (FRIA, AIPD, déployeur, fournisseur), consultez notre glossaire réglementaire.
Pack documentaire « RH & IA » prêt à l'emploi
FRIA, AIPD, registre des traitements, charte salariés, modèle de consultation CSE : tous les modèles validés par nos juristes pour une mise en conformité en moins de 30 jours.
Demander une démo gratuite4. Mise en œuvre : bonnes pratiques pour les DRH
Quatre principes opérationnels
Mécanica SAS applique quatre principes pour rester conforme dans la durée.
Premier principe — Transparence. Chaque candidat reçoit une notice claire avant de passer l'évaluation : finalité, type de données traitées, logique de scoring, droit d'opposition, voies de recours. L'Art. 26 §11 du Règlement (UE) 2024/1689 impose cette information écrite, en plus de l'Art. 13 du RGPD.
Deuxième principe — Surveillance humaine effective. Un score ne déclenche jamais une décision automatique. Un responsable RH formé examine chaque recommandation, peut l'écarter, et trace sa décision dans le SI. L'Art. 14 exige une supervision « effective » — un simple clic de validation ne suffit pas.
Troisième principe — Formation continue. Les DRH et managers utilisateurs suivent une formation initiale et un rappel annuel. L'Art. 4 du Règlement, en vigueur depuis février 2025, impose une obligation générale de compétence IA pour les déployeurs.
Quatrième principe — Recours accessible. Un candidat ou salarié peut contester un score par écrit. Le délai de réponse documenté ne dépasse pas 30 jours.
Tableau RACI simplifié
| Action | DRH | DPO | RSSI | Direction | CSE |
|---|---|---|---|---|---|
| Choix de l'outil | R | C | C | A | I |
| AIPD | C | R | C | A | I |
| FRIA | R | C | C | A | C |
| Information salariés | R | C | I | A | I |
| Consultation préalable | A | C | I | R | R |
| Réponse aux demandes d'accès | C | R | I | A | I |
(R = Réalise, A = Approuve, C = Consulté, I = Informé)
5. Gestion des données : RGPD et sécurité
Minimisation et durée
L'Article 5 du RGPD impose la minimisation : Mécanica SAS ne collecte que les données strictement utiles à l'évaluation. Les notes, commentaires libres et résultats psychométriques ne peuvent être conservés au-delà de 2 ans après le dernier contact avec le candidat (recommandation CNIL pour le recrutement).
| Catégorie de donnée | Conservation | Base légale |
|---|---|---|
| CV et lettre de motivation | 2 ans après refus | Intérêt légitime |
| Score d'évaluation | 2 ans | Intérêt légitime + consentement |
| Données biométriques | Interdiction de principe | RGPD Art. 9 + AI Act Art. 5 |
| Évaluations salariés en poste | Durée du contrat + 5 ans | Exécution du contrat |
| Logs d'utilisation système | 6 mois minimum, 13 mois maximum | AI Act Art. 12 |
Sécurité technique
- Chiffrement des données au repos (AES-256) et en transit (TLS 1.3).
- Authentification forte à double facteur pour les comptes RH.
- Cloisonnement strict : seuls les DRH et le manager direct accèdent aux scores nominatifs.
- Hébergement dans l'Union européenne, ou pays adéquat au sens de l'Art. 45 du RGPD.
Notification de violation
En cas d'incident, Mécanica SAS dispose de 72 heures pour notifier la CNIL via le téléservice dédié (cnil.fr). Si le risque pour les personnes est élevé, les candidats et salariés concernés sont informés sans délai. Un journal interne d'incidents conserve la trace de chaque événement, qu'il fasse ou non l'objet d'une notification.
6. Exemptions et simplifications pour les PME
Le Règlement (UE) 2024/1689 prévoit plusieurs mesures d'accompagnement pour les PME, sans accorder d'exemption automatique au régime haut risque.
Ce qui existe réellement
| Mesure | Référence | Bénéfice pour Mécanica SAS |
|---|---|---|
| Accès prioritaire aux bacs à sable réglementaires | Art. 62 §1 a) | Test gratuit dans un environnement contrôlé |
| Formats simplifiés de documentation technique | Art. 11 §1 + Art. 62 §3 | Modèles allégés validés par la Commission |
| Sanctions plafonnées au montant le plus bas | Art. 99 §6 | Réduction du risque financier |
| AI Act Service Desk | Décision Comm. 2025 | Conseil gratuit en français |
| Lignes directrices PME de la Commission | Art. 62 §3 | Méthodologie pas-à-pas |
Ce qui n'existe PAS
Aucune disposition n'exempte les PME des obligations de fond pour les systèmes haut risque. Un outil d'évaluation des talents reste haut risque qu'il soit déployé par une multinationale ou par une PME de 15 salariés. Les obligations Art. 26 (déployeur) s'appliquent intégralement.
L'exemption prévue à l'Art. 6 §3 du Règlement ne s'applique qu'aux systèmes accomplissant des tâches « strictement procédurales » ou destinés à améliorer un travail humain achevé — ce qui ne couvre pas le scoring de candidats.
7. ISO/IEC 42001:2023 : intégration dans la gestion des systèmes d'IA
La norme ISO/IEC 42001:2023 définit un système de management de l'IA (AIMS, AI Management System). Elle n'est pas obligatoire, mais facilite la démonstration de conformité à l'AI Act et au RGPD.
Apports concrets pour Mécanica SAS
| Clause ISO 42001 | Apport opérationnel |
|---|---|
| 6.1.4 — Évaluation d'impact IA | Convergence avec FRIA (Art. 27 AI Act) |
| 7.2 — Compétences | Convergence avec Art. 4 AI Act |
| 8.2 — Évaluation des risques IA | Documenté en miroir de l'AIPD RGPD |
| 9.1 — Surveillance et mesure | Convergence avec Art. 26 §5 AI Act |
| 10.2 — Amélioration continue | Cycle PDCA documenté |
ISO/IEC 23894:2023 complète le dispositif sur la gestion des risques IA. Couplée à ISO/IEC 27001:2022 pour la sécurité de l'information, elle forme un triangle normatif solide.
Coût indicatif
Une certification ISO 42001 pour une PME de 80 salariés représente entre 15 000 et 35 000 euros sur la première année [à vérifier — fourchette à consolider auprès d'un organisme certificateur]. La démarche n'a de sens que si l'IA est centrale dans l'activité ou si les clients l'exigent. Une simple conformité documentée sans certification reste possible et juridiquement suffisante.
Diagnostic conformité IA RH en 48 heures
Nos juristes auditent votre outil d'évaluation des talents, identifient les écarts AI Act et RGPD, et livrent un plan d'action chiffré. Sans engagement.
Réserver un diagnostic8. Ressources et accompagnement pour les PME
Sources documentaires gratuites
- Texte consolidé : artificialintelligenceact.eu publie une version annotée et navigable du Règlement (UE) 2024/1689.
- Fiches CNIL : la CNIL met à disposition 13 fiches pratiques sur l'IA, dont plusieurs traitent du recrutement et de l'évaluation des salariés (cnil.fr).
- AI Act Service Desk : la Commission européenne propose un service de questions-réponses gratuit, accessible en français.
- Guide Numeum : le syndicat professionnel du numérique a publié en mars 2025 un guide AI Act dédié aux PME éditrices et utilisatrices.
- Guide Cigref : le club informatique des grandes entreprises a publié en janvier 2025 un guide opérationnel d'application de l'AI Act.
Accompagnement humain
Pour Mécanica SAS, la voie pragmatique combine trois ressources : un DPO mutualisé (interne ou externalisé), un conseil juridique ponctuel pour valider les documents stratégiques, et l'usage des modèles documentaires prêts à l'emploi pour absorber 80 % du travail rédactionnel. Notre page sources officielles recense les références incontournables.
FAQ
Q : Quelles sont les sanctions pour une PME en cas de non-conformité avec l'AI Act ?
Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé, pour les pratiques interdites de l'Art. 5. Pour les violations relatives aux systèmes haut risque, le plafond descend à 15 millions d'euros ou 3 % du CA. L'Art. 99 §6 prévoit que pour les PME, l'autorité retient le montant le plus bas entre la somme forfaitaire et le pourcentage. Aucune exemption automatique de l'amende n'existe — seule une atténuation est prévue.
Q : Comment obtenir une exemption pour mon outil d'évaluation des talents ?
Aucune exemption générale n'existe pour un outil d'évaluation des talents : il relève par nature de l'Annexe III, point 4 et donc du haut risque. L'Art. 6 §3 prévoit une dérogation pour les systèmes « strictement procéduraux » ou destinés à améliorer un résultat humain achevé — un scoring de candidats ne remplit pas ces critères. La voie réaliste consiste à se conformer aux obligations Art. 26 et à s'appuyer sur le AI Act Service Desk de la Commission pour un accompagnement gratuit.
Q : Dois-je mettre à jour mon RGPD pour un outil d'IA ?
Oui. L'outil d'évaluation des talents doit être intégré au registre des traitements (Art. 30 RGPD), faire l'objet d'une AIPD (Art. 35), et donner lieu à une information renforcée des personnes (Art. 13 et 22 sur les décisions automatisées). Le consentement n'est pas systématiquement la base légale pertinente : l'intérêt légitime, encadré par un test de balance, est souvent plus approprié. Pour les salariés en poste, l'exécution du contrat de travail peut servir de fondement, avec des garanties renforcées.
Q : Quelle est la procédure en cas de violation des données avec un outil d'IA ?
En cas de violation de données personnelles, la notification à la CNIL doit intervenir dans les 72 heures via le téléservice dédié (Art. 33 RGPD). Si le risque pour les droits et libertés des personnes est élevé, les candidats et salariés concernés sont informés sans délai (Art. 34 RGPD). En parallèle, l'Art. 73 du Règlement (UE) 2024/1689 impose au déployeur d'un système haut risque de signaler tout incident grave à l'autorité de surveillance du marché, dans des délais qui varient selon la gravité.
Q : Comment ISO/IEC 42001:2023 m'aide-t-il à gérer mon outil d'IA ?
ISO/IEC 42001:2023 fournit un cadre de management qui rationalise les exigences AI Act et RGPD dans un seul système documenté. Elle facilite l'évaluation des risques, la documentation des processus, la formation des équipes et l'amélioration continue. Elle n'est pas obligatoire mais constitue une preuve solide de conformité en cas de contrôle. Couplée à ISO/IEC 27001:2022 pour la sécurité et ISO/IEC 23894:2023 pour le risque IA, elle forme une assise normative cohérente.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel : eur-lex.europa.eu/eli/reg/2024/1689
- Texte consolidé AI Act : artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — Fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
- Règlement (UE) 2016/679 (RGPD) : eur-lex.europa.eu
- ISO/IEC 42001:2023 — AI Management System
- ISO/IEC 23894:2023 — AI Risk Management
- ISO/IEC 27001:2022 — Information Security Management
- Code du travail — Articles L1222-4, L2312-38 et L1221-9
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.