L'essentiel en 30 secondes - L'Article 26(7) du Règlement (UE) 2024/1689 impose à l'employeur d'informer les représentants des travailleurs avant tout déploiement d'un système d'IA à haut risque sur le lieu de travail. - En France, cette obligation s'articule avec la consultation préalable du Comité Social et Économique (CSE) prévue aux articles L.2312-8 et L.2312-38 du Code du travail. - Les PME de 50 à 250 salariés doivent organiser une consultation formelle avant la mise en service du système IA RH. - La non-consultation expose à des sanctions cumulées : jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial (Art. 99 AI Act) et le délit d'entrave côté français. - Les outils RH concernés incluent le tri de CV, l'évaluation des performances, la détection des risques psychosociaux et les chatbots de recrutement. - Sources principales : artificialintelligenceact.eu, cnil.fr, eur-lex.europa.eu.
L'Article 26(7) du Règlement (UE) 2024/1689 crée une nouvelle obligation d'information envers les représentants des travailleurs. Pour les PME françaises, cette obligation européenne se superpose au droit social national. Le CSE devient un interlocuteur incontournable avant tout déploiement d'IA RH. Cet article détaille la procédure pas à pas, les délais, les pièges et les sanctions.
1. Contexte réglementaire : EU AI Act et Code du travail
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle, publié au Journal officiel de l'Union européenne le 12 juillet 2024, est entré en vigueur le 1er août 2024. Les obligations relatives aux systèmes à haut risque deviennent applicables le 2 août 2026, selon l'article 113 du Règlement.
L'Annexe III du Règlement classe explicitement comme « à haut risque » les systèmes d'IA utilisés dans l'emploi, la gestion des travailleurs et l'accès au travail indépendant. Cela couvre le recrutement, la sélection, l'évaluation, la promotion et la résiliation des relations de travail.
En droit français, le Code du travail impose déjà au CSE un rôle consultatif fort. L'article L.2312-38 prévoit la consultation du CSE « préalablement à toute décision d'introduction de nouvelles technologies » lorsque celles-ci ont des conséquences sur l'emploi, les conditions de travail ou la santé des salariés.
| Source juridique | Obligation principale | Seuil d'application |
|---|---|---|
| Art. 26(7) Règlement (UE) 2024/1689 | Information des représentants des travailleurs | Tout déployeur, tout système IA à haut risque |
| Art. L.2312-8 Code du travail | Consultation CSE sur introduction nouvelle technologie | Entreprises ≥ 50 salariés |
| Art. L.2312-38 Code du travail | Consultation préalable à l'introduction | Entreprises ≥ 50 salariés |
| Art. 88 RGPD | Garanties spécifiques en matière d'emploi | Tout traitement de données salariés |
Pour un panorama complet du Règlement appliqué aux PME, consultez notre guide AI Act PME France.
2. Qu'est-ce que l'Article 26(7) ?
L'Article 26 du Règlement (UE) 2024/1689 définit les obligations des déployeurs de systèmes d'IA à haut risque. Le déployeur est l'entité qui utilise le système sous sa propre responsabilité, à distinguer du fournisseur qui le développe ou le met sur le marché.
Le paragraphe 7 dispose : « Avant la mise en service ou l'utilisation d'un système d'IA à haut risque sur le lieu de travail, les déployeurs qui sont des employeurs informent les représentants des travailleurs et les travailleurs concernés qu'ils seront soumis à l'utilisation du système d'IA à haut risque » [à vérifier — traduction française officielle EUR-Lex].
Cette information doit être délivrée « conformément aux règles et procédures établies en droit de l'Union et en droit national et aux pratiques en matière d'information des travailleurs et de leurs représentants ». Le législateur européen renvoie donc explicitement au droit national pour les modalités pratiques.
En France, le canal d'information et de consultation est le CSE. L'Article 26(7) ne crée pas une procédure parallèle : il s'incorpore dans la procédure de consultation existante du Code du travail.
Trois éléments à retenir
- L'obligation pèse sur l'employeur en tant que déployeur, pas sur le fournisseur du logiciel.
- L'information doit être préalable : avant mise en service, pas après installation.
- Les travailleurs concernés doivent eux-mêmes être informés, en plus de leurs représentants.
3. Quand consulter le CSE ?
Le déclencheur de la consultation est l'introduction du système d'IA, et non son simple test. Une phase pilote impliquant des salariés réels relève déjà de la mise en service au sens de l'Article 26(7).
Cas concrets de déclenchement
- Acquisition d'un logiciel de tri automatisé de candidatures.
- Activation d'un module IA dans un SIRH existant (Workday, SAP SuccessFactors, Cegid).
- Mise en place d'un chatbot de pré-qualification de candidats.
- Déploiement d'un outil d'analyse prédictive du turnover.
- Utilisation d'un système de notation automatique des entretiens d'embauche.
| Situation | Consultation CSE obligatoire ? | Base légale |
|---|---|---|
| Achat et déploiement d'un nouveau SIRH avec IA | Oui | L.2312-8 + L.2312-38 + Art. 26(7) |
| Activation d'un module IA existant | Oui | L.2312-38 + Art. 26(7) |
| Modification substantielle du paramétrage | Oui | L.2312-8 |
| Test interne sans données salariées réelles | Non | — |
| Outil IA utilisé uniquement par le service IT | Non | — |
| Renouvellement à l'identique d'un contrat | Non, sauf modification | — |
Articulation des seuils français
Le CSE est obligatoire dans les entreprises d'au moins 11 salariés (Art. L.2311-2 Code du travail). Les attributions consultatives renforcées sur l'introduction de nouvelles technologies s'appliquent à partir de 50 salariés. Pour les PME entre 11 et 49 salariés, l'information du CSE reste requise par l'Article 26(7) du Règlement, même si la procédure formelle de consultation française ne s'applique pas pleinement.
4. Procédure de consultation
La consultation suit un déroulement en quatre étapes, encadré par les délais du Code du travail et complété par les exigences européennes.
Étape 1 — Préparer le dossier technique et juridique
Le dossier remis au CSE doit permettre un avis éclairé. Il rassemble :
- La fiche d'identification du système : nom, fournisseur, version.
- La classification AI Act : haut risque ou non, et justification.
- Les finalités RH précises : recrutement, évaluation, promotion, etc.
- Les catégories de données traitées et la base légale RGPD.
- L'analyse d'impact relative à la protection des données (AIPD) si elle existe.
- Les mesures de supervision humaine prévues (Article 14 AI Act).
- Les modalités d'information des salariés concernés.
- Le calendrier de déploiement.
Étape 2 — Convoquer le CSE dans les délais
L'ordre du jour est arrêté conjointement entre l'employeur et le secrétaire du CSE. La convocation doit être envoyée au minimum trois jours avant la réunion (Art. L.2315-30 Code du travail), mais le dossier doit être transmis suffisamment en amont pour permettre un examen sérieux.
Le délai de consultation est encadré par l'Article R.2312-6 du Code du travail :
| Situation | Délai légal de consultation |
|---|---|
| Consultation simple | 1 mois |
| Consultation avec recours à un expert | 2 mois |
| Consultation avec expert et CSE central + CSE d'établissement | 3 mois |
Ces délais courent à compter de la communication des informations par l'employeur. À défaut d'avis exprès dans ces délais, le CSE est réputé avoir rendu un avis négatif.
Étape 3 — Présenter et débattre
La réunion permet au CSE de poser des questions, demander des compléments d'information et désigner éventuellement un expert. L'employeur doit répondre de manière motivée. Pour un système d'IA, les questions portent typiquement sur :
- Le risque de biais discriminatoires.
- La traçabilité des décisions algorithmiques.
- Les voies de recours pour les salariés concernés.
- La sécurité et la conservation des données.
- L'impact sur les conditions de travail et la charge mentale.
Étape 4 — Documenter et formaliser
Le procès-verbal de la réunion consigne les positions exprimées et l'avis rendu. L'employeur conserve ces documents au registre unique du personnel et dans le dossier de conformité AI Act exigé par l'Article 26(6) du Règlement. Cette traçabilité est essentielle en cas de contrôle par la DGCCRF, l'Inspection du travail ou la CNIL.
Pack documentaire IA RH conforme Article 26(7)
Modèles de convocation CSE, dossier de consultation, AIPD spécifique IA RH et registre de conformité prêts à l'emploi pour votre PME. Validés par juristes spécialisés.
Demander le pack documentaire5. Contenu de la consultation
L'Article 26(7) ne détaille pas la nature des informations à communiquer. Le considérant 92 du Règlement précise toutefois que les informations doivent porter sur « les éléments suivants : la décision d'utiliser le système d'IA à haut risque, les catégories de données utilisées et les finalités » [à vérifier — formulation exacte considérant 92].
Bloc 1 — Description du système
La description doit être compréhensible par un non-technicien. Elle inclut le fournisseur, la nature de la technologie (machine learning supervisé, modèle de langage, système expert), les fonctionnalités activées et celles désactivées, et l'intégration au système d'information RH existant.
Bloc 2 — Analyse des risques pour les salariés
Le déployeur doit présenter une cartographie des risques. Les principaux risques d'un système IA RH sont :
| Type de risque | Exemple concret | Mesure d'atténuation type |
|---|---|---|
| Biais algorithmique | Sous-représentation de certains profils | Audit annuel, jeu de données équilibré |
| Décision automatisée | Refus de candidature sans intervention humaine | Validation humaine obligatoire (Art. 22 RGPD) |
| Surveillance excessive | Notation continue des comportements | Limitation des finalités, transparence |
| Atteinte à la vie privée | Analyse d'expressions faciales en entretien | Désactivation, alternatives proposées |
| Erreur de classification | Faux positifs sur des « profils à risque » | Mécanisme d'appel, supervision RH |
Bloc 3 — Protection des données personnelles
Le système IA RH traite par nature des données de salariés ou de candidats. L'AIPD prévue à l'Article 35 du RGPD est quasi systématiquement obligatoire. La CNIL a publié des recommandations spécifiques dans ses fiches pratiques IA.
Les points à documenter :
- Base légale du traitement (intérêt légitime, contrat, obligation légale).
- Durée de conservation des données et des décisions algorithmiques.
- Destinataires, sous-traitants et transferts hors UE.
- Mesures techniques et organisationnelles de sécurité.
- Modalités d'exercice des droits des personnes concernées.
Bloc 4 — Impact sur les droits et libertés
L'Article 27 du Règlement impose une analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment, FRIA) pour certains déployeurs publics et privés. Bien que les PME privées ne soient pas systématiquement concernées, la consultation CSE est le bon moment pour anticiper ce type d'analyse.
Pour comprendre les implications financières d'un manquement, consultez notre guide des sanctions AI Act pour les PME.
6. Exemples de systèmes IA RH concernés
L'Annexe III, point 4, du Règlement (UE) 2024/1689 énumère les systèmes IA à haut risque dans le domaine de l'emploi. Voici un panorama opérationnel pour les PME françaises.
Outils de recrutement automatisés
- Tri algorithmique de CV : logiciels comme HireVue, Eightfold, ou modules IA de SmartRecruiters. Ces outils analysent les CV pour pré-classer les candidats. Consultation CSE obligatoire avant déploiement.
- Chatbots de pré-qualification : Mya, Olivia, Paradox. Ils dialoguent avec les candidats pour valider des critères de base.
- Analyse d'entretiens vidéo : systèmes notant le ton, le vocabulaire ou les expressions. La CNIL a alerté en 2023 sur la conformité RGPD de ces outils [à vérifier — date exacte].
Outils d'évaluation et de gestion des talents
- Évaluation continue de la performance : modules IA dans Workday, Cornerstone, Talentsoft.
- Identification de hauts potentiels : algorithmes prédictifs croisant historiques de carrière et signaux faibles.
- Recommandation de formations : moteurs personnalisant les parcours apprenants.
- Détection du turnover prédictif : outils alertant les RH sur les risques de départ.
Outils de gestion opérationnelle
- Planification automatisée des plannings : optimisation par IA dans le retail, l'hôtellerie, la santé.
- Détection des risques psychosociaux : analyse de mails ou de messageries internes.
- Suivi de l'engagement : pulse surveys analysés par IA.
| Catégorie | Risque AI Act | Consultation CSE | AIPD RGPD |
|---|---|---|---|
| Tri de CV | Haut risque (Annexe III §4) | Obligatoire | Quasi systématique |
| Chatbot recrutement | Haut risque selon usage | Recommandée | Recommandée |
| Évaluation performance IA | Haut risque (Annexe III §4) | Obligatoire | Obligatoire |
| Détection RPS | Sensible — droits fondamentaux | Obligatoire | Obligatoire |
| Planning automatisé | Haut risque selon usage | Recommandée | Cas par cas |
Pour les définitions juridiques précises de chaque concept, consultez notre glossaire AI Act.
7. Conséquences de la non-consultation
La sanction la plus visible est financière, mais elle n'est pas la seule. Quatre risques se cumulent.
Risque 1 — Sanctions administratives AI Act
L'Article 99 du Règlement (UE) 2024/1689 organise un régime de sanctions à trois niveaux. Pour le non-respect des obligations applicables aux déployeurs (dont l'Article 26), le plafond est de 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (Art. 99(4) AI Act).
Pour une PME française de 50 salariés réalisant 10 M€ de chiffre d'affaires, 3% représentent 300 000 €. Le plancher légal n'est pas négligeable.
| Niveau de sanction | Manquement visé | Plafond |
|---|---|---|
| Article 99(3) | Pratiques interdites (Art. 5) | 35 M€ ou 7% CA mondial |
| Article 99(4) | Obligations déployeurs (Art. 26) | 15 M€ ou 3% CA mondial |
| Article 99(5) | Informations inexactes aux autorités | 7,5 M€ ou 1% CA mondial |
L'Article 99(6) prévoit toutefois une atténuation pour les PME et start-up : les autorités nationales doivent retenir « le plus faible » des deux montants [à vérifier — formulation exacte Art. 99(6)].
Risque 2 — Délit d'entrave côté français
Le non-respect de la consultation CSE constitue un délit d'entrave au sens de l'article L.2317-1 du Code du travail. Il est puni d'une amende pouvant atteindre 7 500 € pour les personnes physiques. La condamnation pénale entache durablement l'image de l'entreprise.
Risque 3 — Contentieux civils
Un salarié évincé par une décision algorithmique non précédée d'une consultation CSE peut contester la procédure devant le Conseil de prud'hommes. La jurisprudence française tend à sanctionner sévèrement les décisions de gestion fondées sur des outils non validés par les instances représentatives [à vérifier — référence jurisprudentielle précise].
Risque 4 — Réputation et marque employeur
Un contentieux public lié à un outil IA RH discriminatoire ou opaque a un coût réputationnel considérable. Les candidats consultent activement Glassdoor, LinkedIn et la presse économique avant de postuler. Une affaire médiatisée tarit le flux de candidatures qualifiées pendant des mois.
Évaluez votre exposition aux sanctions Article 26(7)
Diagnostic flash gratuit : nos juristes analysent votre situation actuelle et identifient les actions prioritaires pour vous mettre en conformité avant le 2 août 2026.
Lancer mon diagnostic8. Ressources et outils pratiques
La conformité Article 26(7) repose sur trois piliers : sources juridiques officielles, guides sectoriels et outils internes structurés.
Sources juridiques primaires
- Règlement (UE) 2024/1689 : texte intégral consolidé sur eur-lex.europa.eu et version annotée sur artificialintelligenceact.eu.
- Code du travail français : articles L.2312-8, L.2312-38, L.2315-30 et R.2312-6, accessibles sur Légifrance.
- RGPD : Règlement (UE) 2016/679, en particulier les articles 22, 35 et 88.
Guides et recommandations
- Fiches pratiques IA de la CNIL : 13 fiches publiées sur cnil.fr, dont plusieurs portent sur l'IA en RH.
- Service desk AI Act de la Commission européenne : ai-act-service-desk.ec.europa.eu pour les questions d'interprétation.
- Guide Cigref AI Act publié en janvier 2025, focalisé sur les enjeux opérationnels [à vérifier — date exacte de publication].
- Guide Numeum AI Act publié en mars 2025, orientation éditeurs et utilisateurs [à vérifier — date exacte].
Normes ISO applicables
- ISO/IEC 42001:2023 : système de management de l'IA.
- ISO/IEC 23894:2023 : management des risques liés à l'IA.
- ISO/IEC 27001:2022 : sécurité de l'information, support transverse.
Outils internes recommandés
- Registre des systèmes IA déployés, tenu à jour comme le registre des traitements RGPD.
- Modèle type de dossier de consultation CSE pour les systèmes IA RH.
- Trame d'AIPD adaptée aux spécificités de l'IA.
- Procédure de supervision humaine documentée (Art. 14 AI Act).
- Politique de gouvernance IA validée par la direction et le CSE.
Pour accéder à l'ensemble des sources officielles consolidées, consultez notre page sources.
FAQ
Q : Quels systèmes d'IA RH sont concernés par l'Article 26(7) ?
L'Article 26(7) s'applique à tous les systèmes d'IA à haut risque déployés sur le lieu de travail, tels que définis à l'Annexe III, point 4, du Règlement. Cela inclut les outils de recrutement, d'évaluation des performances, de promotion, de résiliation des relations contractuelles et d'attribution des tâches. La CNIL recommande une approche préventive pour tous les systèmes IA RH, y compris ceux qui ne sont pas explicitement classés haut risque, dès lors qu'ils ont un impact significatif sur les salariés.
Q : Quel est le délai minimum pour consulter le CSE ?
La convocation doit être envoyée au moins trois jours avant la réunion (Art. L.2315-30 Code du travail). Le délai de consultation lui-même est d'un mois minimum à compter de la communication des informations, deux mois en cas d'expertise et trois mois en cas d'expert avec CSE central et d'établissement (Art. R.2312-6). Il est prudent de prévoir au minimum six à huit semaines entre le lancement de la consultation et la mise en service effective.
Q : Que se passe-t-il si le CSE s'oppose à l'implémentation ?
L'avis du CSE est consultatif et non conforme : l'employeur peut passer outre un avis négatif. Toutefois, il doit motiver sa décision et tenir compte des observations formulées. Un déploiement malgré un avis défavorable expose à un risque contentieux accru, notamment si le système cause par la suite un préjudice à un salarié. La voie raisonnable consiste à intégrer les recommandations du CSE et à documenter les ajustements apportés au projet initial.
Q : Quelles sont les sanctions pour non-conformité ?
Les sanctions cumulent un volet européen et un volet français. Côté AI Act, l'Article 99(4) prévoit jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial, avec une atténuation pour les PME. Côté français, le délit d'entrave au CSE est puni d'une amende pénale de 7 500 € (Art. L.2317-1 Code du travail). S'ajoutent les risques de contentieux prud'homal et de sanctions CNIL en cas de manquement RGPD concomitant.
Q : Où trouver des modèles de convocation CSE ?
Les modèles génériques de convocation CSE sont disponibles sur Légifrance et les sites des organisations patronales (CPME, MEDEF). Pour les spécificités IA RH, regulia propose un pack documentaire incluant convocation, dossier technique type, AIPD pré-remplie et procédure de supervision humaine. Le formulaire de demande est accessible sur /formulaire.html.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- AI Act Explorer — artificialintelligenceact.eu
- Service desk AI Act — Commission européenne
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur le management du risque IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.