Recrutement via l'IA : règles AI Act 2026 pour les PME

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel pour les PME, avec des amendes minimales de 10 millions d'euros pour les infractions graves. Les dirigeants peuvent également encourir des responsabilités pénales en cas de violations systématiques.

Q: Dois-je former mon personnel à l'IA ?

Oui, l'AI Act exige une formation obligatoire pour tous les utilisateurs de systèmes de recrutement automatisés. Cette formation doit couvrir les principes éthiques, les risques de biais et les procédures de contrôle.

Q: Comment savoir si mon système est classé « haut risque » ?

Un système est classé « haut risque » si : 1) Il influence des décisions juridiques ou cruciales (comme le recrutement), 2) Il traite des données sensibles (âge, genre, etc.), et 3) Il présente un risque élevé pour les droits fondamentaux des candidats.

Q: Dois-je notifier la CNIL ?

Oui, pour les systèmes de recrutement classés « haut risque », une notification préalable à la CNIL est obligatoire. Cette notification doit inclure une description technique du système et les mesures de sécurité mises en place.

Q: Quelles sont les bonnes pratiques pour éviter les biais ?

Les bonnes pratiques incluent : 1) Utilisation de données d'entraînement diversifiées, 2) Tests réguliers d'équité, 3) Mise en place de procédures de contestation humaine, et 4) Audits externes par des experts en éthique de l'IA.

L'essentiel en 30 secondes

Transparence obligatoire : les candidats doivent être informés de l'utilisation de l'IA (Article 50 du Règlement (UE) 2024/1689)

Les systèmes de recrutement automatisé sont classés à haut risque (Annexe III du Règlement (UE) 2024/1689)

Interdiction de discriminer sur des critères protégés — vérification des biais obligatoire (Article 10)

Obligation de documentation et de formation des équipes RH (Article 26)

Sanctions jusqu'à 15 millions d'euros ou 3 % du CA mondial pour non-conformité (Article 99)

Vous utilisez un ATS avec scoring IA, un outil de matching CV, ou un chatbot de présélection ? Depuis le 2 août 2026, ces systèmes sont classés à haut risque par le Règlement (UE) 2024/1689. Ils sont visés à l'Annexe III, point 4 : « Systèmes d'IA utilisés dans le cadre du recrutement ou de la sélection de personnes physiques, notamment pour diffuser des offres d'emploi ciblées, analyser et filtrer des candidatures ou évaluer des candidats. » Pour les PME, l'heure est aux premières vérifications concrètes.

1. Les règles de base pour le recrutement via l'IA

L'Annexe III du Règlement (UE) 2024/1689 classe explicitement les systèmes de recrutement automatisé parmi les systèmes à haut risque. Cette classification s'applique dès qu'un système influence significativement une décision de recrutement — présélection, scoring, classement de candidats — même si la décision finale reste humaine.

Qui est concerné ? En tant que déployeur, votre PME est directement visée dès que vous utilisez un logiciel de recrutement intégrant une composante IA. La taille de l'entreprise ne change pas la classification du système. Une ETI de 150 salariés qui utilise un ATS avec scoring automatique est soumise aux mêmes exigences qu'un grand groupe.

Ce que dit le règlement. L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur de systèmes à haut risque de : surveiller le fonctionnement du système, ne pas l'utiliser au-delà de sa destination prévue, et informer les personnes concernées. Ces obligations s'appliquent même si vous avez acheté le système à un éditeur tiers.

L'articulation avec le RGPD. Un système de recrutement IA traite nécessairement des données personnelles. Les deux textes se cumulent. Une analyse d'impact sur la protection des données (AIPD) est obligatoire pour les systèmes présentant un risque élevé pour les droits et libertés des candidats. La CNIL est l'autorité de référence pour ce volet.

Consultez notre guide AI Act pour les PME françaises pour une vue d'ensemble des obligations croisées AI Act / RGPD.

2. Obligations de transparence

La transparence envers les candidats est au cœur du dispositif. Elle repose sur deux articles du Règlement (UE) 2024/1689.

Information préalable. L'Article 50 du Règlement (UE) 2024/1689 impose d'informer les candidats lorsqu'un système IA intervient dans l'évaluation de leur candidature. Cette information doit être claire, compréhensible et accessible avant le début du processus. Elle doit préciser la finalité du système (présélection, scoring, analyse de CV), le type de décision produite et les données utilisées.

Droit à l'explication. Tout candidat écarté par un système IA doit pouvoir obtenir une explication de la décision. Ce droit est renforcé par le RGPD (Article 22 du Règlement (UE) 2016/679) qui limite les décisions entièrement automatisées produisant des effets juridiques ou des effets significatifs similaires. Un refus de candidature tombe dans cette catégorie.

Point de contact humain. Votre processus RH doit prévoir un interlocuteur humain accessible pour les candidats qui souhaitent contester une décision ou obtenir des informations complémentaires. Ce mécanisme de recours doit être effectif et documenté.

Obligation	Base légale	À qui s'applique
Information sur l'usage de l'IA	Art. 50 Règlement (UE) 2024/1689	Déployeur
Explication des décisions	Art. 22 RGPD + Art. 86 AI Act	Déployeur
Surveillance du système	Art. 26 Règlement (UE) 2024/1689	Déployeur
Documentation technique	Art. 11 Règlement (UE) 2024/1689	Fournisseur
Gestion des risques	Art. 9 Règlement (UE) 2024/1689	Fournisseur

3. Interdiction de discrimination

Le Règlement (UE) 2024/1689 renforce l'interdiction de discrimination algorithmique déjà posée par le droit national.

Critères protégés. Un système de recrutement IA ne peut pas, directement ou indirectement, défavoriser un candidat sur la base de son genre, de son âge, de son origine ethnique, de son état de santé, de sa situation de handicap, de ses convictions religieuses ou politiques, ou de tout autre critère protégé par le droit européen et français.

Vérification des biais obligatoire. L'Article 10 du Règlement (UE) 2024/1689 impose que les données d'entraînement des systèmes à haut risque soient pertinentes, représentatives et exemptes de biais dans la mesure du possible. Pour un déployeur qui achète un système IA, cela se traduit par une obligation de vérification : vous devez vous assurer auprès de l'éditeur que des tests d'équité ont été réalisés et documentés.

Tests réguliers. La surveillance continue impose de réaliser des tests d'équité à intervalles réguliers. Si le système produit des résultats statistiquement différenciés selon le genre ou l'origine, c'est un signal d'alerte qui doit déclencher une revue et, si nécessaire, une suspension de l'outil.

Sanctions spécifiques. Au-delà des amendes AI Act, une discrimination algorithmique peut donner lieu à des poursuites prud'homales et pénales. Les candidats discriminés peuvent saisir le Défenseur des droits ou les juridictions compétentes.

Auditez vos outils de recrutement IA

Regulia vérifie la conformité de vos systèmes de recrutement automatisé : qualification du risque, obligations de transparence, tests d'équité, documentation. Résultats en 3 semaines.

Demander un audit RH IA

4. Documentation et formation

La conformité du déployeur repose sur deux piliers : un dossier documentaire structuré et des équipes formées.

Le registre de conformité. L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur de tenir des journaux de bord des opérations du système et de conserver la documentation fournie par le fournisseur. Dans les faits, cela se traduit par un dossier contenant : la documentation technique reçue de l'éditeur, les conditions d'utilisation contractuelles, les résultats des tests d'équité réalisés, les incidents signalés et les mesures correctives prises.

Formation obligatoire. L'Article 26 impose également que les utilisateurs qui interagissent avec des systèmes à haut risque reçoivent une formation adéquate. Pour une PME, cela concerne au minimum les responsables RH et les managers qui prennent des décisions de recrutement en s'appuyant sur les outputs du système. La formation doit couvrir : les capacités et les limites du système, les risques de biais, les procédures de vérification et les droits des candidats.

Procédures de contrôle interne. Définissez un processus de revue régulière des décisions prises avec l'aide du système IA. Cette revue doit être documentée. Elle permet de détecter des anomalies, de vérifier que les utilisateurs ne se reposent pas entièrement sur le scoring automatique, et d'alimenter les audits.

Retrouvez les définitions réglementaires clés dans notre glossaire AI Act.

5. Sanctions et responsabilités

Le Règlement (UE) 2024/1689 distingue les responsabilités du fournisseur et du déployeur.

Responsabilité du déployeur. L'Article 99 du Règlement (UE) 2024/1689 prévoit, pour les manquements aux obligations du déployeur, des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour une PME de 5 millions d'euros de CA, cela représente jusqu'à 150 000 € d'amende.

Responsabilité des dirigeants. En droit français, les dirigeants peuvent engager leur responsabilité pénale pour des discriminations systématiques dans le processus de recrutement. La mise en cause d'un système IA ne dédouane pas le dirigeant qui a choisi de le déployer sans vérification ni encadrement.

Cumul de sanctions. AI Act, RGPD et droit du travail fonctionnent en parallèle. Un même manquement peut entraîner une amende CNIL (jusqu'à 4 % du CA mondial au titre du RGPD), une amende AI Act (jusqu'à 3 % du CA mondial), et des dommages-intérêts prud'homaux ou pénaux. Les sanctions se cumulent.

Consultez notre guide complet sur les amendes AI Act pour les PME pour comprendre les barèmes et les facteurs d'atténuation.

6. Étapes pour se conformer : plan d'action concret

La mise en conformité d'un processus de recrutement IA suit six étapes.

Étape 1 : cartographie des outils. Identifiez tous les outils de recrutement utilisés par vos équipes RH qui intègrent une composante IA ou de décision automatisée. Incluez les ATS avec scoring, les outils de matching, les chatbots de présélection.

Étape 2 : qualification du risque. Pour chaque outil, vérifiez si le fournisseur a réalisé et documenté une évaluation de conformité AI Act. Demandez-lui la documentation technique et les résultats des tests d'équité. C'est son obligation en tant que fournisseur ; refuser de la fournir est un signal d'alerte.

Étape 3 : mise en conformité documentaire. Constituez votre registre de conformité interne : documentation fournisseur, contrats, résultats de tests, procédures internes. Ce dossier doit être accessible à tout moment aux autorités de contrôle.

Étape 4 : information des candidats. Ajoutez dans vos offres d'emploi, formulaires de candidature et courriels de réponse automatique une mention claire sur l'utilisation de systèmes IA dans le traitement des candidatures.

Étape 5 : formation des équipes. Organisez une session de formation pour tous les utilisateurs des outils de recrutement IA. Documentez les participants, la date et les thèmes abordés.

Étape 6 : audit annuel. Planifiez un audit de conformité annuel couvrant les outils, la documentation, la formation et les résultats des tests d'équité. Ajustez vos pratiques en fonction des résultats.

FAQ

Quelles sont les sanctions pour non-conformité ?

Les sanctions pour manquement aux obligations du déployeur peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689). En cas de discrimination avérée, des poursuites pénales et prud'homales s'y ajoutent. La CNIL peut également imposer des sanctions RGPD complémentaires. Notre guide amendes AI Act pour PME détaille les scénarios.

Dois-je former mon personnel à l'IA ?

Oui. L'Article 26 du Règlement (UE) 2024/1689 impose une formation adéquate pour tous les utilisateurs de systèmes de recrutement à haut risque. Cette formation doit couvrir les capacités du système, ses limites, les risques de biais et les droits des candidats. Elle doit être documentée.

Comment savoir si mon système est classé « haut risque » ?

Un système de recrutement est systématiquement classé à haut risque dès lors qu'il influence la sélection ou l'évaluation de candidats, conformément à l'Annexe III, point 4 du Règlement (UE) 2024/1689. Scoring de CV, matching automatique, chatbot de présélection : tous entrent dans cette catégorie dès que leur output oriente une décision RH.

Dois-je notifier la CNIL ?

Si votre système de recrutement IA traite des données personnelles de façon susceptible d'engendrer un risque élevé pour les droits et libertés des candidats, une Analyse d'Impact sur la Protection des Données (AIPD) est obligatoire selon l'Article 35 du RGPD. La CNIL publie sur cnil.fr la liste des traitements systématiquement soumis à AIPD.

Quelles sont les bonnes pratiques pour éviter les biais ?

Demandez à votre fournisseur les résultats des tests d'équité réalisés sur le système. Définissez des indicateurs de suivi (taux de sélection par genre, tranche d'âge, origine supposée). Organisez des revues régulières des décisions produites. Prévoyez un mécanisme de recours humain accessible à tous les candidats. Consultez notre page sources pour les ressources méthodologiques disponibles.

Sources officielles

Mettez vos recrutements IA en conformité

Regulia audite vos processus RH, vérifie la conformité de vos outils et met en place la documentation obligatoire. Intervention en 3 semaines.

Démarrer l'audit RH

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.