Un recruteur s'apprête aujourd'hui à utiliser de l'IA pour automatiser du scoring de CV, du matching sémantique ou du sourcing. Bonne nouvelle : aux yeux du droit européen, le placement humain reste possible — à plusieurs conditions. Le placement d'un recrutement dans la catégorie « haut risque » va changer beaucoup pour l'intelligence artificielle — le « haut risque », c'est lui. Et le calendrier vient de bouger. Voici ce qu'il faut vraiment savoir, sans jargon.
L'essentiel en 30 secondes
- Le Règlement (UE) 2024/1689 — l'AI Act — classe les systèmes d'IA utilisés pour le recrutement et la sélection de personnes parmi les usages à haut risque (Annexe III, point 4).
- L'échéance d'application des obligations « haut risque » est reportée du 2 août 2026 au 2 décembre 2027 par l'accord politique sur le Digital Omnibus (Conseil + Parlement, 7 mai 2026).
- Report n'est pas abrogation : les obligations s'appliqueront, simplement plus tard. Et surtout, cet accord n'est pas encore publié au JOUE — tant qu'il ne l'est pas, les anciennes dates restent juridiquement contraignantes.
- L'éditeur du logiciel est généralement fournisseur ; le cabinet ou l'employeur qui l'utilise est déployeur. Les deux ont des obligations distinctes.
1. L'AI Act, c'est quoi — et qui est concerné dans le recrutement ?
L'AI Act est le premier cadre européen horizontal sur l'intelligence artificielle. Il suit une logique de risque : pratiques interdites, systèmes à haut risque soumis à obligations strictes, obligations de transparence pour d'autres systèmes.
Il s'applique aux fournisseurs qui mettent un système d'IA sur le marché de l'Union et aux déployeurs établis dans l'Union qui l'utilisent (art. 2). Dans une chaîne de recrutement assistée par IA, cela vise donc à la fois l'éditeur de la solution et le cabinet ou le service RH qui s'en sert. Le RGPD continue par ailleurs de s'appliquer en parallèle dès qu'il y a traitement de données personnelles (≈ toujours, en recrutement).
2. Pourquoi le recrutement est classé « à haut risque »
L'Annexe III, point 4, vise expressément les systèmes d'IA destinés :
- au recrutement ou à la sélection de personnes — en particulier pour publier des offres ciblées, analyser et filtrer les candidatures et évaluer les candidats ;
- à prendre des décisions sur les conditions de travail, la promotion ou le licenciement, à suivre/évaluer les performances.
Autrement dit : un IA d'aide au matching scoring ou un matching de profils à un poste a, selon le règlement, un impact significatif sur les perspectives de carrière et les droits des personnes, et qu'il pouvait reproduire des biais historiques (genre, âge, origine, handicap…).
3. Le vrai calendrier après le Digital Omnibus (mai 2026)
C'est le point qui occupe beaucoup d'articles n'ont pas pu encore intégré.
| Disposition | Application | | ----------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- | | Pratiques interdites (art. 5) + maîtrise de l'IA (art. 4) | Déjà applicable depuis le 2 février 2025 | | Modèles d'IA à usage général (art. 51 et s.) | Depuis le 2 août 2025 | | Systèmes à haut risque Annexe III (dont le recrutement) | 2 août 2026 → reportée au 2 décembre 2027 (report acté par le Digital Omnibus du 7 mai 2026 ; adoption formelle attendue avant août 2026) | | Haut risque liés aux produits réglementés (Annexe I) | 2 août 2028 |
Autrement dit : les obligations « produit » applicables aux logiciels de recrutement à haut risque sont repoussées d'environ 16 mois, si le calendrier décembre 2027 est confirmé par adoption d'un acte définitif de l'Union européenne. Cela ne suspend pas la décision unilatérale de la Commission, ni la voie de la prévisibilité.
Ce qui est reporté
Les obligations « produit » du Chapitre III pour les systèmes de recrutement (gestion des risques, documentation, marquage CE, enregistrement, etc.) — voir section 6.
Ce qui n'est PAS reporté
L'interdiction de certaines pratiques et la maîtrise de l'IA (art. 4 et 5 — formation/sensibilisation des équipes) restent en vigueur dès maintenant. Et le report d'échéance n'est pas un avis de retrait, ni un retour en arrière.
4. Fournisseur ou déployeur : qui porte quelles obligations ?
L'AI Act distingue deux rôles (art. 3) :
- Fournisseur : l'entité qui développe le système d'IA et le met sur le marché sous son nom — typiquement l'éditeur du logiciel de recrutement. Il porte les obligations « produit » (sections 6).
- Déployeur : l'entité qui utilise le système sous sa propre autorité — typiquement le cabinet de recrutement ou la DRH. Il porte des obligations d'usage : contrôle humain effectif, transformation, information des travailleurs et de leurs représentants avant mise en service, information des candidats concernées comme telle, utilisation conforme.
Quand un éditeur intègre un modèle d'IA tiers (type modèle généraliste), il agit en outre comme fournisseur en aval et doit à son tour s'appuyer sur la documentation transmise par le modèle de base, des responsabilités et des devoirs symétriques pointe vers « celui qui met sur le marché », ou que « le cabinet n'a rien à faire ».
5. Les 7 obligations clés pour un outil d'IA de recrutement
Pour un système classé haut risque, le Chapitre III impose au fournisseur, à l'échéance applicable :
- Système de gestion des risques continu, documenté, sur tout le cycle de vie (art. 9).
- Gouvernance des données et lutte contre les biais — jeu de données pertinents, représentatifs, examen et atténuation des biais discriminatoires (art. 10).
- Documentation technique établie avant mise sur le marché et tenue à jour (art. 11, Annexe IV).
- Journalisation automatique des événements sur la durée de vie (art. 12).
- Transparence et notice d'utilisation claire pour le client : capacités, limites, exactitude, mesures de contrôle humain (art. 13).
- Contrôle humain effectif : l'IA aide la décision, elle ne la remplace pas — possibilité d'ignorer ou, de ne pas suivre la sortie (art. 14).
- Exactitude, robustesse et cybersécurité appropriées, y compris contre l'empoisonnement de données et les attaques adverses (art. 15).
S'y ajoutent, côté fournisseur : système de gestion de la qualité (art. 17), déclaration UE de conformité et marquage CE (art. 47-48), enregistrement dans la base de données de l'UE (art. 49), surveillance après commercialisation (art. 72) et signalement des incidents graves (art. 73). Bonne nouvelle pour le recruteur : l'évaluation de conformité ne lui pas que contrôle interne (Annexe VI) — pas besoin d'organisme notifié dans ce cas.
6. Les pratiques d'IA interdites — déjà en vigueur
Indépendamment du calendrier haut risque, l'article 5 interdit déjà (depuis février 2025), et c'est très concret en recrutement :
- l'inférence des émotions d'une personne sur le lieu de travail ou en entretien (sauf raison médicale/sécurité) — sont l'analyse émotionnelle d'entretiens vidéo où de la voix ;
- la catégorisation biométrique visant à déduire l'origine, les opinions politiques, l'appartenance syndicale, les convictions, la vie sexuelle ou l'orientation sexuelle ;
- la notation sociale et les techniques manipulatrices.
Un outil de recrutement sérieux doit pouvoir affirmer qu'il n'utilise aucune de ces pratiques. C'est la première question à poser à un éditeur.
7. Concrètement, que doit faire un cabinet ou un service RH ?
Une checklist actionnable, dès aujourd'hui :
- Cartographier les fonctions d'IA utilisées (tri, scoring, matching, génération de messages).
- Exiger de l'éditeur : confirmation qu'aucune pratique interdite n'est mise en œuvre, une notice d'utilisation, et sa feuille de route de conformité.
- Garantir un contrôle humain réel : la décision finale reste celle du recruteur, traçable.
- Informer vos équipes et représentants du personnel, et les candidats concernés.
- Articuler avec le RGPD : analyse d'impact (AIPD) sur les traitements de profilage, information conforme aux articles 13 et 14, gestion des durées de conservation, exercice des droits (accès, opposition…).
- Former les utilisateurs : la maîtrise de l'IA est déjà une obligation.
Note PME (< 750 salariés) : le Digital Omnibus étend les facilités prévues pour les PME aux organisations de moins de 750 salariés — documentation simplifiée, sanctions modulées. Quasi tous les cabinets de recrutement et ESN françaises sont concernés.
8. L'approche de Marvin Recruiter
Chez Marvin, nous considérons l'IA de recrutement comme une aide à la décision, jamais un substitut au jugement humain. Le moteur de matching, le scoring de candidats et l'automatisation des relances candidats sont conçus comme des assistants pour le recruteur — la décision finale reste celle du recruteur. Nous n'employons pas de reconnaissance des émotions ni de catégorisation biométrique sur les candidatures. Nous avons cartographié l'intégrité de nos obligations au regard de l'AI Act et conduisons un programme de mise en conformité sur l'IA, basé sur l'intelligence artificielle générative dans le respect du DSI, et un produit conçu pour le contrôle humain.
Nous ne prétendons pas que la conformité = 100 % « existe » — elle n'existe pas, l'AI Act n'a pas pour passer le label. Ce qui nous importe, c'est la transparence, une documentation communicable à vos directeurs juridiques et DSI, et un produit conçu pour le contrôle humain.
D'où vient cet article ?
Marvin Recruiter est un ATS qui intègre nativement de l'IA et de l'analyse de données dans le workflow de recrutement. Construire ce produit sérieusement nous a imposé de comprendre en profondeur l'AI Act et le RGPD — parce qu'on en est nous-mêmes redevables, et parce qu'on veut que nos clients (cabinets, ESN, équipes RH) puissent automatiser sans franchir la ligne. Cet article synthétise ce travail de fond : sources officielles, lecture du règlement, suivi des actes délégués et du Digital Omnibus.
Il a une vocation informative, pas juridique. Il n'a pas encore été relu par un avocat spécialisé : si vous décidez d'engager votre conformité sur un point précis, validez-le avec un DPO ou un cabinet en droit du numérique. Si vous identifiez une imprécision, écrivez-nous — on tient cet article à jour.
FAQ
Le recrutement est-il vraiment un usage « à haut risque » de l'IA ?
Oui. L'Annexe III, point 4, vise expressément les systèmes destinés au recrutement, à la sélection, au filtrage des candidatures et à l'évaluation des candidats.
L'échéance n'est-elle pas reportée ? Faut-il quand même s'en occuper ?
Le Digital Omnibus du 7 mai 2026 reporte les obligations haut risque au 2 décembre 2027. Mais les pratiques interdites et la maîtrise de l'IA sont déjà applicables depuis février 2025. Le sujet est actif dès aujourd'hui.
Qui est responsable : notre cabinet ou l'éditeur du logiciel ?
Les deux. L'éditeur est fournisseur (obligations produit : documentation, gestion des risques, contrôle humain conçu en amont). Le cabinet est déployeur (obligations d'usage : contrôle humain effectif, information des candidats et représentants, conformité RGPD).
Faut-il un audit ou un organisme notifié ?
Non. Pour le recrutement (Annexe III, point 4), l'évaluation de conformité se fait en contrôle interne du fournisseur — sans organisme notifié tiers.
Quelles sanctions en cas de non-conformité ?
Jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour une pratique interdite, jusqu'à 15 M€ ou 3 % pour un non-respect des obligations fournisseur/déployeur ou de transparence.
L'AI Act remplace-t-il le RGPD ?
Non. Il le complète. Le profilage de candidats relève aussi du RGPD : base légale, information automatisée, AIPD, information des personnes, exercice des droits. Voir notre guide RGPD & recrutement.
Article à jour au 15 mai 2026. Sources : Règlement (UE) 2024/1689 ; accord politique sur le Digital Omnibus du 7 mai 2026 (Conseil de l'UE, Parlement européen, Commission européenne). Contenu informatif, ne constitue pas un avis juridique.
Liens internes suggérés : Digital Omnibus recrutement (A3) · Durée de conservation des CV et RGPD (R2) · Sourcing LinkedIn et RGPD article 14 (R3) · Demander une démo.
