Audits et conseil
IA et vision Didier Sampaolo 5 min de lecture

Recrutement et IA : que dit la loi ?

Je vois régulièrement passer des posts sur Linkedin, de gens qui se vantent d'avoir automatisé leur process de recrutement grâce à un script N8N. La promesse est sympa, mais que dit la loi française à ce sujet ?

Recrutement et IA : que dit la loi ?
Sommaire
En résumé :
  • Filtrer des CV par IA = décision automatisée interdite (RGPD article 22, arrêt SCHUFA)
  • Analyse des émotions et social scoring = illégal depuis février 2025 (AI Act)
  • 2 août 2026 : obligation "haut risque" pour tout recrutement par IA (supervision humaine, traçabilité, audit)
  • Sanctions jusqu'à 55M€ ou 11% du CA mondial (RGPD + AI Act cumulables)

Disclaimer : n'étant ni avocat, ni juriste, je fais de mon mieux pour reporter efficacement l'état de l'art. Ne prenez pas ces conseils pour argent comptant. L'important, c'est de vous faire comprendre qu'il y a des répercussions, et qu'il ne faut pas prendre ce sujet à la légère.

Quels textes s'appliquent ?

Deux textes européens majeurs encadrent l'usage de l'IA en recrutement : le RGPD (applicable depuis 2018) et l'AI Act (adoption en 2024, application progressive jusqu'en 2026).

Le mythe de la décision humaine finale

"L'IA me présélectionne une shortlist de 10 CV sur 1000, mais c'est moi qui choisis à la fin, alors ça passe."

C'est faux. Si l'IA "influence de manière décisive" votre choix (et écarter 99.9% des candidats, c'est décisif), on considère que la machine a pris une décision automatisée (Arrêt Schufa, Cours de Justice de l'Union Européenne).

Ce type de décision est, par principe, interdit par l'article 22 du RGPD, sauf exceptions très difficiles à prouver dans le recrutement, comme le consentement "libre et éclairé" d'un candidat : c'est compliqué de le faire reconnaître, en raison du déséquilibre de pouvoir (considérant 43).

Focus : RGPD, article 22

L'article 22 du RGPD établit un droit fondamental : celui de ne pas faire l'objet d'une décision reposant exclusivement sur un traitement automatisé (comme une IA) si elle produit des effets juridiques (ex: annulation de contrat) ou vous affecte de manière significative (ex: refus de prêt, rejet d'une candidature). Cette pratique est interdite par défaut, sauf dans trois cas stricts : si elle est nécessaire à un contrat, autorisée par une loi spécifique, ou basée sur votre consentement explicite.

Même lorsque ces exceptions s'appliquent, l'entreprise doit impérativement vous garantir des droits essentiels : celui d'obtenir une intervention humaine (une personne doit pouvoir réexaminer le dossier), d'exprimer votre point de vue et de contester la décision prise par l'algorithme.

Focus : arrêt C-634/21 (SCHUFA)

Cet arrêt de la Cour de Justice de l'UE (CJUE) concerne le "scoring" automatisé (notation) et l'article 22 du RGPD, qui régit les décisions automatisées.

Dans cette affaire, une agence de crédit (SCHUFA) calculait automatiquement un "score" de solvabilité pour des individus, score ensuite transmis à des banques. Une banque a utilisé ce score pour refuser un prêt à une personne (OQ).

La question clé était : Est-ce que le calcul du score par l'agence est déjà une "décision automatisée" (interdite par principe par l'art. 22), ou est-ce que seule la banque (l'utilisateur final) prend la décision ?

La décision de la Cour : La CJUE a statué que oui, le calcul du score lui-même est une "décision individuelle automatisée" au sens de l'article 22 du RGPD.

La condition est que ce score influence de "manière déterminante" la décision finale du tiers (la banque).

Interdit depuis février 2025

L'AI Act est déjà en vigueur sur certains points. Si votre outil prétend faire l'une de ces choses, vous êtes dans l'illégalité immédiate :

  • Analyse des émotions : Utiliser le texte, la vidéo ou la voix pour "deviner" si un candidat est stressé, honnête ou confiant.
  • Social Scoring : Analyser les réseaux sociaux (type profil Linkedin), ou d'autres sources de données, même publiques, pour donner un score de "compatibilité culturelle".
  • Catégorisation sensible : Tenter de déduire l'origine, les opinions politiques ou l'orientation sexuelle.

2 août 2026 : la fin de la récréation

Le compte à rebours est lancé : le 2 août 2026, toutes les règles de l'AI Act pour les systèmes à "haut risque" deviennent obligatoires.

La mauvaise nouvelle, c'est que l'Annexe III de la loi classe explicitement tous les outils d'IA pour "le recrutement ou la sélection de personnes" (tri de CV, évaluation, etc.) comme étant à haut risque.

Ça implique que vous, l'employeur, devenez légalement co-responsable. Vous devrez prouver la gouvernance des données, l'absence de biais, la robustesse et, surtout, garantir une supervision humaine effective.

À partir du 2 août 2026, si vous utilisez un système d'intelligence artificielle à haut risque pour le recrutement, vous devrez :

  • Tenir un registre de toutes les décisions prises avec l'IA
  • Garantir la qualité et l'impartialité des données d'entraînement
  • Évaluer des risques et documenter votre recherche
  • Assurer une supervision humaine effective (pas seulement formelle)
  • Informer les candidats de l'usage de l'IA

Action immédiate : Réalisez dès maintenant un audit de vos pratiques de recrutement assistées par IA. Vous avez 18 mois pour vous mettre en conformité. À l'échelle d'un projet de transformation, c'est demain.

Les sanctions prévues : on risque quoi ?

Les montants ci-dessous sont les amendes maximales applicables.

  • 35 millions d'euros ou 7 % du chiffre d'affaires mondial (AI Act), et 20 millions d'euros ou 4% du CA (RGPD), pour les violations les plus graves (pratiques interdites par l'article 5 de l'AI Act - donc ce qui concerne les émotions, le social scoring, etc). Cerise sur le gâteau : les deux peuvent se cumuler.
  • 15 millions d'euros (ou 3 % du CA) pour non-conformité aux obligations des systèmes à haut risque
  • 7,5 millions d'euros (ou 1,5% CA) pour informations inexactes fournies aux autorités

Au-delà des amendes financières, vous risquez :

  • L'interdiction temporaire ou permanente de commercialiser/utiliser le système
  • Des actions en justice individuelles de candidats estimant avoir été discriminés
  • Un dommage réputationnel majeur (imaginez le titre : "Entreprise X condamnée pour discrimination algorithmique")
  • D'engager la responsabilité pénale des dirigeants en cas de discrimination avérée (article 225-1 du Code pénal)

N'automatisez pas, augmentez

L'IA reste un outil formidable, mais il faut l'utiliser comme un assistant augmenté, pas comme un juge automatisé.

Éléments de stratégie :

  • Auditez vos outils : Cessez immédiatement d'utiliser tout ce qui touche aux pratiques interdites (point 2).
  • Challengez vos fournisseurs : Exigez leur feuille de route de conformité "Haut Risque" pour 2026. S'ils n'en ont pas, fuyez.
  • Re-centrez sur l'humain : L'IA ne doit pas classer (donner un score), mais expliquer. Elle doit vous dire : "Ce candidat correspond aux 3 compétences techniques clés, mais il lui manque celle-ci." L'humain doit garder le contrôle et la compréhension du pourquoi.

Ce qui reste possible

  • Vous pourriez avoir un Assistant IA qui, pour chaque CV, vous récapitule les forces et faiblesses du candidat en fonction d'une fiche de poste précise.
  • Transcrire les entretiens (avec le consentement explicite et éclairé du candidat) pour vous aider à rédiger un compte-rendu factuel, sans jamais y ajouter une couche d'analyse émotionnelle ou comportementale.
  • Un assistant qui génère des questions d'entretien personnalisées basées sur le parcours du candidat.

Attention : même ces usages "légers" nécessitent une base légale (intérêt légitime), une analyse d'impact sur la vie privée (AIPD) si risque élevé, et une information transparente des candidats. Ce n'est pas "IA light = pas de contraintes".

Didier Sampaolo

Didier Sampaolo

Fondateur / Directeur technique

[email protected] 06 42 49 35 03

À lire aussi

Découvrez d'autres articles sur le même sujet

Des systèmes experts au machine learning : Pourquoi l'IA des années 80 a échoué
3 min de lecture

Les systèmes experts des années 80

Les années 80 voient l’essor des systèmes experts, avant une nouvelle désillusion qui mène au deuxième hiver de l’IA.

L’IA des années 70 : quand l’IA traverse son premier hiver
3 min de lecture

L’IA des années 70

Les années 70 sont souvent vues comme une période creuse pour l’IA. En réalité, c’est une décennie paradoxale : un hiver pour les financements, mais aussi le terreau des grandes avancées de la décennie suivante.