Un cabinet de recrutement parisien utilise quotidiennement un outil de scoring IA pour filtrer 400 candidatures. En vertu du règlement européen sur l'IA, ce cabinet est déployeur d'un système IA à risque élevé — avec des obligations que son éditeur logiciel ne peut pas remplir à sa place.
La plupart des recruteurs qui ont entendu parler du règlement IA (Règlement 2024/1689, dit « IA Act ») pensent que la question concerne avant tout les développeurs de logiciels, pas les cabinets qui les utilisent. Cette hypothèse est erronée. Le règlement distingue clairement les fournisseurs — les éditeurs qui conçoivent et commercialisent les systèmes IA — des déployeurs : les cabinets et services RH qui les mettent en œuvre dans un cadre professionnel. L'article 26 s'adresse directement aux déployeurs et leur impose des obligations indépendantes de celles du fournisseur.
Ce guide est destiné aux cabinets de recrutement et aux directions des ressources humaines opérant en France et en Europe. Il explique pourquoi l'IA de recrutement est classée à risque élevé, ce que l'article 26 exige concrètement, et comment le RGPD, la CNIL et le CSE s'articulent avec ces nouvelles obligations.
Pourquoi l'IA de recrutement est classée à risque élevé
L'annexe III du règlement IA liste les catégories de systèmes IA considérés comme présentant un risque élevé — parmi lesquels figurent explicitement les outils utilisés pour le recrutement, la sélection de candidats, la promotion et l'évaluation des performances dans un contexte d'emploi. Cette classification s'applique parce que ces systèmes influencent directement l'accès à l'emploi, un droit fondamental que le règlement traite au même niveau que l'accès au crédit ou à l'éducation.
Concrètement, tout outil ATS ou de sourcing qui classe, note ou filtre automatiquement des profils de candidats relève du champ d'application d'l'annexe III. Le seuil n'est pas « décision entièrement automatisée » — même un classement assisté par IA soumis à validation humaine est concerné dès lors qu'il influe sur la sélection.
La logique réglementaire de la Commission européenne est explicite : les systèmes à risque élevé doivent être soumis à des exigences strictes précisément parce que leurs défaillances — tri discriminatoire, rejets opaques, shortlists biaisées — touchent des personnes qui n'ont aucune visibilité sur le processus qui produit ces résultats.
« Le candidat écarté par un outil de scoring IA ne sait pas pourquoi. Le règlement existe pour que cet écart — entre décision algorithmique et compréhension humaine — soit comblé avant que la décision lui parvienne. »
L'échéance de décembre 2027 : un report, pas un abandon
L'échéance initiale pour les obligations de déployeur à risque élevé a été reportée du 2 août 2026 au 2 décembre 2027, dans le cadre de l'accord politique provisoire « Digital Omnibus » conclu par le Conseil et le Parlement le 7 mai 2026. L'adoption formelle est en attente, mais la direction politique est fixée.
Ce report offre du temps pour mettre en place les structures requises — il n'autorise pas à différer la réflexion. Les mesures exigées par l'article 26 — mécanismes de supervision humaine, politiques de gouvernance des données, journaux d'audit, protocoles d'information des parties prenantes — ne se construisent pas en quelques semaines. Les cabinets qui seront conformes en décembre 2027 sont ceux qui commencent à travailler en 2026.
| Étape clé | Date | Ce que cela signifie pour les recruteurs |
|---|---|---|
| Entrée en vigueur de l'IA Act | 1er août 2024 | Règlement 2024/1689 publié |
| Maîtrise de l'IA (art. 4) | 2 février 2025 | En vigueur — tous les utilisateurs IA doivent être formés |
| Échéance initiale risque élevé | 2 août 2026 | Reportée par le Digital Omnibus |
| Nouvelle échéance risque élevé | 2 décembre 2027 | Conformité article 26 requise (adoption en attente) |
Fournisseur vs déployeur : la distinction qui change tout
Le fournisseur développe le système IA et l'introduit sur le marché — il est responsable de l'évaluation de conformité, de la documentation technique et du marquage CE. Le déployeur utilise le système dans un contexte professionnel et porte des obligations distinctes, indépendantes de celles du fournisseur. Un produit certifié conforme par son éditeur ne décharge pas le cabinet des exigences de l'article 26.
| Obligation | Fournisseur | Déployeur (vous) |
|---|---|---|
| Documentation technique & évaluation de conformité | Oui | Non (mais obligation de vérifier) |
| Désigner une supervision humaine (art. 14) | Non | Oui — personne compétente avec pouvoir de dérogation |
| Conservation des journaux (≥ 6 mois) | Partiellement | Oui — journaux opérationnels sous votre contrôle |
| Pertinence des données d'entrée | Non | Oui — vous contrôlez les données injectées |
| Surveillance des résultats discriminatoires | Au niveau conception uniquement | Oui — surveillance opérationnelle continue |
| Analyse d'impact sur les droits fondamentaux (art. 27) | Non | Oui — selon les critères de l'art. 27 |
| Information du CSE et des candidats | Non | Oui — obligation d'information propre au déployeur |
Les sept obligations de l'article 26 — concrètement pour le recrutement
L'article 26 définit sept obligations principales pour les déployeurs de systèmes IA à risque élevé. Chacune a des implications directes sur le quotidien d'un cabinet de recrutement ou d'une direction RH. Les exigences de supervision humaine de l'article 14 en constituent le socle.
1. Assurer une supervision humaine effective. Vous devez désigner une personne compétente — dotée des compétences et de l'autorité pour comprendre les sorties du système et les contester — comme responsable de la supervision. Ce n'est pas une validation formelle. La personne doit être capable d'identifier les résultats erronés ou discriminatoires et d'agir en conséquence.
2. Respecter les instructions d'utilisation du fournisseur. Le système ne peut être utilisé qu'aux fins documentées par l'éditeur. Utiliser un outil de tri de CV pour des objectifs non prévus, ou le connecter à des sources de données non testées par le fournisseur, transfère la responsabilité des risques vers le déployeur.
3. Veiller à la pertinence des données d'entrée. La qualité des sorties dépend directement de la qualité des données injectées. Des profils de candidats obsolètes, des historiques de recrutement biaisés ou des données incomplètes produiront des résultats biaisés — et la responsabilité de cette qualité incombe au déployeur. Ce point s'articule directement avec les obligations RGPD de minimisation et de qualité des données, que la recherche internationale sur les pratiques RH identifie comme l'un des principaux angles morts des équipes talent.
4. Conserver les journaux opérationnels au moins six mois. Vous devez maintenir les journaux du système sous votre contrôle pendant au moins six mois. Ces journaux forment la piste d'audit que les régulateurs demanderont en cas de plainte — ils doivent couvrir les entrées traitées, les sorties générées et les décisions humaines qui ont suivi.
5. Surveiller les résultats discriminatoires. La surveillance continue des biais est une obligation de déployeur, pas un exercice ponctuel. Vous devez disposer d'un mécanisme pour détecter si le système produit des résultats qui défavorisent systématiquement certains groupes — par genre, âge, origine, handicap — et d'un processus d'escalade et de correction.
6. Réaliser une analyse d'impact sur les droits fondamentaux si nécessaire. L'article 27 l'exige sous certaines conditions. Pour les cabinets privés, l'obligation directe sera limitée dans de nombreux cas — mais travailler les questions de l'analyse est une bonne pratique, en particulier si vos clients sont des organismes publics qui pourraient l'exiger.
7. Informer les représentants des travailleurs et les candidats. Lorsque l'IA à risque élevé est utilisée dans des contextes d'emploi, les représentants des travailleurs doivent être informés. En France, cela s'ajoute aux droits de consultation du CSE prévus par le Code du travail pour les outils numériques impactant les conditions de travail. Les candidats dont les dossiers font l'objet d'un traitement IA doivent également en être informés — le RGPD et la CNIL posent déjà ce cadre de transparence pour les données de recrutement.
« L'éditeur a construit le système. Vous décidez contre qui il s'applique. L'article 26 organise cette responsabilité — non par méfiance envers l'IA, mais par respect pour les candidats qu'elle évalue. »
RGPD, CNIL et IA Act : deux cadres, une seule base de données
Le règlement IA complète le RGPD — il ne le remplace pas. Pour les cabinets opérant en France, les deux régimes s'appliquent simultanément, avec des recoupements significatifs qui peuvent simplifier le travail de conformité si on les aborde de façon stratégique.
Le RGPD exige transparence, minimisation des données et base légale documentée pour tout traitement de données personnelles. Le règlement IA exige explicabilité, journaux d'audit et supervision humaine. Ces exigences convergent vers une même prescription : les systèmes IA de recrutement doivent être traçables — pour les candidats, pour les autorités de contrôle, et pour le CSE.
La CNIL a publié des recommandations spécifiques sur l'IA dans les ressources humaines et mène des contrôles sur les pratiques de sourcing par scraping de réseaux professionnels. Une documentation RGPD soigneusement tenue — bases légales, durées de conservation, registre des traitements — constitue également une fondation solide pour la conformité IA Act, à condition d'y intégrer les éléments spécifiques à l'IA (journaux, mécanisme de surveillance, personne responsable). Les cabinets qui gèrent déjà leur infrastructure de données de recrutement de façon rigoureuse ont une longueur d'avance.
Maîtrise de l'IA (article 4) : applicable depuis février 2025
L'article 4 du règlement IA impose aux déployeurs de s'assurer que tous les membres du personnel utilisant des systèmes IA disposent d'une maîtrise suffisante de ces outils. Cette obligation est en vigueur depuis le 2 février 2025 — pour tous les systèmes IA, pas seulement ceux à risque élevé.
Dans un contexte de recrutement, la maîtrise de l'IA ne signifie pas comprendre les mathématiques d'un algorithme de matching. Elle signifie savoir ce que le système optimise, quels types d'erreurs sont probables, comment repérer un résultat anormal — et comment le signaler. Cette compétence doit être intégrée à l'onboarding et mise à jour à chaque évolution du système.
Comment Yena répond aux exigences de l'article 26
Les plateformes conçues avec le recruteur comme chef d'orchestre — et non comme simple observateur — s'alignent naturellement sur ce que l'article 26 requiert. Les outils de sourcing Yena fournissent aux recruteurs non pas une simple liste classée, mais la justification derrière chaque évaluation — parce que l'explicabilité est exactement l'artefact qui rend la supervision humaine effective.
Les journaux de décision dans Yena enregistrent quelles sorties IA ont été acceptées, lesquelles ont été écartées, et pourquoi les décisions humaines ont divergé des recommandations du système. Cela constitue la chaîne d'audit sur six mois que l'article 26 exige — sans effort manuel supplémentaire. L'IA assiste, elle ne décide pas. Cette approche correspond à ce que le recrutement agentique bien conçu devrait toujours être : une amplification du jugement humain, pas son remplacement.
Pour les cabinets qui évaluent leurs outils avant l'échéance de décembre 2027, la question décisive à poser à chaque éditeur est la suivante : « Puis-je démontrer ma propre conformité à l'article 26 en utilisant vos journaux ? » C'est une question différente de « Votre produit est-il conforme ? » — et c'est la deuxième qui intéresse les régulateurs.
« Les cabinets qui utilisent l'IA comme outil de leurs recruteurs — et non comme substitut — vivront les exigences du règlement IA comme une confirmation de leur approche, pas comme une contrainte supplémentaire. »
Sanctions : ce que la non-conformité coûte réellement
L'article 99 du règlement établit un régime de sanctions gradué. Pour les violations des obligations de déployeur — les obligations de l'article 26 couvertes dans ce guide — le plafond est de 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, selon le montant le plus élevé. Pour les violations de pratiques IA interdites, ce plafond monte à 35 millions d'euros ou 7 %.
Pour un cabinet de taille intermédiaire réalisant 10 millions d'euros de chiffre d'affaires, 3 % représente 300 000 euros. Le bilan de répression RGPD en Europe — où des amendes substantielles ont été infligées à des organisations traitant des données personnelles dans des contextes d'emploi sans contrôles adéquats — démontre que les régulateurs sont prêts à agir. Le règlement IA ajoute un second niveau d'exposition aux risques existants au titre du RGPD.
Foire aux questions
Les outils IA de recrutement sont-ils classés à risque élevé par le règlement IA ?
L'annexe III du règlement 2024/1689 liste explicitement les systèmes IA utilisés pour le recrutement, l'évaluation des candidats et les décisions d'embauche parmi les systèmes à risque élevé. Tout cabinet ou service RH qui déploie de tels outils est soumis aux obligations de déployeur de l'article 26.
Quand les obligations de déployeur de l'article 26 entrent-elles en vigueur ?
L'échéance initiale du 2 août 2026 a été repoussée au 2 décembre 2027 dans le cadre de l'accord politique provisoire « Digital Omnibus » (Conseil et Parlement, 7 mai 2026). L'adoption formelle est en attente. Le calendrier a changé, pas la direction.
Quelle est la différence entre fournisseur et déployeur au sens du règlement IA ?
Le fournisseur est l'éditeur logiciel qui développe et met sur le marché le système IA. Le déployeur est le cabinet ou la fonction RH qui l'utilise dans un contexte professionnel. La certification de conformité du fournisseur ne décharge pas le déployeur de ses obligations propres au titre de l'article 26.
Quelles sanctions en cas de non-conformité avec le règlement IA dans le recrutement ?
Les violations des obligations de déployeur peuvent entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (article 99). Les pratiques IA interdites peuvent atteindre 35 millions d'euros ou 7 %.
Le CSE doit-il être informé du recours à l'IA dans le recrutement ?
Oui. L'article 26 du règlement IA impose au déployeur d'informer les représentants des travailleurs de l'utilisation de systèmes IA à risque élevé dans les contextes d'emploi. En France, cela s'ajoute aux obligations de consultation du CSE prévues par le Code du travail pour les outils numériques affectant les conditions de travail.
Le règlement IA n'interdit pas l'IA dans le recrutement. Il exige qu'elle soit utilisée de façon responsable : avec une supervision humaine documentée, des données d'entrée de qualité, des journaux conservés et une communication transparente envers les candidats et les représentants du personnel. Ce n'est pas en contradiction avec une bonne pratique RH — c'en est la description formelle.
Si vous souhaitez voir comment les outils de sourcing Yena intègrent explicabilité et journaux de décision dans la pratique quotidienne, nous serions heureux d'en discuter en 20 minutes avec votre équipe.