IA Act et ressources humaines : ce que le règlement européen change pour les employeurs et les RH

21/05/2026 - Article par Ninon MAIRE

Le règlement européen sur l'intelligence artificielle — l'IA Act — ne concerne pas que les géants de la tech. Il s'invite directement dans les services RH, les logiciels de recrutement et les outils de gestion des salariés. Et ses implications sont bien plus concrètes qu'on ne le croit.

Voici ce que tout DRH, juriste RH ou éditeur de solutions RH doit savoir.

Pourquoi les ressources humaines sont directement visées par l'IA Act

L'IA Act classe les systèmes d'IA en quatre niveaux de risque : risque minimal, risque limité, risque élevé et risque inacceptable. C'est la catégorie haut risque qui concentre l'essentiel des obligations — et les RH en font explicitement partie.

L'annexe III du règlement, qui liste les domaines à haut risque, mentionne au point 4 :

"les systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats"

Mais ce n'est pas tout. Sont également visés les systèmes qui interviennent dans les décisions sur la relation de travail — promotion, résiliation, attribution de missions — ainsi que ceux qui servent à surveiller et évaluer la performance des salariés.

→ En clair : si un algorithme participe à une décision qui touche à l'emploi d'une personne, il est probablement soumis aux obligations de l'IA Act.

Quels outils RH sont concernés concrètement ?

Pour rendre les choses plus tangibles, voici comment se répartissent les cas d'usage courants.

Les systèmes à haut risque

La grande majorité des outils d'IA RH avancés tombe dans cette catégorie :

• Les ATS (Applicant Tracking Systems) avec scoring de candidats : dès qu'un algorithme classe, filtre ou attribue une note à un CV, il entre dans le champ du haut risque.
• Les outils d'analyse d'entretiens vidéo : des solutions comme HireVue, qui analysent le ton de la voix, le rythme de parole ou les expressions faciales pour évaluer un candidat, sont directement dans le viseur.
• Les tests psychométriques automatisés : lorsqu'un algorithme interprète les résultats et produit un scoring utilisé pour filtrer des candidats.
• Les outils de performance management : systèmes de notation automatique, dashboards RH qui génèrent des recommandations sur les augmentations ou les plans de développement.
• La planification algorithmique des équipes : les outils de workforce management qui attribuent automatiquement des missions ou des créneaux horaires.

Les pratiques carrément interdites

L'article 5 de l'IA Act liste huit pratiques d'IA totalement bannies en Europe. Deux d'entre elles concernent directement les RH :

• La reconnaissance d'émotions en milieu professionnel est explicitement interdite. Un employeur ne peut pas utiliser un système d'IA pour détecter les émotions de ses salariés ou de ses candidats — qu'il s'agisse d'analyser leurs expressions faciales lors d'un entretien vidéo, leur voix lors d'un appel ou leur comportement en open space.
• Le scoring social appliqué à des individus dans un contexte professionnel est également prohibé.

Les outils soumis aux obligations de transparence

Les chatbots RH — assistants d'onboarding, FAQ automatisées, agents de réponse aux candidats — ne sont pas dans la catégorie haut risque, mais restent soumis aux obligations de transparence de l'article 50. Les utilisateurs doivent savoir qu'ils interagissent avec une IA.

Fournisseur ou déployeur : qui est responsable de quoi ?

L'IA Act distingue deux rôles clés dans la chaîne de valeur, avec des obligations très différentes.

Les éditeurs de logiciels RH sont des fournisseurs

Workday, SAP SuccessFactors, Lucca, Flatchr, Eightfold, Paradox — tous les éditeurs qui développent et commercialisent des outils d'IA RH sont considérés comme fournisseurs au sens de l'IA Act. Leurs obligations sont lourdes :

• Mettre en place un système de gestion des risques tout au long du cycle de vie du produit
• Garantir une gouvernance rigoureuse des données d'entraînement pour éviter les biais discriminatoires
• Produire une documentation technique complète
• Assurer une journalisation automatique des décisions de l'IA
• Passer une évaluation de conformité et obtenir le marquage CE
• S'enregistrer dans la base de données européenne des systèmes IA à haut risque

Les employeurs qui utilisent ces outils sont des déployeurs

Une entreprise qui intègre un ATS IA dans son processus de recrutement est un déployeur. Ses obligations sont plus légères, mais bien réelles :

• Vérifier la conformité du fournisseur avant tout déploiement (déclaration de conformité, marquage CE)
• Informer les travailleurs qu'un système d'IA intervient dans les décisions les concernant
• Maintenir une supervision humaine effective : un humain doit pouvoir comprendre, contester et si nécessaire corriger les décisions de l'IA
• Conserver les journaux d'utilisation pour assurer la traçabilité
• Ne pas utiliser l'outil à des fins non prévues par le fournisseur

Point d'attention pour les juristes : une entreprise qui paramètre intensément un outil RH — en définissant elle-même les critères de scoring, les seuils d'élimination, les variables prises en compte — peut basculer du statut de déployeur à celui de fournisseur, avec toutes les obligations que cela implique.

L'obligation oubliée : la littératie IA (article 4)

Entrée en vigueur dès février 2025, cette obligation est souvent absente des radars — pourtant elle s'applique à toutes les entreprises, sans seuil de taille.

L'article 4 de l'IA Act impose à chaque employeur de s'assurer que les personnes qui utilisent ou supervisent des systèmes d'IA disposent d'un niveau de compétence suffisant pour comprendre ce qu'elles manipulent.

Concrètement, pour les RH, cela signifie :

• Former les recruteurs qui utilisent un ATS avec scoring automatique à comprendre comment l'algorithme fonctionne, quelles sont ses limites et comment interpréter ses résultats
• Sensibiliser les managers qui reçoivent des recommandations algorithmiques sur la performance de leurs équipes
• Documenter ces formations pour pouvoir en apporter la preuve en cas de contrôle

C'est une obligation simple à mettre en œuvre, mais qui nécessite d'être anticipée.

IA Act, RGPD et droit du travail : le triptyque à maîtriser

L'IA Act ne s'applique pas dans le vide. En matière RH, il se superpose à deux corps de règles déjà existants, ce qui crée des zones de friction et d'obligation cumulative.

L'articulation avec le RGPD

L'article 22 du RGPD interdit déjà les décisions entièrement automatisées produisant des effets juridiques ou affectant significativement une personne — sauf exceptions encadrées. Un système IA RH haut risque doit être conforme aux deux textes simultanément.

En pratique, cela implique de croiser l'analyse de conformité IA Act avec celle du RGPD : bases légales, durées de conservation, droits des personnes (accès, rectification, opposition), et le cas échéant réalisation d'une AIPD (analyse d'impact relative à la protection des données).

L'articulation avec le droit du travail français

En France, l'introduction d'un outil numérique de surveillance ou d'aide à la décision peut déclencher une obligation de consultation du CSE (Comité Social et Économique), en application de l'article L. 2312-8 du Code du travail. L'IA Act ne traite pas de ce point — mais un employeur qui déploie un outil IA RH haut risque sans consultation sociale s'expose doublement.

Par ailleurs, la combinaison du RGPD et de l'IA Act renforce significativement le droit à l'explication des candidats et salariés. Tout individu affecté par une décision algorithmique — un refus de candidature, une décision d'évolution salariale — peut légitimement demander des explications. Les équipes RH doivent être en mesure de répondre de manière intelligible.

Le calendrier à ne pas manquer pour les acteurs RH

L'IA Act entre en vigueur progressivement. Voici les jalons clés pour les acteurs du secteur RH :

• Février 2025 — déjà en vigueur L'obligation de littératie IA (article 4) s'applique à tous les employeurs. C'est maintenant.
• Août 2025 Les interdictions de l'article 5 entrent en application, dont l'interdiction de la reconnaissance d'émotions en milieu professionnel. Tout outil d'analyse émotionnelle des candidats ou salariés doit être retiré ou reconfigurer.
• Août 2026 Les obligations complètes pour les systèmes à haut risque s'appliquent. C'est la grande échéance pour les éditeurs RH et pour les entreprises qui les déploient.
• Août 2027 Les systèmes à haut risque déjà sur le marché avant août 2026 ont jusqu'à cette date pour se mettre en conformité.

Ce que les DRH doivent faire dès maintenant

Sans attendre 2026, plusieurs actions concrètes s'imposent :

1. Cartographier les outils IA utilisés en RH : recrutement, performance, planification, monitoring — identifier ce qui relève du haut risque
2. Auditer les contrats avec les éditeurs : sont-ils en mesure de fournir une déclaration de conformité ? Proposent-ils une documentation technique ?
3. Lancer un programme de formation à la littératie IA pour les équipes RH et les managers utilisateurs
4. Vérifier la compatibilité RGPD des traitements associés à ces outils
5. Anticiper la consultation du CSE si ce n'est pas encore fait
6. Éliminer tout outil de reconnaissance d'émotions avant août 2025

En résumé

L'IA Act transforme en profondeur le cadre juridique applicable aux outils RH. Le recrutement algorithmique, la gestion de la performance et la surveillance des salariés entrent dans la catégorie des systèmes à haut risque, avec des obligations substantielles pour les éditeurs comme pour les employeurs. Certaines pratiques — notamment la détection d'émotions — sont purement et simplement interdites.

Les premières échéances sont déjà là. Les DRH et les juristes qui anticipent cette transition dès maintenant se donnent le temps de construire une conformité solide, plutôt que de courir après le calendrier réglementaire.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus