IA et recrutement : contrôler les risques avant de filtrer les candidats
Un outil IA qui classe, recommande ou écarte des candidats n’est pas une simple aide administrative. Il peut déplacer la responsabilité vers l’employeur, exposer des données sensibles, créer une discrimination indirecte et produire une décision difficile à expliquer. La bonne question n’est donc pas « peut-on gagner du temps ? », mais « peut-on prouver que la sélection reste juste, documentée et contrôlable ? »
Le risque commence quand l’outil influence l’accès à l’emploi
Le recrutement n’est pas un terrain neutre pour l’intelligence artificielle. Une recommandation de candidat, un score de compatibilité, une priorité d’entretien ou un rejet automatisé influencent l’accès à l’emploi. Même lorsque le recruteur conserve officiellement le dernier mot, l’outil peut orienter l’attention, rendre certains profils invisibles et produire une pression de conformité interne : si le score existe, il finit souvent par peser dans la décision.
L’Annexe III du règlement européen sur l’intelligence artificielle vise les systèmes utilisés dans l’emploi, la gestion des travailleurs et l’accès au travail indépendant, notamment lorsqu’ils servent au recrutement, à la sélection ou à l’évaluation des candidats [1]. Cette qualification change la manière de lire un outil RH : ce n’est pas son interface qui compte, mais sa fonction dans la chaîne de décision.
La distinction est concrète. Un assistant qui reformule une fiche de poste n’a pas le même niveau de risque qu’un module qui classe les CV, extrait automatiquement des critères depuis des parcours professionnels, compare des candidats à un profil idéal ou recommande à qui envoyer une réponse négative. Le premier outil aide à produire un document. Le second agit sur une décision qui peut affecter une personne.
Ces repères ne transforment pas chaque outil RH en dossier juridique lourd. Ils imposent surtout une discipline : ne pas acheter, activer ou intégrer une fonctionnalité IA sans savoir si elle assiste, recommande, classe ou décide. Une PME peut utiliser l’IA dans ses pratiques RH, mais elle doit être capable de montrer où l’humain reprend la main, quels critères sont utilisés, quelles données sont traitées et comment une erreur peut être corrigée.
La qualification dépend de la fonction, pas du nom commercial
Le piège classique consiste à croire l’intitulé de l’éditeur. « Assistant RH », « matching intelligent », « recommandation augmentée » ou « copilote recrutement » ne disent presque rien du risque réel. Un même module peut être anodin s’il aide à organiser des notes, et sensible s’il classe les candidats ou réduit automatiquement la liste à examiner.
La grille utile tient en une question : l’outil modifie-t-il la probabilité qu’une personne soit vue, retenue, évaluée ou rejetée ? Si la réponse est oui, l’usage doit être traité comme un point de gouvernance, même avant d’entrer dans une analyse juridique détaillée. Le cadre européen ne demande pas seulement une étiquette : il demande une compréhension du rôle réel du système dans une décision à effet humain [2].
| Fonction observée | Risque RH | Contrôle attendu |
|---|---|---|
| Aide à rédiger une fiche de poste | Risque éditorial et discriminatoire dans le langage employé. | Relecture humaine, vocabulaire inclusif, validation RH avant publication. |
| Tri ou classement de CV | Influence directe sur l’accès à l’entretien et risque de biais indirect. | Critères documentés, tests de biais, possibilité de revoir les candidats non retenus. |
| Score de compatibilité candidat-poste | Effet d’autorité du score, même si le recruteur décide encore. | Explication des variables, seuils contrôlés, interdiction de score aveugle. |
| Préqualification par chatbot | Collecte de données, exclusion possible, expérience candidat inégale. | Information préalable, limitation des données, canal humain alternatif. |
| Analyse vidéo, voix ou émotions | Risque très élevé de contestation, d’opacité et de discrimination. | Veto de prudence tant que la validité, la proportionnalité et la base légale ne sont pas établies. |
Le bon réflexe n’est pas de demander si l’outil est « conforme ». C’est de demander quelle décision il influence, à quel moment, avec quelles données et avec quelle possibilité de correction humaine.
Cette lecture évite deux erreurs. La première consiste à surclasser tous les outils et à bloquer toute expérimentation. La seconde consiste à banaliser une fonctionnalité parce qu’elle est vendue comme un gain de productivité. Dans le recrutement, un simple classement peut devenir une décision par défaut si personne ne relit les profils écartés.
Les obligations employeur se préparent avant le déploiement
Pour un dirigeant ou une DRH, le sujet n’est pas seulement de savoir si l’éditeur promet d’être conforme. L’employeur qui utilise l’outil doit comprendre ce qu’il déploie, comment il l’intègre dans son processus et ce qu’il conserve comme preuve. La synthèse française publiée sur Service-public.fr donne une première lecture des obligations de l’AI Act pour les entreprises, mais elle ne remplace pas un dossier d’usage propre à l’organisation [4].
Un système de recrutement IA ne doit pas être branché comme une extension technique. Il faut définir le périmètre exact, identifier les données candidates, contrôler les critères utilisés, former les personnes qui reçoivent les recommandations et documenter les cas où l’humain peut s’écarter de l’outil. Sans cette discipline, l’entreprise conserve le risque sans conserver la maîtrise.
Nommer précisément la fonctionnalité : rédaction, extraction, classement, scoring, recommandation, rejet ou reporting.
Désigner qui valide l’usage, qui le surveille et qui peut le suspendre en cas de doute.
Documenter les données collectées, les données inférées, les durées de conservation et les transferts éventuels.
Définir ce que le recruteur vérifie concrètement, et pas seulement écrire qu’un humain reste « dans la boucle ».
Si plusieurs outils RH IA sont déjà utilisés, le point de départ raisonnable est une cartographie courte : usages, données, décisions influencées, preuves disponibles et manques critiques.
Cadrer les usages RH IARGPD et non-discrimination restent les garde-fous immédiats
L’AI Act ne remplace pas le RGPD. Avant même de discuter de classification européenne, un recruteur traite des données personnelles, parfois très sensibles par leurs effets, même lorsqu’elles ne sont pas explicitement qualifiées de sensibles. La CNIL rappelle les exigences de finalité, d’information, de proportionnalité, de durée de conservation, de sécurité et de droits des personnes dans le recrutement [5] [6].
L’article 22 du RGPD encadre les décisions individuelles automatisées produisant un effet juridique ou un effet significatif similaire [7]. Les lignes directrices européennes sur le profilage et les décisions automatisées renforcent l’exigence d’explication, de recours et d’intervention humaine réelle [8].
Le risque de discrimination est plus difficile à voir que le risque de confidentialité. Un modèle peut ne jamais utiliser le sexe, l’âge ou l’origine, mais favoriser indirectement certains parcours, certains mots, certaines écoles, certains trous de CV, certaines zones géographiques ou certains formats de candidature. C’est précisément là que l’IA pose un problème de direction : elle peut transformer des habitudes historiques en règle automatique.
Discrimination directe
L’outil utilise ou reproduit un critère interdit, explicitement ou par un champ trop proche. Le risque est visible si les données, les variables et les règles de scoring sont inspectables.
Discrimination indirecte
L’outil applique une règle apparemment neutre qui défavorise un groupe. Le risque apparaît dans les résultats, pas toujours dans les variables prises une par une. C’est le cas le plus difficile à piloter.
Le Défenseur des droits rappelle que la lutte contre les discriminations couvre l’accès à l’emploi et les pratiques de sélection [10]. Le cas Amazon, rapporté par Reuters, montre qu’un outil de recrutement peut être abandonné lorsqu’il reproduit un biais défavorable aux femmes [11]. L’intérêt de ce cas n’est pas de dramatiser. Il rappelle qu’un système peut échouer tout en paraissant rationnel.
Le dialogue social ne doit pas découvrir l’outil après coup
Un outil IA de recrutement peut aussi toucher les salariés : recruteurs, managers, équipes RH, personnes chargées de valider les décisions, représentants du personnel. Lorsqu’une technologie modifie les méthodes d’évaluation, d’organisation ou de contrôle, l’information-consultation du CSE peut devenir un sujet à traiter avant la mise en production [9].
Le mauvais scénario est connu : l’outil est acheté par une direction métier, activé dans un ATS, testé sur quelques recrutements, puis seulement présenté comme une amélioration interne. À ce stade, les questions légitimes arrivent tard : quels critères ? quelles données ? quelle supervision ? quel recours ? quel impact sur le travail des recruteurs ? La réponse devient défensive alors qu’elle aurait dû être structurée dès le départ.
Montrer ce que l’outil modifie dans le travail réel : tri, temps de revue, ordre de priorité, justification ou reporting.
Identifier les effets sur les candidats, les recruteurs, les managers et les représentants du personnel.
Documenter données, critères, supervision, recours, journalisation, limites et conditions de suspension.
Le vrai livrable est un dossier de preuves, pas une charte IA
Une charte générale ne suffit pas. Ce qui protège l’entreprise, c’est un dossier d’usage capable de relier l’outil, la décision, les données, les risques, les contrôles et les personnes responsables. Le NIST AI Risk Management Framework propose un vocabulaire utile pour organiser cette logique : gouverner, cartographier, mesurer et gérer les risques IA [12].
Dans le recrutement, cette logique devient très opérationnelle. Il faut pouvoir répondre à une contestation candidat, à une question du DPO, à une revue CSE, à une demande de direction ou à un changement d’éditeur. Le dossier ne doit pas être long pour être utile. Il doit surtout être vérifiable.
ATS, sourcing, chatbot, scoring, entretien vidéo, matching, enrichissement de profil et fonctionnalités IA masquées chez les éditeurs.
Étapes où l’outil influence la visibilité, la priorité, l’évaluation, l’entretien, le rejet ou la décision finale.
Données candidates, données inférées, logs, conservation, sous-traitants, transferts et accès internes.
Ce que l’humain vérifie, quand il peut contredire l’outil, comment il justifie l’écart et qui relit les cas sensibles.
Contrôle de cohérence sur profils comparables, analyse des rejets, revue des variables et surveillance dans le temps.
Conditions de suspension, retour au processus humain, contact éditeur, information interne et reprise des dossiers.
Ce dossier est aussi un outil de décision. Il permet de distinguer les usages acceptables, les usages à encadrer et les usages à refuser. Par exemple, l’aide à la rédaction d’une annonce peut être autorisée avec relecture. Le scoring automatique peut être limité à une aide non décisive. L’analyse émotionnelle d’un entretien vidéo peut être refusée si l’entreprise ne peut pas démontrer sa proportionnalité, sa fiabilité et son absence d’effet discriminatoire.
La maturité RH IA ne se mesure pas au nombre d’outils activés. Elle se mesure à la capacité de dire : voici les décisions que l’IA influence, voici les preuves disponibles, voici les limites, voici la personne qui peut arrêter le système.
Le pilotage doit rester simple, mais non négociable
Un cadre de recrutement IA réussi n’a pas besoin de ressembler à un programme de conformité interminable. Il doit permettre aux RH de travailler, aux managers de comprendre, au DPO de relire, au CSE de poser les bonnes questions et à la direction de décider ce qui est acceptable. La simplicité n’est pas l’absence de contrôle. C’est la capacité à rendre le contrôle utilisable.
La méthode la plus robuste consiste à classer chaque usage en trois statuts : autorisé avec règles simples, limité avec validation renforcée, refusé tant que les preuves manquent. Ce classement doit être revu lorsque l’éditeur change son modèle, ajoute une fonctionnalité ou modifie la manière de traiter les données. L’IA dans le recrutement n’est pas un achat figé. C’est un système vivant qui peut changer sans que le processus RH ait l’air d’avoir changé.
Ce cadrage aide à identifier les questions, les risques et les preuves à réunir. Il ne remplace pas l’analyse d’un avocat, du DPO, du RSSI ou des instances sociales lorsque leurs champs sont concernés.
La décision utile tient dans trois colonnes : autoriser, limiter, refuser
Une entreprise n’a pas besoin de transformer chaque usage RH IA en dossier complexe. Elle a besoin d’une règle d’arbitrage compréhensible par la direction, les RH, les managers et les équipes informatiques. Cette règle peut être simple : ce qui aide à produire ou organiser l’information peut être autorisé avec relecture ; ce qui influence la sélection doit être limité avec preuves ; ce qui mesure une personne de manière opaque doit être refusé tant que la fiabilité, la proportionnalité et le recours ne sont pas démontrés.
Cette matrice évite deux réactions symétriques. Le blocage total pousse les équipes à utiliser des outils non déclarés. L’autorisation générale déplace le risque dans les pratiques quotidiennes. Entre les deux, l’entreprise peut créer une zone de travail claire : certains usages sont acceptés, certains nécessitent une validation renforcée, certains restent hors périmètre.
| Statut | Exemples d’usage | Condition de maîtrise |
|---|---|---|
| Autoriser | Reformuler une annonce, structurer une grille d’entretien, résumer des notes internes non sensibles. | Relecture humaine, consigne écrite, absence de décision candidat automatisée. |
| Limiter | Prioriser des CV, proposer une liste courte, signaler des écarts entre profil et poste. | Critères documentés, revue des profils écartés, test de biais, possibilité de désactiver le score. |
| Encadrer fortement | Préqualification par chatbot, analyse automatique de réponses, matching entre candidats et vivier interne. | Information candidat, registre de données, supervision nommée, canal humain de recours. |
| Refuser | Analyse émotionnelle, notation de personnalité opaque, rejet automatique sans contrôle humain. | Refus par défaut tant que la validité, la proportionnalité et l’absence d’effet discriminatoire ne sont pas démontrées. |
Cette grille doit être appliquée au niveau de la fonctionnalité, pas au niveau du logiciel. Un ATS peut contenir une fonction acceptable et une fonction à refuser. Un outil de sourcing peut être utilisé pour repérer des profils sans décider, ou devenir risqué s’il exclut automatiquement des candidats. Le contrat fournisseur, les paramètres activés et les pratiques internes comptent autant que la marque du produit.
Le point de vigilance le plus important concerne les usages invisibles. Un manager qui colle des CV dans un outil généraliste, un recruteur qui demande une synthèse à un assistant IA, une équipe qui teste un module bêta fourni par l’éditeur : ces pratiques peuvent contourner le cadre officiel sans intention de mal faire. C’est pourquoi la gouvernance doit rester praticable. Si la règle est trop lourde, elle sera contournée. Si elle est trop vague, elle ne servira à rien.
Le bon niveau de contrôle est celui qui permet d’utiliser l’IA sans transformer la sélection en boîte noire. Dès qu’un candidat peut perdre une chance d’être vu, l’usage doit quitter le registre de la productivité et entrer dans le registre de la preuve.
Questions fréquentes
Un ATS avec scoring est-il concerné par l’AI Act ?
Oui, si le système utilise l’IA pour classer, filtrer, scorer ou recommander des candidats dans un contexte d’emploi. La qualification ne dépend pas du vocabulaire commercial de l’éditeur. Elle dépend de la fonction réelle, des données utilisées, du niveau d’influence sur la sélection et de la supervision humaine effectivement possible.
L’IA peut-elle rejeter automatiquement une candidature ?
Un rejet entièrement automatique expose l’employeur à un risque élevé. Le RGPD encadre les décisions individuelles automatisées produisant un effet juridique ou significatif, et le droit de la non-discrimination impose de pouvoir expliquer et contrôler les critères. L’IA peut préparer une analyse, mais la décision doit rester humaine, traçable et contestable.
Le CSE doit-il être consulté ?
Lorsque l’outil modifie l’évaluation, le contrôle, l’organisation ou les conditions de travail, le sujet peut relever de l’information-consultation. Le bon réflexe consiste à le traiter avant le déploiement, avec une note claire sur les finalités, les effets attendus, les garanties humaines et les données traitées.
Que demander à l’éditeur d’un outil RH IA ?
Il faut demander la finalité exacte, les données utilisées, les critères de recommandation, les limites connues, les tests de biais, les logs, les modalités d’explication, les options de désactivation, la documentation AI Act et les garanties RGPD. Une promesse marketing ne suffit pas à qualifier un système.
Comment éviter les biais dans le recrutement IA ?
Il faut limiter les données utilisées, retirer les variables non pertinentes, tester les effets indirects, relire les critères avec les RH, le DPO et les personnes compétentes, puis surveiller les résultats dans le temps. Un audit IA permet de rendre ces contrôles visibles avant que l’outil influence réellement les candidatures.
Par où commencer dans une PME ?
Le plus utile est d’inventorier les outils RH, d’identifier les fonctions IA actives, de classer les usages par niveau d’influence sur les candidats, puis de documenter les points de contrôle. Une conférence AI Act pour dirigeants peut ensuite aligner direction, RH et managers avant d’entrer dans les arbitrages détaillés.
Sources et références
- [1]EUR-Lex — Règlement (UE) 2024/1689 — texte officiel de l’AI Act, incluant l’Annexe III, les obligations des systèmes à haut risque et le régime de sanctions.
- [2]Commission européenne — AI Act — page officielle de synthèse sur le cadre réglementaire européen de l’intelligence artificielle.
- [3]Commission européenne — Guidelines on high-risk AI systems — orientations publiées en mai 2026 sur la classification des systèmes à haut risque et le calendrier d’application.
- [4]Service-public.fr — AI Act : quels changements pour les entreprises ? — synthèse française des principales obligations applicables aux organisations.
- [5]CNIL — Le guide du recrutement — référentiel en 19 fiches sur les traitements de données personnelles dans le recrutement.
- [6]CNIL — Guide recrutement PDF — guide complet sur les données candidats, durées de conservation, information et droits.
- [7]EUR-Lex — RGPD, article 22 — règle européenne sur la décision individuelle automatisée et le profilage.
- [8]EDPB — Lignes directrices sur les décisions automatisées — lignes directrices européennes sur le profilage et les décisions automatisées.
- [9]Légifrance — Code du travail, information-consultation du CSE — cadre légal français de l’information-consultation sur les technologies affectant les salariés.
- [10]Défenseur des droits — Discriminations et emploi — ressources institutionnelles sur la prévention des discriminations dans l’accès à l’emploi.
- [11]Reuters — Amazon scraps secret AI recruiting tool — cas documenté d’un outil de recrutement abandonné après détection de biais défavorables aux femmes.
- [12]NIST — AI Risk Management Framework 1.0 — cadre de management des risques IA, utile pour structurer gouvernance, mesure, supervision humaine et documentation.
Ce sujet concerne votre organisation ? Un premier échange de 15 minutes permet d’évaluer la situation et de décider de la suite.
Échanger avec Raphaël UhlrichSans engagement · 15 min · Strasbourg ou visio
