Si votre entreprise utilise l'IA pour présélectionner, classer ou mettre en relation des candidats, l'UE considère désormais ces outils comme des systèmes à haut risque. Voici ce qui a changé, ce que cela implique pour votre modèle opérationnel et les mesures que vous devriez prendre en conséquence.
Résumé :
- La loi européenne sur l'IA s'applique aux systèmes d'IA utilisés dans le cadre de décisions en matière d'emploi, notamment le recrutement, la sélection, les offres d'emploi ciblées, l'évaluation des candidats, le suivi des performances, ainsi que certaines décisions relatives à la conformité, aux conditions contractuelles ou à la résiliation.
- Tant les fournisseurs que les exploitants de ces systèmes d'IA sont soumis aux obligations prévues par la loi.
- Ces obligations comprennent notamment les évaluations obligatoires des risques, la documentation technique, les tests de biais, la supervision humaine, la publication d'informations en matière de transparence et la surveillance continue.
- La loi sur l'IA pourrait s'appliquer aux exploitants même s'ils ne sont pas établis dans l'Union européenne.
- La date à laquelle les agences de travail temporaire doivent se conformer à la loi est le 2 août 2026.
- La loi confère aux autorités nationales le pouvoir d'infliger des amendes, ainsi que d'autres pouvoirs d'exécution, tels que celui de retirer ou de rappeler des systèmes d'IA du marché.
- Certains systèmes d'IA déployés dans le cadre professionnel, mais pas tous, peuvent être exemptés des obligations prévues par la loi.
Le RGPD vous a obligé à repenser votre manière de traiter les données à caractère personnel. La loi européenne sur l'IA vous oblige à repenser votre utilisation des outils qui les traitent.
En vertu de la loi européenne sur l'IA (règlement 2024/1689), les systèmes d'IA utilisés dans le cadre de décisions en matière d'emploi relèvent de la catégorie à haut risque. Cela couvre le recrutement, la sélection, les offres d'emploi ciblées, l'évaluation des candidats, le suivi des performances, ainsi que certaines décisions concernant la conformité, les conditions contractuelles ou la résiliation. À compter du 2 août 2026, chacun de ces outils devra faire l'objet d'évaluations obligatoires des risques, d'une documentation technique, de tests de détection des biais, d'une supervision humaine, de la publication d'informations sur la transparence et d'un suivi continu.
Pour les agences de recrutement, les employeurs de référence (EOR) et les plateformes de gestion de main-d'œuvre, qui jouent un rôle d'intermédiaire entre les employeurs, les technologies et les travailleurs, les obligations sont plus contraignantes que pour le service RH d'une seule entreprise. Et peu importe que vous ayez développé la technologie ou non. Si votre entreprise l'utilise, la conformité relève de votre responsabilité, même si le fournisseur de la plateforme affirme le contraire.
Pourquoi la chaîne d'approvisionnement en personnel complique les choses
La plupart des analyses consacrées aux dispositions de la loi sur l'IA relatives à l'emploi s'adressent aux services RH internes des entreprises individuelles. Elles ne tiennent pas compte de la réalité à laquelle sont confrontées les agences de recrutement.
Prenons l'exemple d'une chaîne logistique classique dans le domaine du recrutement. Une plateforme de gestion des fournisseurs (VMS) utilise des algorithmes de mise en correspondance pour identifier des candidats. Un prestataire de services d’externalisation du processus de recrutement (RPO) effectue une présélection alimentée par l’IA parmi des milliers de candidats. Une agence de recrutement utilise un chatbot pour la présélection. Un prestataire de services d’emploi externe (EOR) utilise l’IA pour gérer l’intégration, la conformité, la résiliation et les performances dans plusieurs juridictions. À chaque étape, les systèmes d’IA prennent ou influencent des décisions concernant les moyens de subsistance des personnes, et les obligations de la loi pour les utilisateurs ne font pas de distinction entre les entités de la chaîne en fonction de qui détient la technologie.
En vertu de l'article 3 de la loi, un « exploitant » désigne toute personne physique ou morale utilisant un système d'IA sous son autorité. Si votre agence de recrutement sélectionne, configure ou s'appuie sur un outil d'IA pour prendre des décisions relatives à ses effectifs, vous êtes considéré comme un exploitant, même si vous n'avez pas développé cette technologie et même si le fournisseur de la plateforme vous affirme que la conformité relève de sa responsabilité. La loi impose des obligations tant aux fournisseurs (les prestataires qui développent les systèmes) qu'aux déployeurs (les entreprises qui les utilisent). Vous ne pouvez pas transférer vos obligations de conformité à un partenaire technologique, pas plus que vous ne le pouvez en vertu du RGPD.
Portée extraterritoriale
La loi a une portée extraterritoriale. Si les résultats de votre système d'IA sont utilisés dans l'UE ou ont une incidence sur des personnes situées dans l'Union (un candidat sélectionné pour un poste à Berlin, un prestataire évalué à Dublin, un intérimaire affecté à une mission à Amsterdam), le règlement s'applique, quel que soit le lieu où se trouve le siège de votre entreprise ou l'endroit où la technologie est hébergée.
La supervision humaine n'est pas facultative
Tout système d'IA à haut risque doit être utilisé de manière à permettre un contrôle humain efficace. Aucun outil d'IA ne devrait prendre de décision finale en matière de placement, de rejet ou d'évaluation sans l'intervention d'un humain qualifié. Vos recruteurs et vos chargés de clientèle doivent comprendre le fonctionnement du système, connaître ses limites et savoir quand passer outre ses résultats. L'article 14 exige que les personnes chargées du contrôle détectent et corrigent les erreurs, y compris les schémas discriminatoires. Un simple document de politique ne suffit pas à satisfaire cette exigence.
Les candidats et les travailleurs doivent en être informés
Avant de déployer un système d'IA à haut risque, l'article 26, paragraphe 7, vous oblige à en informer les représentants des travailleurs et les travailleurs concernés. Dans le domaine du recrutement, cela s'étend aux candidats et aux travailleurs intérimaires. Ils ont le droit de savoir qu'une IA est utilisée, comment elle fonctionne et quel rôle elle joue dans les décisions qui les concernent. En vertu de l'article 86, les personnes faisant l'objet de décisions prises par des systèmes d'IA à haut risque peuvent demander une explication des principaux facteurs à l'origine de ces décisions. Pour les recrutements à grande échelle, votre processus de divulgation doit être opérationnel et visible, et non noyé dans un document de conditions d'utilisation.
La qualité des données et la surveillance des biais méritent une attention particulière
Si vous contrôlez les données d'entrée fournies à des systèmes d'IA à haut risque, vous devez vous assurer que ces données sont pertinentes et représentatives. Les agences de recrutement, dont les viviers de candidats sont souvent biaisés par des facteurs géographiques, linguistiques ou par des effets de réseau existants, sont confrontées à une version particulièrement stricte de cette obligation. Vous devez savoir sur quelles données vos outils d'IA sont entraînés, comment ils traitent les caractéristiques protégées et s'ils produisent des résultats équitables pour l'ensemble des groupes démographiques.
Les journaux et la documentation constituent une exigence en matière d'infrastructure
Les responsables du déploiement doivent conserver les journaux générés par les systèmes d'IA à haut risque pendant au moins six mois. Conjuguée à l'obligation de surveiller en permanence les performances du système, cette exigence engendre un besoin en infrastructure opérationnelle que de nombreuses agences de recrutement n'ont pas encore pris en compte.
Chronologie
Consultez le calendrier complet de mise en œuvre de la loi européenne sur l'IA
La loi est entrée en vigueur le 1er août 2024. Certaines dispositions s'appliquent déjà. Depuis février 2025, certaines pratiques en matière d'IA sont interdites, notamment la catégorisation biométrique et la reconnaissance des émotions sur le lieu de travail (à l'exception de certains cas d'utilisation). Par ailleurs, les obligations en matière de culture numérique dans le domaine de l'IA sont entrées en vigueur.
La date clé pour les agences de recrutement est le 2 août 2026, date à laquelle l'ensemble des obligations applicables aux systèmes à haut risque entrera en vigueur pour les systèmes visés à l'annexe III, y compris toutes les IA liées à l'emploi.
Selon certains observateurs du secteur, le paquet «Omnibus numérique» de la Commission européenne, proposé en novembre 2025, repousserait cette échéance. Mais il s'agit d'une proposition, et non d'une loi en vigueur. Elle doit encore être approuvée par le Parlement et le Conseil.
Le régime des sanctions
Le dispositif d'application de la loi repose sur un modèle à plusieurs niveaux. Les exploitants qui ne respectent pas leurs obligations relatives aux systèmes à haut risque s'exposent à des amendes pouvant atteindre 15 millions d'euros ou 3 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En cas de recours à des pratiques interdites en matière d'IA, le plafond passe à 35 millions d'euros ou 7 % du chiffre d'affaires. Pour la communication d'informations inexactes ou trompeuses aux autorités de régulation, les amendes peuvent atteindre 7,5 millions d'euros ou 1 %.
Ce sont les autorités nationales de surveillance du marché, et non un organisme de régulation unique à l'échelle de l'UE, qui sont chargées de faire respecter la réglementation relative aux systèmes d'IA. En janvier 2026, la Finlande est devenue le premier État membre à conférer des pouvoirs d'exécution à son autorité de surveillance du marché en vertu de l'article 99 de la loi sur l'IA, rendant ainsi ces pouvoirs pleinement opérationnels. D'autres États membres lui emboîtent le pas. Ce modèle décentralisé implique que les priorités en matière d'application de la réglementation et les approches interprétatives peuvent varier d'un État membre à l'autre. Pour les opérations de recrutement multi-pays, cette variation pose des défis en matière de planification et, pour ceux qui s'engagent tôt auprès des régulateurs nationaux, offre des avantages potentiels.
Cependant, il n’est souvent pas judicieux de se focaliser uniquement sur l’amende. Les autorités de régulation ont également le pouvoir de retirer du marché ou de rappeler les systèmes d’IA non conformes. Pour une agence de recrutement dont le modèle opérationnel repose sur des processus de mise en relation et de sélection assistés par la technologie, c’est là le risque le plus lourd de conséquences sur le plan commercial : le retrait d’un outil essentiel en cours de contrat, entraînant une perturbation immédiate des activités.
Certains de vos outils pourraient être exemptés. Mais la plupart ne le sont probablement pas.
La loi contient une disposition —l'article 6, paragraphe 3 — qui est très peu mentionnée dans les analyses du secteur, et que les agences de recrutement devraient connaître. Elle énonce quatre conditions dans lesquelles un système d'IA utilisé dans un contexte professionnel peut ne pas être classé comme présentant un risque élevé, même s'il est utilisé dans un domaine à haut risque.
Le système effectue une tâche procédurale spécifique, comme le classement des documents entrants par catégorie ou le signalement des doublons dans un lot de demandes. Il peut également améliorer le résultat d’une tâche déjà réalisée par un humain, par exemple en peaufinant la formulation d’un projet de contrat. Il peut aussi détecter des tendances dans les décisions humaines antérieures, par exemple en signalant des incohérences dans les évaluations de performance passées d’un responsable. Ou encore, il effectue une tâche purement préparatoire : indexer, rechercher ou traduire des documents sources avant qu’un humain ne prenne une décision.
Toutefois, l'article 6, paragraphe 3, lu conjointement avec le considérant 53, précise explicitement qu'aucune de ces exemptions ne s'applique si le système d'IA implique un profilage au sens de l'article 4, paragraphe 4, du RGPD. On entend par «profilage» tout traitement automatisé de données à caractère personnel qui évalue des aspects de la personnalité d'une personne physique, y compris l'analyse ou la prévision des performances professionnelles, de la fiabilité, du comportement ou de la localisation.
La plupart des outils de mise en correspondance des candidats, des algorithmes de classement et des systèmes d'affectation du personnel fonctionnent exactement de cette manière. Ils exploitent des données personnelles, appliquent une logique automatisée et génèrent des prévisions quant à l'adéquation ou à la compatibilité. Il s'agit là de profilage, ce qui rend l'exemption inapplicable dans ces cas-là.
En pratique : lorsque vous effectuez votre inventaire des systèmes d'IA et commencez à les classer, vous pourriez vous référer aux exemptions prévues à l'article 6, paragraphe 3, et en conclure que plusieurs de vos outils ne relèvent pas de son champ d'application. Pour les outils qui gèrent des tâches procédurales ou préparatoires, cela peut être exact. En revanche, pour tout ce qui consiste à mettre en correspondance, classer, évaluer ou affecter des travailleurs en fonction de caractéristiques personnelles, ce n'est très certainement pas le cas.
Il s'agit d'une question de compétitivité, et pas seulement d'une question de conformité
La meilleure façon d'envisager la loi européenne sur l'IA est de la considérer comme un événement qui va redéfinir le marché et permettre de distinguer les agences de recrutement ayant atteint une maturité opérationnelle de celles qui s'appuient sur des technologies non validées.
Les entreprises clientes présentes dans l'Union européenne, en particulier dans les secteurs réglementés, intègrent déjà la gouvernance de l'IA dans leurs critères de sélection des fournisseurs. Les agences de recrutement capables de démontrer qu'elles appliquent des pratiques conformes en matière d'IA, des processus de sélection transparents et des cadres de contrôle documentés bénéficieront d'un avantage certain lors des appels d'offres et des négociations avec les fournisseurs privilégiés.
On observe ici aussi une tendance plus générale. La loi européenne sur l'IA est la première réglementation majeure de ce type, mais elle ne sera pas la dernière. Des cadres similaires prennent forme au Royaume-Uni, au Canada, en Corée du Sud, au Brésil, à Taïwan et au niveau des États aux États-Unis. Investir dès maintenant dans l'infrastructure de gouvernance de l'IA permet de développer des capacités transférables d'une juridiction à l'autre. Les entreprises qui considèrent la conformité comme un projet ponctuel apportent une solution pour aujourd'hui. Celles qui intègrent la gouvernance dans leur modèle opérationnel apportent une solution pour la prochaine décennie.
Que faire dès maintenant pour préparer votre entreprise ?
1. Dressez l'inventaire de tous les systèmes d'IA utilisés par votre entreprise qui interviennent dans les décisions concernant les candidats ou les employés : présélection, mise en correspondance, classement, chatbots, analyse des performances, algorithmes de planification. N'oubliez pas d'inclure les outils intégrés aux plateformes tierces que vous utilisez. Vous ne pouvez pas respecter des obligations dont vous ignorez l'existence.
2. Pour chaque outil, déterminez si vous en êtes le responsable du déploiement, si le système relève de la catégorie d'utilisation visée à l'annexe IIIet qui en est le fournisseur. Consignez ces informations de manière à ce que vos équipes chargées de la conformité et des opérations puissent s'en servir comme base de travail.
3. Contactez tous les fournisseurs d'IA de votre infrastructure et posez-leur des questions précises : connaissent-ils la loi européenne sur l'IA ? Ont-ils engagé une procédure d'évaluation de la conformité ? Peuvent-ils fournir de la documentation technique, les résultats d'audits sur les biais et des journaux d'utilisation ? S'engageront-ils contractuellement à vous aider à respecter vos obligations en tant que déployeur ?
4. Déterminez qui, au sein de votre organisation, sera chargé de superviser chaque système d'IA à haut risque. Assurez-vous que ces personnes disposent de la formation et des pouvoirs nécessaires pour comprendre, surveiller et passer outre les résultats générés par l'IA. Consignez ce processus par écrit. Les obligations en matière de maîtrise de l'IA sont déjà en vigueur ; il s'agit donc d'une exigence actuelle.
5. Rédigez les notifications, les mentions obligatoires et les cadres explicatifs dont vous aurez besoin pour informer les candidats et les employés sur l'utilisation de l'IA. Sur un marché du travail où l'expérience candidat détermine le volume de placements, faire preuve de clarté et de transparence quant à votre utilisation de la technologie constitue un atout concurrentiel, et non un fardeau.
Les agences de recrutement qui sauront le mieux gérer cette transition sont celles qui s'y prennent dès maintenant, agissent de manière méthodique et considèrent la gouvernance de l'IA comme une compétence opérationnelle plutôt que comme une simple formalité juridique. La loi européenne sur l'IA est le signe le plus clair à ce jour que l'époque du déploiement irréfléchi de l'IA dans les décisions relatives à la main-d'œuvre touche à sa fin. Pour les opérateurs désireux de prendre les devants, la récompense ne réside pas seulement dans la conformité, mais aussi dans la confiance des clients et des candidats, qui en attendent de plus en plus.
Cet article a été rédigé par Nazareth & Partners. N'hésitez pas à nous contacter si vous souhaitez nous proposer un article.
Nazareth & Partners conseille les agences de recrutement, les prestataires de services de gestion des effectifs (EOR), les prestataires de services de gestion des fournisseurs (MSP), les prestataires de services de gestion des ressources humaines (RPO) et les plateformes de gestion de la main-d'œuvre virtuelle (VMS) en matière de conformité transfrontalière, notamment en ce qui concerne la gouvernance de l'IA et la préparation à la réglementation européenne. Cet article est publié à titre informatif et ne constitue pas un avis juridique.