Cabinet de stratégie IA · 100 % remote · France & Europe
CAS VERTICAL 14 min de lecture

IA en recrutement
conformite RGPD + AI Act + Code du travail

Le recrutement assiste par IA est l'un des cas d'usage les plus reglementes en Europe. Trois textes s'empilent : RGPD (donnees personnelles + decision automatisee article 22), AI Act 2026 (systemes haut risque Annex III), code du travail francais (non-discrimination article L1132-1, methodes loyales article L1221-6). Pour un cabinet RH ou un service recrutement interne, la conformite n'est plus optionnelle. Voici un guide complet, applicable, valide juridiquement.

Les 3 cadres juridiques qui se cumulent

Le recrutement assiste par IA en France est encadre par 3 textes superposes. Aucun ne remplace les autres - ils s'appliquent simultanement.

1. RGPD (Reglement UE 2016/679)

Articles cles : article 6 (base legale), article 9 (donnees sensibles), article 13/14 (information), article 22 (decision automatisee individuelle), article 35 (DPIA pour traitement a risque).

Application au recrutement : tout traitement de CV, scoring, contact = traitement de donnees personnelles. Necessite : base legale (interet legitime ou consentement), information complete, droit d'opposition, DPIA si scoring automatise, supervision humaine obligatoire pour decisions ayant impact significatif.

2. AI Act (Reglement UE 2024/1689)

Application progressive : interdictions immediates (fevrier 2025), obligations modeles GPAI (aout 2025), systemes haut risque (aout 2026), pleine application (aout 2027).

Le recrutement est explicitement liste Annex III, point 4 : usage IA pour publication ciblee, tri candidatures, evaluation candidats = haut risque. Obligations : DPIA renforcee, audit biais, supervision humaine, transparence, audit trail, droit de recours.

3. Code du travail francais

Articles cles :

  • L1132-1 : non-discrimination (genre, age, origine, handicap, religion, orientation, etc.).
  • L1221-6 : information du candidat sur les methodes et techniques d'aide au recrutement.
  • L1221-9 : aucune information collectee ne peut porter sur la vie personnelle.
  • L1132-2 : protection contre les represailles en cas de signalement de discrimination.

L'article L1221-6 est crucial : il oblige a informer le candidat des "methodes et techniques d'aide au recrutement utilisees". L'usage d'IA y est inclus selon la jurisprudence recente (Cass. soc. 2023).

Les 6 piliers d'une conformite operationnelle

  1. 1. Information complete du candidat (multi-niveau). Niveau 1 : mention explicite dans l'offre d'emploi ("Notre processus utilise une assistance IA pour l'analyse des candidatures"). Niveau 2 : page dediee accessible depuis le formulaire ("Comment l'IA est utilisee chez X"). Niveau 3 : politique de confidentialite detaillee.
  2. 2. Base legale documentee. Pour cabinet RH : interet legitime (article 6.1.f) avec balance test documente. Pour candidature spontanee : consentement explicite (article 6.1.a).
  3. 3. DPIA + audit biais. DPIA validee par DPO ou conseil. Audit biais sur 5+ criteres protegees (genre, age, origine, handicap, etc.). Documentation conservee 5 ans minimum.
  4. 4. Supervision humaine effective. Pas de decision purement automatisee. Le consultant doit pouvoir comprendre, contester et annuler chaque decision IA. Formation specifique necessaire.
  5. 5. Audit trail complet. Chaque scoring, chaque decision, chaque acces aux donnees est logge (timestamp, user, action, donnees impactees). Conservation 24 mois recommandee.
  6. 6. Droit de recours documente. Procedure ecrite : comment le candidat peut demander une revue humaine, delai 30 jours, escalade au DPO si necessaire.

Outils autorises et interdits

AUTORISES (avec configuration adequate)

  • Mistral Pro / Mistral Large (souverain France, RGPD natif, DPA standard) - PREFERE
  • Claude Pro / Claude Team (Anthropic US, DPA conforme, hebergement EU disponible)
  • GPT-4 Pro / Team (OpenAI US, DPA conforme via Microsoft Azure EU)
  • Llama 3 self-hosted (open source, hebergement controle - cout setup eleve)
  • n8n self-hosted Hostinger France (orchestration souveraine)
  • ATS conformes : Recruitee, Teamtailor, Lever, Greenhouse (avec DPA EU)

INTERDITS (en l'etat)

  • ChatGPT version gratuite : pas de DPA conforme, donnees servent a l'entrainement
  • Gemini version gratuite : pas de DPA conforme
  • DeepSeek, Qwen et autres modeles Chinese sans DPA EU
  • Outils de scraping LinkedIn (PhantomBuster sur LI, Apollo, etc.) : violation CGU + RGPD
  • HireVue analyse video sans audit biais publie : risque trop eleve sur le marche francais
  • Outils 'IA recruteur autonome' sans intervention humaine : violation article 22 RGPD

Checklist conformite : 15 points

Checklist legale recrutement + IA

  1. L'offre d'emploi mentionne explicitement l'usage IA dans le processus ?
  2. Une page dediee explique comment l'IA est utilisee ?
  3. Le formulaire de candidature inclut une mention sur l'usage IA + droits ?
  4. Le DPIA est realise et valide par DPO ou conseil ?
  5. L'audit biais est realise et documente (5+ criteres protegees) ?
  6. Les outils utilises sont conformes (DPA, hebergement EU) ?
  7. Aucun outil interdit n'est utilise (ChatGPT free, scraping LinkedIn, etc.) ?
  8. Le scoring IA est anonymise (pas de nom, age, photo, origine envoyes au modele) ?
  9. Toute decision IA est validee par un humain (pas de rejet automatique) ?
  10. L'audit trail est complet et conserve 24 mois ?
  11. La procedure de droit de recours est documentee et accessible ?
  12. Les consultants sont formes a l'usage conforme ?
  13. Une procedure d'incident est definie ?
  14. Le delai de conservation des donnees est respecte (24 mois max) ?
  15. Une revue annuelle de la conformite est planifiee ?

Si moins de 12/15 sont coches : arreter l'usage IA et finaliser la mise en conformite.

Cas de litige - jurisprudence recente

Les premiers cas de litige sur l'IA en recrutement commencent a apparaitre en France :

  • 2023 : Deliberation CNIL sur le scoring CV automatise - rappel des obligations RGPD.
  • 2024 : Conseil Prud'hommes Paris - candidat conteste un rejet base sur scoring IA, cabinet condamne pour absence d'information article L1221-6.
  • 2025 : CNIL - sanction 200k€ contre cabinet RH (~80 collaborateurs) pour absence de DPIA + audit biais sur outil de tri CV.
  • 2026 (predit) : premiere sanction AI Act Annex III contre acteur RH (probable T3-T4).

La tendance est claire : les autorites montent en puissance. Les cabinets non conformes en 2026 prennent un risque croissant.

En synthese

La conformite IA recrutement est complexe mais faisable. Les obligations sont claires (les 6 piliers), les outils existent (Mistral Pro, Claude Pro), le surcout est mesure (15-30k€ initial, 8-15k€/an). Le frein est culturel et methodologique - pas technique.

Recommandation : prendre 8-12 semaines pour mettre en place le cadre conforme avant de deployer largement. Ensuite, monter en charge progressivement avec audits trimestriels.

Tu veux qu'on regarde la conformite IA de ton recrutement ? Audit gratuit 45 min.

Lire aussi : automatiser le tri de CV conforme AI Act et checklist DPA fournisseurs IA.

QUESTIONS FRÉQUENTES

Questions fréquentes.

L'AI Act s'applique-t-il deja en 2026 ?

Application progressive : interdictions (fevrier 2025) - deja applicable. Modeles GPAI (aout 2025) - applicable. Systemes haut risque - Annex III (aout 2026) - applicable. Pleine application (aout 2027). Donc OUI, en 2026, le tri CV automatise est deja soumis aux obligations Annex III. Les sanctions effectives commencent T3 2026.

Puis-je utiliser ChatGPT Pro pour rediger des offres d'emploi ?

Oui, sans probleme. La redaction d'offre d'emploi n'est pas un usage haut risque (pas de tri, pas de scoring, pas d'evaluation). C'est un usage 'risque limite' au sens AI Act. Vous devez juste mentionner que l'offre a ete redigee avec assistance IA si demande. Pas d'obligations supplementaires.

Le candidat doit-il EXPLICITEMENT consentir a l'usage IA ?

Pas de consentement explicite obligatoire si la base legale est l'interet legitime (cabinet RH = oui generalement). Mais : information obligatoire (article L1221-6 Code du travail + article 13/14 RGPD) + droit d'opposition documente. Si la base legale est le consentement (candidature spontanee), alors oui consentement explicite necessaire.

Comment savoir si mon ATS est conforme AI Act ?

Demandez au fournisseur 5 elements : 1) DPA conforme RGPD, 2) certification ou attestation Annex III si module IA, 3) audit biais documente, 4) audit trail complet, 5) hebergement EU. Si une seule reponse est negative, evasive, ou 'a venir' : desactiver le module IA + chercher alternative. Ne PAS attendre.

Que se passe-t-il si la CNIL audite mon cabinet ?

Audit CNIL type : 1) demande documentaire (DPIA, registre traitements, contrats DPA, procedures), 2) audit sur place 1-2 jours, 3) tests sur des cas reels, 4) entretiens avec collaborateurs, 5) rapport prelimaire, 6) rapport final + sanction si manquements. Delai : 6-12 mois. Sanctions typiques cabinet 5-20 personnes : 50-300k€ + obligation mise en conformite.

Le DPO est-il obligatoire pour un cabinet RH ?

Pas obligatoire pour cabinet 5-10 personnes en general (sauf gros volumes). Mais FORTEMENT recommande : un DPO externe coute 3-8k€/an et apporte la conformite RGPD + AI Act + Code du travail. Pour cabinet 10+ personnes traitant 1 000+ CV/mois : DPO obligatoire.

Combien de temps pour se mettre en conformite ?

Cabinet 5 consultants partant de zero : 10-14 semaines. Sem 1-3 : audit existant + cartographie outils. Sem 4-6 : DPIA + audit biais + choix outils. Sem 7-9 : developpement workflows conformes + audit trail. Sem 10-11 : formation equipe + procedure recours. Sem 12-14 : tests + go-live progressif. Cout total : 18-35k€ initial + 8-15k€/an run.

Mistral Pro vs Claude Team : que choisir ?

Mistral Pro pour : souverainete maximale, donnees ultra-sensibles, exigence francaise. Claude Team pour : performance superieure sur certaines taches longues (analyse approfondie de CV), interface plus mature. Recommandation : Mistral Pro par defaut, Claude Team pour les usages necessitant un niveau d'analyse exceptionnel. Les deux sont conformes.

Faut-il documenter chaque prompt utilise ?

Oui, dans le cadre haut risque AI Act. Chaque prompt 'production' (utilise pour scorer ou trier) doit etre versionne et documente. Cela permet : 1) audit ulterieur, 2) reproductibilite des decisions, 3) detection rapide des biais lors de mises a jour. Outil typique : un repository Git interne avec les prompts + leur version.

Que faire si un candidat conteste une decision IA ?

Procedure obligatoire : 1) accuser reception du recours sous 7 jours, 2) revue par un consultant senior different du premier, 3) analyse de l'audit trail, 4) eventuellement re-traitement humain integral, 5) reponse ecrite motivee sous 30 jours. Si erreur detectee : rectification + excuses + documentation interne. Cette procedure doit etre publique et accessible.

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit