Cabinet · Format expert unique · France
CAS VERTICAL 14 min de lecture

IA en recrutement
conformité RGPD + AI Act + Code du travail

Le recrutement assisté par IA est l'un des cas d'usage les plus réglementés en Europe. Trois textes s'empilent : RGPD (données personnelles + décision automatisée article 22), AI Act 2026 (systèmes haut risque Annex III), code du travail français (non-discrimination article L1132-1, méthodes loyales article L1221-6). Pour un cabinet RH ou un service recrutement interne, la conformité n'est plus optionnelle. Voici un guide complet, applicable, validé juridiquement.

Les 3 cadres juridiques qui se cumulent

Le recrutement assisté par IA en France est encadré par 3 textes superposés. Aucun ne remplace les autres - ils s'appliquent simultanément.

1. RGPD (Règlement UE 2016/679)

Articles clés : article 6 (base légale), article 9 (données sensibles), article 13/14 (information), article 22 (décision automatisée individuelle), article 35 (DPIA pour traitement à risque).

Application au recrutement : tout traitement de CV, scoring, contact = traitement de données personnelles. Nécessite : base légale (intérêt légitime ou consentement), information complète, droit d'opposition, DPIA si scoring automatisé, supervision humaine obligatoire pour décisions ayant impact significatif.

2. AI Act (Règlement UE 2024/1689)

Application progressive : interdictions immédiates (février 2025), obligations modèles GPAI (août 2025), systèmes haut risque (août 2026), pleine application (août 2027).

Le recrutement est explicitement listé Annex III, point 4 : usage IA pour publication ciblée, tri candidatures, évaluation candidats = haut risque. Obligations : DPIA renforcée, audit biais, supervision humaine, transparence, audit trail, droit de recours.

3. Code du travail français

Articles clés :

  • L1132-1 : non-discrimination (genre, âge, origine, handicap, religion, orientation, etc.).
  • L1221-6 : information du candidat sur les méthodes et techniques d'aide au recrutement.
  • L1221-9 : aucune information collectée ne peut porter sur la vie personnelle.
  • L1132-2 : protection contre les représailles en cas de signalement de discrimination.

L'article L1221-6 est crucial : il oblige à informer le candidat des "méthodes et techniques d'aide au recrutement utilisées". L'usage d'IA y est inclus selon la jurisprudence récente (Cass. soc. 2023).

Les 6 piliers d'une conformité opérationnelle

  1. 1. Information complète du candidat (multi-niveau). Niveau 1 : mention explicite dans l'offre d'emploi ("Notre processus utilise une assistance IA pour l'analyse des candidatures"). Niveau 2 : page dédiée accessible depuis le formulaire ("Comment l'IA est utilisée chez X"). Niveau 3 : politique de confidentialité détaillée.
  2. 2. Base légale documentée. Pour cabinet RH : intérêt légitime (article 6.1.f) avec balance test documenté. Pour candidature spontanée : consentement explicite (article 6.1.a).
  3. 3. DPIA + audit biais. DPIA validée par DPO ou conseil. Audit biais sur 5+ critères protégées (genre, âge, origine, handicap, etc.). Documentation conservée 5 ans minimum.
  4. 4. Supervision humaine effective. Pas de décision purement automatisée. Le consultant doit pouvoir comprendre, contester et annuler chaque décision IA. Formation spécifique nécessaire.
  5. 5. Audit trail complet. Chaque scoring, chaque décision, chaque accès aux données est loggé (timestamp, user, action, données impactées). Conservation 24 mois recommandée.
  6. 6. Droit de recours documenté. Procédure écrite : comment le candidat peut demander une revue humaine, délai 30 jours, escalade au DPO si nécessaire.

Outils autorisés et interdits

AUTORISÉS (avec configuration adéquate)

  • Mistral Le Chat Pro / Mistral (souverain France, RGPD natif, DPA standard) - PRÉFÉRÉ
  • Claude Pro / Claude Team (Anthropic US, DPA conforme, hébergement EU disponible)
  • OpenAI Pro / Team (OpenAI US, DPA conforme via Microsoft Azure EU)
  • Llama (open-source self-hosted) (open source, hébergement contrôlé - coût setup élevé)
  • n8n self-hosted Hostinger France (orchestration souveraine)
  • ATS conformes : Recruitee, Teamtailor, Lever, Greenhouse (avec DPA EU)

INTERDITS (en l'état)

  • ChatGPT version gratuite : pas de DPA conforme, données servent à l'entraînement
  • Gemini version gratuite : pas de DPA conforme
  • DeepSeek, Qwen et autres modèles Chinese sans DPA EU
  • Outils de scraping LinkedIn (PhantomBuster sur LI, Apollo, etc.) : violation CGU + RGPD
  • HireVue analyse vidéo sans audit biais publié : risque trop élevé sur le marché français
  • Outils 'IA recruteur autonome' sans intervention humaine : violation article 22 RGPD

Checklist conformité : 15 points

Checklist légale recrutement + IA

  1. L'offre d'emploi mentionne explicitement l'usage IA dans le processus ?
  2. Une page dédiée explique comment l'IA est utilisée ?
  3. Le formulaire de candidature inclut une mention sur l'usage IA + droits ?
  4. Le DPIA est réalisé et validé par DPO ou conseil ?
  5. L'audit biais est réalisé et documenté (5+ critères protégées) ?
  6. Les outils utilisés sont conformes (DPA, hébergement EU) ?
  7. Aucun outil interdit n'est utilisé (ChatGPT free, scraping LinkedIn, etc.) ?
  8. Le scoring IA est anonymisé (pas de nom, âge, photo, origine envoyés au modèle) ?
  9. Toute décision IA est validée par un humain (pas de rejet automatique) ?
  10. L'audit trail est complet et conservé 24 mois ?
  11. La procédure de droit de recours est documentée et accessible ?
  12. Les consultants sont formés à l'usage conforme ?
  13. Une procédure d'incident est définie ?
  14. Le délai de conservation des données est respecté (24 mois max) ?
  15. Une revue annuelle de la conformité est planifiée ?

Si moins de 12/15 sont cochés : arrêter l'usage IA et finaliser la mise en conformité.

Cas de litige - jurisprudence récente

Les premiers cas de litige sur l'IA en recrutement commencent à apparaître en France :

  • 2023 : Délibération CNIL sur le scoring CV automatisé - rappel des obligations RGPD.
  • 2024 : Conseil Prud'hommes Paris - candidat conteste un rejet basé sur scoring IA, cabinet condamné pour absence d'information article L1221-6.
  • 2025 : CNIL - sanction 200k€ contre cabinet RH (~80 collaborateurs) pour absence de DPIA + audit biais sur outil de tri CV.
  • 2026 (prédit) : première sanction AI Act Annex III contre acteur RH (probable T3-T4).

La tendance est claire : les autorités montent en puissance. Les cabinets non conformes en 2026 prennent un risque croissant.

En synthèse

La conformité IA recrutement est complexe mais faisable. Les obligations sont claires (les 6 piliers), les outils existent (Mistral Le Chat Pro, Claude Pro), le surcoût est mesuré (15-30k€ initial, 8-15k€/an). Le frein est culturel et méthodologique - pas technique.

Recommandation : prendre 8-12 semaines pour mettre en place le cadre conforme avant de déployer largement. Ensuite, monter en charge progressivement avec audits trimestriels.

Vous voulez qu'on regarde la conformité IA de votre recrutement ? Audit gratuit 45 min.

Lire aussi : automatiser le tri de CV conforme AI Act et checklist DPA fournisseurs IA.

QUESTIONS FRÉQUENTES

Questions fréquentes.

L'AI Act s'applique-t-il déjà en 2026 ?

Application progressive : interdictions (février 2025) - déjà applicable. Modèles GPAI (août 2025) - applicable. Systèmes haut risque - Annex III (août 2026) - applicable. Pleine application (août 2027). Donc OUI, en 2026, le tri CV automatisé est déjà soumis aux obligations Annex III. Les sanctions effectives commencent T3 2026.

Puis-je utiliser ChatGPT Pro pour rédiger des offres d'emploi ?

Oui, sans problème. La rédaction d'offre d'emploi n'est pas un usage haut risque (pas de tri, pas de scoring, pas d'évaluation). C'est un usage 'risque limité' au sens AI Act. Vous devez juste mentionner que l'offre a été rédigée avec assistance IA si demandé. Pas d'obligations supplémentaires.

Le candidat doit-il EXPLICITEMENT consentir à l'usage IA ?

Pas de consentement explicite obligatoire si la base légale est l'intérêt légitime (cabinet RH = oui généralement). Mais : information obligatoire (article L1221-6 Code du travail + article 13/14 RGPD) + droit d'opposition documenté. Si la base légale est le consentement (candidature spontanée), alors oui consentement explicite nécessaire.

Comment savoir si mon ATS est conforme AI Act ?

Demandez au fournisseur 5 éléments : 1) DPA conforme RGPD, 2) certification ou attestation Annex III si module IA, 3) audit biais documenté, 4) audit trail complet, 5) hébergement EU. Si une seule réponse est négative, évasive, ou 'à venir' : désactiver le module IA + chercher alternative. Ne PAS attendre.

Que se passe-t-il si la CNIL audite mon cabinet ?

Audit CNIL type : 1) demande documentaire (DPIA, registre traitements, contrats DPA, procédures), 2) audit sur place 1-2 jours, 3) tests sur des cas réels, 4) entretiens avec collaborateurs, 5) rapport prélimaire, 6) rapport final + sanction si manquements. Délai : 6-12 mois. Sanctions typiques cabinet 5-20 personnes : 50-300k€ + obligation mise en conformité.

Le DPO est-il obligatoire pour un cabinet RH ?

Pas obligatoire pour cabinet 5-10 personnes en général (sauf gros volumes). Mais FORTEMENT recommandé : un DPO externe coûte 3-8k€/an et apporte la conformité RGPD + AI Act + Code du travail. Pour cabinet 10+ personnes traitant 1 000+ CV/mois : DPO obligatoire.

Combien de temps pour se mettre en conformité ?

Cabinet 5 consultants partant de zéro : 10-14 semaines. Sem 1-3 : audit existant + cartographie outils. Sem 4-6 : DPIA + audit biais + choix outils. Sem 7-9 : développement workflows conformes + audit trail. Sem 10-11 : formation équipe + procédure recours. Sem 12-14 : tests + go-live progressif. Coût total : 18-35k€ initial + 8-15k€/an run.

Mistral Le Chat Pro vs Claude Team : que choisir ?

Mistral Le Chat Pro pour : souveraineté maximale, données ultra-sensibles, exigence française. Claude Team pour : performance supérieure sur certaines tâches longues (analyse approfondie de CV), interface plus mature. Recommandation : Mistral Le Chat Pro par défaut, Claude Team pour les usages nécessitant un niveau d'analyse exceptionnel. Les deux sont conformes.

Faut-il documenter chaque prompt utilisé ?

Oui, dans le cadre haut risque AI Act. Chaque prompt 'production' (utilisé pour scorer ou trier) doit être versionné et documenté. Cela permet : 1) audit ultérieur, 2) reproductibilité des décisions, 3) détection rapide des biais lors de mises à jour. Outil typique : un repository Git interne avec les prompts + leur version.

Que faire si un candidat conteste une décision IA ?

Procédure obligatoire : 1) accuser réception du recours sous 7 jours, 2) revue par un consultant senior différent du premier, 3) analyse de l'audit trail, 4) éventuellement re-traitement humain intégral, 5) réponse écrite motivée sous 30 jours. Si erreur détectée : rectification + excuses + documentation interne. Cette procédure doit être publique et accessible.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit