Guide pratique — IA, RH et conformité
IA et recrutement — Risques juridiques et bonnes pratiques pour les DRH
Une question reste sans réponse ?
Nous pouvons vous aider à clarifier votre situation.
Dans le recrutement, l'IA promet un gain de temps sur le sourcing, le tri, la présélection ou la rédaction d'annonces. Mais ces usages touchent directement à l'accès à l'emploi, à des données personnelles et à des critères susceptibles de produire des discriminations ou des décisions difficilement explicables. Cette page ne vise pas à interdire l'IA en recrutement — elle aide les DRH à distinguer les usages acceptables, les usages à encadrer fortement, et les pratiques à éviter. Le fait que l'AI Act classe certains systèmes IA utilisés en matière d'emploi comme systèmes à haut risque justifie ce niveau de vigilance.
Pourquoi le recrutement est l'un des usages RH les plus sensibles de l'IA
Le recrutement n'est pas une tâche neutre : il détermine qui a accès à l'emploi. Quand une IA intervient dans ce processus — pour trier, scorer, classer ou aider à sélectionner — elle n'accélère pas seulement un processus administratif : elle influe sur des décisions qui engagent la responsabilité juridique et éthique de l'organisation. Le guide du recrutement de la CNIL rappelle que le processus doit avoir pour seul objectif d'apprécier la capacité du candidat à occuper le poste, dans le respect du principe de non-discrimination.
L'IA agit sur l'accès à l'emploi, pas sur une tâche neutre
Quand une IA trie des CV, score des candidats ou suggère une présélection, elle n'optimise pas un processus logistique — elle filtre des personnes. Cette différence est fondamentale : une erreur dans un tri de stock n'a pas les mêmes conséquences qu'une erreur dans un tri de candidatures. Le principe de non-discrimination protège les candidats indépendamment du fait que la discrimination soit produite par un humain ou par un algorithme. La responsabilité reste celle de l'organisation qui déploie l'outil.
Les risques de discrimination directe et indirecte
Deux niveaux de risque discriminatoire à distinguer :
- Discrimination directe — l'outil utilise explicitement un critère illicite (âge, sexe, origine, handicap...) pour classer ou exclure des candidats
- Discrimination indirecte — l'outil utilise des critères apparemment neutres (école fréquentée, code postal, intitulé de poste) qui, en pratique, désavantagent systématiquement certains groupes de personnes
Le Défenseur des droits a alerté sur le risque d'automatisation des discriminations par les algorithmes : un système entraîné sur des données historiques de recrutement peut reproduire et amplifier des biais existants, de façon invisible et à grande échelle.
L'illusion d'objectivité des outils de tri ou de scoring
Un score produit par un algorithme semble objectif — il est chiffré, reproductible, dérivé de données. Mais cette apparence d'objectivité est trompeuse : le score reflète les données d'apprentissage, les critères sélectionnés et les décisions passées de l'organisation. Si ces données ou ces décisions contenaient des biais, le score les répercute — parfois en les amplifiant. L'objectivité apparente d'un outil numérique ne garantit ni son impartialité ni sa conformité juridique.
À quels moments du recrutement l'IA peut poser problème
L'IA peut intervenir à plusieurs étapes du recrutement — avec des niveaux de risque très différents selon qu'elle assiste le recruteur ou qu'elle influence directement la sélection. Plus l'outil agit en amont de la décision finale, plus son impact sur l'accès à l'emploi est élevé — et plus l'exigence de rigueur s'intensifie.
Rédaction d'annonces, sourcing et matching
Ces usages sont parmi les moins risqués car ils interviennent en amont de la décision :
- Rédaction d'annonces — l'IA aide à formuler, reformuler ou vérifier une offre d'emploi. Vigilance : s'assurer que le texte ne contient pas de formulations indirectement discriminantes (préférences d'âge, de profil culturel implicite)
- Sourcing — l'IA identifie des profils sur des plateformes. Vigilance : vérifier quels critères sont utilisés et si le sourcing ne cible pas implicitement certains groupes au détriment d'autres
- Matching — l'IA rapproche un profil d'un poste. Vigilance : comprendre les critères de matching et s'assurer qu'ils sont pertinents et non discriminatoires
Tri de CV, scoring et présélection
Ces usages sont à plus haut risque car ils influencent directement qui passe à l'étape suivante :
- Tri de CV automatisé — l'IA écarte des candidatures avant tout regard humain. Risque élevé si les critères de tri ne sont pas documentés, audités et justifiables
- Scoring de candidats — l'IA attribue une note à chaque profil. Risque élevé si la méthode de calcul n'est pas expliquable et si le score influence directement la décision sans validation humaine
- Présélection — l'IA produit une liste courte à partir d'un volume initial. Risque élevé si la liste est utilisée sans vérification de représentativité et sans possibilité de justifier l'exclusion de chaque candidat écarté
Entretiens vidéo, analyse comportementale ou évaluation automatisée
Ces usages sont parmi les plus sensibles du processus de recrutement :
- Entretiens vidéo analysés par IA — analyse du ton, des expressions faciales, du langage. Risque très élevé : ces analyses peuvent capter des caractéristiques protégées (handicap, origine, état de santé) et produire des évaluations non fiables et non justifiables
- Tests comportementaux analysés par IA — inférence de traits de personnalité ou de compétences à partir de comportements numériques. Vigilance forte sur la validité scientifique et la pertinence au regard du poste
- Évaluation automatisée — score ou décision produits sans intervention humaine réelle. À éviter en recrutement sans supervision explicite et documentée
Les principaux risques juridiques pour les DRH
Les risques juridiques de l'IA en recrutement ne sont pas théoriques. Des autorités de contrôle ont déjà sanctionné ou mis en demeure des organisations pour des pratiques non conformes dans leur processus de sélection. Connaître ces risques avant de déployer un outil est la condition minimale d'un usage responsable.
Discrimination et critères illicites ou indirectement discriminants
Le code du travail et les directives européennes interdisent la discrimination dans le recrutement sur 25 critères protégés en France : âge, sexe, origine, handicap, état de santé, situation familiale, opinions politiques, convictions religieuses, etc. Une IA entraînée sur des données historiques peut reproduire ces discriminations de façon systématique et invisible. La responsabilité de l'employeur est engagée même si la discrimination est produite par un outil tiers. Les organisations ne peuvent pas se réfugier derrière l'outil pour justifier une décision discriminatoire.
Collecte excessive et données non pertinentes
Le RGPD impose la minimisation des données : seules les informations strictement nécessaires à l'appréciation de la capacité du candidat à occuper le poste peuvent être collectées et traitées. En 2024, la CNIL a mis en demeure une société pour avoir collecté des données personnelles excessives dans son processus de recrutement. Les données non pertinentes au regard du poste — situation familiale, activités extra-professionnelles, données de santé, opinions politiques — ne doivent pas transiter dans un outil d'IA, quelle que soit la facilité technique de les inclure.
Manque de transparence, explicabilité insuffisante et difficulté de contestation
Un candidat a le droit de comprendre pourquoi sa candidature a été écartée. Si la décision repose sur un score ou un classement produit par une IA dont le fonctionnement n'est pas expliquable, l'organisation ne peut pas honorer ce droit. L'EDPB insiste sur la nécessité de clarifier si la sortie du système est une recommandation ou une décision effectivement appliquée — distinction fondamentale pour déterminer les obligations juridiques applicables. Une organisation qui applique mécaniquement les sorties d'une IA sans validation humaine réelle prend le risque d'une décision automatisée soumise aux obligations de l'article 22 du RGPD.
Décision trop automatisée ou supervision humaine insuffisante
La ligne de risque la plus importante en recrutement IA : la décision finale d'embauche ne peut pas être confiée à un système automatisé sans intervention humaine réelle. Une "validation" qui consiste à cliquer sur "suivant" sans examiner les critères appliqués n'est pas une supervision humaine. Pour être juridiquement valide, la supervision humaine doit être :
- Réelle — un recruteur examine et comprend les résultats de l'outil avant de décider
- Documentée — la décision et son fondement sont traçables
- Exercée par une personne habilitée — pas déléguée à un stagiaire ou à un processus entièrement automatique
Ce que change le cadre européen sur l'IA pour les usages de recrutement
L'AI Act européen, en vigueur depuis août 2024, introduit une classification des systèmes IA par niveau de risque. Les systèmes utilisés pour le recrutement, la sélection et l'évaluation des candidats figurent parmi les usages à haut risque — ce qui entraîne des exigences spécifiques sur les fournisseurs et, dans certains cas, sur les organisations qui les déploient.
Pourquoi certains systèmes d'IA en emploi relèvent du haut risque
L'annexe III de l'AI Act liste les systèmes d'IA à haut risque. Y figurent explicitement les systèmes utilisés pour le recrutement et la sélection des travailleurs, notamment pour trier les candidatures, évaluer les candidats lors des entretiens et évaluer les compétences. Cette classification entraîne des obligations spécifiques : documentation, tests, supervision humaine, transparence, enregistrement des logs, gestion des risques. Ces obligations pèsent principalement sur les fournisseurs — mais les deployers (les organisations qui utilisent ces outils) ont aussi des responsabilités, notamment de vérification et d'usage conforme.
Ce que cela implique pour les acteurs qui les fournissent ou les déploient
Pour un DRH ou une organisation qui utilise un outil de recrutement IA potentiellement à haut risque, les implications pratiques sont :
- Vérifier auprès du fournisseur si l'outil est déclaré conforme AI Act et dispose de la documentation requise
- S'assurer que l'organisation respecte les conditions d'usage définies par le fournisseur
- Maintenir une supervision humaine réelle sur les décisions influencées par l'outil
- Être en mesure de documenter et de justifier les décisions de recrutement si elles sont contestées
Pourquoi un DRH doit comprendre le niveau de risque du système utilisé
Ignorer que l'outil utilisé est potentiellement classé à haut risque ne dispense pas de l'obligation de conformité. Un DRH qui déploie un système de scoring ou de présélection sans vérifier sa classification et ses conditions d'usage prend un risque juridique personnel et engage la responsabilité de l'organisation. La question à poser systématiquement au fournisseur : "Votre système est-il concerné par la classification à haut risque de l'AI Act pour les usages en emploi ? Si oui, quelle documentation de conformité pouvez-vous nous fournir ?"
Les bonnes pratiques minimales avant d'utiliser une IA en recrutement
Il n'existe pas de zéro risque dans l'usage de l'IA en recrutement — mais il existe un écart considérable entre un usage documenté, supervisé et auditable, et un usage improvisé dont personne ne maîtrise réellement les critères ni les effets. Les bonnes pratiques suivantes constituent un socle minimal de sécurisation avant tout déploiement.
Vérifier ce que fait réellement l'outil et sur quelles données
Avant tout déploiement, un minimum de diligence s'impose :
- Quels critères l'outil utilise-t-il pour classer, scorer ou filtrer ?
- Sur quelles données a-t-il été entraîné ? Ces données contenaient-elles des biais historiques ?
- Quelles données lui seront soumises dans votre contexte ? Sont-elles toutes pertinentes et licites ?
- Le fournisseur peut-il documenter et justifier le fonctionnement de l'outil ?
- L'outil produit-il une recommandation ou une décision ? Cette distinction change les obligations applicables.
Garder une validation humaine réelle
Trois règles minimales de supervision humaine en recrutement IA :
- Aucune candidature ne doit être définitivement écartée sans examen humain — une IA peut suggérer une liste courte, mais un recruteur doit vérifier que les exclusions sont justifiables
- La décision finale d'embauche est toujours humaine — le recruteur ou le DRH est responsable de la décision, pas l'outil
- La supervision est documentée — noter que la décision a été prise par une personne identifiée, sur quels critères, avec quel niveau d'usage de l'outil IA
Tester, documenter, surveiller les écarts et réexaminer les critères
Un socle minimal d'audit en continu :
- Tester avant de généraliser — vérifier sur un échantillon si les résultats de l'outil produisent des écarts démographiques inexpliqués
- Documenter l'usage — noter quel outil est utilisé, à quelle étape, avec quelle influence réelle sur la décision
- Surveiller les écarts — comparer régulièrement les profils présélectionnés par l'IA avec la diversité du vivier initial
- Réexaminer les critères — les critères pertinents pour un poste évoluent ; l'outil doit être recalibré en conséquence
Pratiques à éviter, usages plus prudents : repères concrets pour les recruteurs
Pour chaque situation de terrain, la distinction entre un usage risqué et un usage plus prudent tient souvent à quelques choix simples : qui décide en dernier ressort, quelles données sont injectées dans l'outil, et quelle trace garde-t-on de la décision. Les exemples suivants illustrent ces distinctions sur les situations les plus fréquentes.
Ce qu'il vaut mieux ne pas automatiser
- ❌ À éviter : écarter définitivement des candidatures sur la seule base d'un score IA, sans regard humain sur les profils exclus
- ❌ À éviter : utiliser une analyse vidéo automatisée du comportement ou des expressions faciales pour évaluer des compétences professionnelles
- ❌ À éviter : injecter dans l'outil des données non pertinentes au regard du poste (situation familiale, activités personnelles, adresse)
- ❌ À éviter : utiliser un outil dont on ne comprend pas les critères et dont on ne peut pas expliquer les résultats à un candidat
Ce qui peut aider sans décider à la place du recruteur
- ✅ Usage prudent : utiliser l'IA pour générer un premier tri indicatif, que le recruteur examine et peut contredire
- ✅ Usage prudent : utiliser l'IA pour reformuler ou vérifier une annonce (biais de langage, formulations potentiellement discriminantes)
- ✅ Usage prudent : utiliser l'IA pour préparer des grilles d'entretien ou des questions structurées, sans lui confier l'évaluation du candidat
- ✅ Usage prudent : utiliser l'IA pour synthétiser des notes d'entretien prises par le recruteur, sans remplacer l'appréciation humaine
Comment rester sur un usage proportionné
La proportionnalité est le principe directeur : l'IA doit apporter une aide réelle sans produire un risque disproportionné. En pratique :
- Plus l'outil influe sur la sélection, plus la supervision humaine doit être renforcée
- Plus les données sont sensibles, plus le périmètre de l'outil doit être resserré
- Un outil qui aide à préparer une décision et un outil qui prend une décision ne relèvent pas du même niveau de vigilance
La règle de base : si vous ne pouvez pas expliquer à un candidat pourquoi il a été écarté, vous n'êtes pas en mesure d'utiliser cet outil dans votre processus.
Former les équipes RH avant de généraliser les usages
La maîtrise du risque juridique en recrutement IA ne repose pas uniquement sur des règles écrites — elle repose sur des personnes formées, capables de comprendre ce que fait réellement l'outil, d'identifier les situations qui nécessitent une supervision renforcée, et de documenter leurs décisions de façon à pouvoir les justifier.
Pourquoi la maîtrise du risque doit précéder la diffusion
Le réflexe de beaucoup d'organisations est de déployer d'abord et de cadrer ensuite. En recrutement IA, l'ordre doit être inverse. Les risques juridiques — discrimination, collecte excessive, décision automatisée — ne se corrigent pas facilement après un incident. Ils se préviennent avant le déploiement par la formation, la vérification de l'outil et la définition claire du rôle de l'IA dans la décision.
Associer RH, DPO, juridique, IT et managers recruteurs
La sécurisation de l'IA en recrutement ne repose pas sur une seule fonction. Les profils à impliquer avant tout déploiement :
- DPO — vérification de la conformité RGPD, analyse d'impact si nécessaire, base légale du traitement
- Direction juridique — analyse des obligations contractuelles avec le fournisseur, risques de discrimination
- IT / RSSI — vérification de la sécurité de l'outil, flux de données, conditions d'hébergement
- Managers recruteurs — formation aux limites de l'outil, aux critères appliqués et à leur responsabilité dans la décision finale
Quand passer d'un test isolé à un cadre plus structuré
Un test ponctuel sur un poste spécifique est acceptable pour explorer un outil sans l'intégrer dans tous les processus. Mais dès que l'usage devient régulier, la structuration devient nécessaire : documentation du rôle de l'outil, règles de supervision, audit des résultats, formation des équipes. La formation RH dédiée à la sécurisation des usages IA permet d'acquérir ce cadre méthodologique, et les pages dédiées aux données RH sous RGPD et aux risques RH de l'IA complètent utilement cet approfondissement.
À propos de l'auteur
Marc-François MICHEL est Docteur en Mathématiques, formateur professionnel d'adultes certifié FPA spécialisé en formation IA en entreprise, pilotage de projets IA, transformation digitale, pédagogie professionnelle.
Marc-François Michel, Docteur en Mathématiques et formateur certifié FPA, accompagne dirigeants, managers et équipes dans l'appropriation réaliste et opérationnelle de l'IA depuis 28 ans. Son approche, centrée sur la prise de décision et le pilotage, vise à rendre l'IA compréhensible et exploitable dans les pratiques professionnelles. Il intervient en intra-entreprise avec une pédagogie claire, sans jargon, fondée sur des cas concrets adaptés à chaque secteur et des outils directement applicables en situation de travail.
Questions fréquentes
- Peut-on utiliser l'IA pour trier des CV sans risque juridique ?
-
L'usage d'une IA pour trier des CV est possible mais comporte des risques juridiques significatifs qu'il faut anticiper. Le principal risque est la discrimination indirecte : un outil entraîné sur des données historiques peut reproduire et amplifier des biais existants, en écartant systématiquement certains profils protégés. Pour limiter ce risque, il faut vérifier les critères utilisés par l'outil, s'assurer que ces critères sont pertinents au regard du poste, maintenir une supervision humaine réelle sur les résultats (aucun candidat ne doit être écarté définitivement sans regard humain), et documenter le rôle de l'outil dans la décision. Un tri IA non vérifié et non documenté expose l'organisation à un risque de discrimination dont la responsabilité reste entièrement celle de l'employeur.
- Un outil de scoring de candidats est-il autorisé en recrutement ?
-
Il n'est pas interdit, mais il est soumis à des exigences de conformité importantes. Un outil de scoring de candidats peut relever de la catégorie des systèmes à haut risque au sens de l'AI Act si sa sortie influence la sélection ou l'embauche. Cela implique des exigences de documentation, de supervision humaine et d'explicabilité. Indépendamment de l'AI Act, le RGPD s'applique : les critères utilisés doivent être pertinents et non excessifs, les candidats doivent pouvoir exercer leurs droits, et une décision significative ne peut pas reposer uniquement sur un traitement automatisé sans possibilité d'intervention humaine. La règle pratique : si vous ne pouvez pas expliquer à un candidat sur quels critères il a été scoré, vous n'êtes pas en mesure d'utiliser ce score dans votre décision.
- Quels sont les principaux risques de discrimination liés à l'IA en recrutement ?
-
Deux catégories de risques discriminatoires : la discrimination directe (l'outil utilise explicitement un critère protégé — âge, sexe, origine, handicap — pour filtrer ou scorer) et la discrimination indirecte (l'outil utilise des critères apparemment neutres — école, code postal, historique de parcours — qui désavantagent systématiquement certains groupes). Le Défenseur des droits a alerté sur le risque d'automatisation des discriminations par les algorithmes : un système entraîné sur des données historiques peut reproduire les biais passés de façon systématique et invisible. La responsabilité de l'employeur est engagée même si la discrimination est produite par un outil tiers — invoquer "c'est l'algorithme" ne constitue pas une défense juridique.
- Quelles données ne faut-il pas utiliser dans un outil d'IA de recrutement ?
-
Le RGPD impose la minimisation des données : seules les informations strictement nécessaires à l'appréciation de la capacité du candidat à occuper le poste peuvent être collectées et traitées. Sont à exclure : la situation familiale (mariage, enfants), les activités extra-professionnelles sans lien avec le poste, les données de santé, les opinions politiques ou syndicales, les convictions religieuses, les données biométriques, et toute information permettant d'identifier des caractéristiques protégées. En 2024, la CNIL a mis en demeure une société pour avoir collecté des données personnelles excessives dans son processus de recrutement — ce type de sanction est applicable à tout organisme qui injecte des données non pertinentes dans un outil IA de sélection.
- Quelle différence entre aide au recrutement et décision automatisée en RH ?
-
La distinction est fondamentale juridiquement. Une aide au recrutement produit une recommandation — un score, une liste, une suggestion — qu'un recruteur examine, peut contredire et sur laquelle il exerce son jugement avant de décider. La décision finale reste humaine, documentée et justifiable. Une décision automatisée produit un résultat qui est appliqué directement, sans intervention humaine réelle. Cette situation peut déclencher les obligations de l'article 22 du RGPD (droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé) et des obligations renforcées de l'AI Act pour les systèmes à haut risque. Une "validation" purement formelle sans examen réel des critères et des résultats ne constitue pas une supervision humaine au sens du droit applicable.
Sources et références
- Le guide du recrutement — CNIL ,
- Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles — CNIL ,
- Comment prévenir l'automatisation des discriminations ? — Défenseur des droits ,
- L'IA dans l'emploi : ce que l'employeur doit anticiper — Commission européenne ,
- The role of artificial intelligence in the workplace — EU-OSHA ,
- Convention n° 111 sur la discrimination (emploi et profession) — OIT ,
- Comment prévenir l'automatisation des discriminations ? — Défenseur des droits ,
Informations complémentaires
Sommaire
Formation associée
Découvrir la formation « RH : sécuriser les usages de l'IA »
Sur le même sujet
- Les usages de l'IA utiles pour les équipes RH
- IA et droit du travail — Ce que l'employeur doit prévoir
- L'IA dans les organisations — Guide de référence
- Comment rédiger une charte d'usage de l'IA pour ses collaborateurs ?
- Comment choisir les premiers cas d'usage de l'IA dans une organisation ?
- Comment mesurer le ROI des usages de l'IA dans une équipe ou un service ?
Posez nous des questions
UCert est un organisme de formation créé et déclaré en 2007. A ce titre, il a été certifié Qualiopi en juin 2020 pour la catégorie "actions de formation".
Depuis 2020, nous avons réalisé plus de 380 formations spécialisées et sur mesure et formé plus de 900 personnes.
