Mon ATS est-il classé Haut Risque par l'AI Act ?

Un ATS (Applicant Tracking System) est classé Haut Risque dès lors qu'il intègre un module d'intelligence artificielle réalisant une opération relevant de l'Annexe III §4(a) du règlement (UE) 2024/1689 : tri automatisé de candidatures, scoring de CV, recommandation de profils, analyse d'entretien vidéo. Un ATS qui se contente de stocker et organiser des candidatures sans traitement algorithmique sortant n'entre pas dans le champ.

Utiliser LinkedIn Recruiter fait-il de mon cabinet un déployeur AI Act ?

LinkedIn Recruiter mobilise des modèles d'IA pour le matching, la recommandation de candidats et le ciblage d'annonces. Tout cabinet utilisant cet outil pour évaluer des personnes physiques entre dans la définition de déployeur au sens de l'Article 3 §4 du règlement (UE) 2024/1689 et est soumis aux obligations de l'Article 26 à compter de la date d'application en vigueur.

Dois-je réaliser une FRIA si j'ai déjà conduit une DPIA RGPD ?

Oui. La DPIA (analyse d'impact relative à la protection des données, Article 35 RGPD) et la FRIA (Fundamental Rights Impact Assessment, Article 27 AI Act) couvrent des périmètres différents. La DPIA évalue les risques sur la vie privée et la protection des données. La FRIA évalue l'impact sur l'ensemble des droits fondamentaux : non-discrimination, dignité, droits sociaux. Les deux documents peuvent être consolidés mais doivent traiter chacun leurs exigences propres.

Quelle est la différence entre fournisseur et déployeur dans l'AI Act ?

Le fournisseur (Article 3 §3) est l'entité qui développe ou fait développer un système d'IA et le met sur le marché européen sous son nom ou sa marque. Le déployeur (Article 3 §4) est l'entité qui utilise un système d'IA sous sa propre autorité, à des fins professionnelles. Dans la quasi-totalité des cas RH, l'éditeur du logiciel est fournisseur et l'entreprise utilisatrice est déployeur. Les obligations sont distinctes mais cumulatives en cas de double rôle.

Que risque concrètement une PME française qui ne se met pas en conformité ?

L'Article 99 du règlement prévoit des amendes administratives en cas de manquement aux obligations Haut Risque. Le paragraphe 6 du même article instaure un plafond minimal pour les PME : 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus faible étant retenu. Les sanctions d'un montant supérieur (35 millions d'euros ou 7 %) ne s'appliquent qu'aux pratiques interdites de l'Article 5. La désignation de l'autorité française de surveillance est en cours.

AI Act · Décryptage

AI Act et RH : tout comprendre sur les obligations 2026

Q: L'accord omnibus du 7 mai 2026 reporte-t-il les obligations AI Act ?

Le 7 mai 2026, le Parlement européen et le Conseil ont conclu un accord politique provisoire dans le cadre du Digital Omnibus on AI (procédure 2025/0359(COD)). Cet accord prévoit le report de l'application des obligations Annexe III du 2 août 2026 au 2 décembre 2027. Tant que cet accord n'est pas formellement adopté par les co-législateurs et publié au Journal officiel de l'Union européenne, les dates d'application initiales du règlement (UE) 2024/1689 demeurent juridiquement en vigueur.

Tri automatisé de candidatures, scoring de CV, analyse vidéo d'entretien : les systèmes d'IA utilisés pour le recrutement et la gestion des travailleurs sont classés Haut Risque par l'Annexe III du règlement (UE) 2024/1689. Décryptage du périmètre, des obligations applicables aux déployeurs et du calendrier d'application.

L'équipe Audaria Publié le 29 avril 2026 · mis à jour le 12 mai 2026 11 min de lecture

I. L'Annexe III du règlement : pourquoi les RH sont en "Haut Risque"

L'AI Act, désignation usuelle du règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle, repose sur une approche par les risques. Le règlement distingue quatre catégories : risque inacceptable (pratiques interdites de l'Article 5), risque élevé, risque limité (obligations de transparence) et risque minimal (aucune obligation spécifique).

La liste des systèmes d'IA à risque élevé est fixée à l'Annexe III du règlement. Elle énumère huit domaines critiques, parmi lesquels l'éducation, l'application de la loi, la justice et l'accès aux services publics essentiels. Le point 4 de l'Annexe III est consacré à l'emploi, à la gestion des travailleurs et à l'accès au travail indépendant. Il vise expressément :

Les systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer des candidatures, et évaluer les candidats (Annexe III §4(a)).
Les systèmes d'IA destinés à être utilisés pour prendre des décisions affectant les conditions de travail, l'avancement professionnel ou la cessation d'une relation contractuelle, attribuer des tâches sur la base du comportement individuel ou de traits de personnalité, ou évaluer les performances et le comportement des personnes dans le cadre de cette relation (Annexe III §4(b)).

Le considérant 57 du règlement précise la motivation : ces systèmes peuvent avoir un impact considérable sur la carrière, les moyens de subsistance et les droits des travailleurs, et reproduire des schémas de discrimination historiques à l'encontre des femmes, des personnes handicapées ou des minorités ethniques.

Périmètre exclu

Tous les outils RH ne sont pas Haut Risque. Un système qui se contente de stocker et organiser des candidatures sans traitement algorithmique sortant n'entre pas dans l'Annexe III. Un chatbot interne répondant aux questions des salariés sur leurs congés relève du risque limité (transparence). Un module de traduction automatique appliqué à un dossier de candidature n'est généralement pas Haut Risque. C'est la fonction de classement, scoring ou décision affectant la personne physique qui déclenche le régime Haut Risque.

II. Fournisseur ou déployeur ? La question préalable

La charge réglementaire dépend du rôle joué dans la chaîne de valeur du système d'IA. Le règlement distingue deux acteurs aux obligations distinctes, définis aux paragraphes 3 et 4 de l'Article 3.

Article 3 §3

Fournisseur

Personne physique ou morale, autorité publique, agence ou autre organisme qui développe ou fait développer un système d'IA et le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

En pratique RH : Microsoft (LinkedIn Recruiter), HireVue, AssessFirst, Textkernel, éditeurs d'ATS intégrant un module IA, fournisseurs de modèles de scoring de CV.

Obligations principales (Articles 8 à 21)

Évaluation de conformité avant mise sur le marché (Article 43)
Documentation technique (Article 11 et Annexe IV)
Système de gestion des risques (Article 9)
Gouvernance des données d'entraînement (Article 10)
Tenue automatique des journaux (Article 12)
Marquage CE et déclaration UE de conformité (Articles 47 et 48)
Surveillance post-commercialisation (Article 72)

Article 3 §4

Déployeur

Personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d'IA, sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel.

En pratique RH : directions des ressources humaines, cabinets de recrutement, agences d'intérim, cabinets d'executive search, plateformes d'emploi internes utilisant ces outils pour évaluer des candidats.

Obligations principales (Article 26 §1 à §11)

Utilisation conforme aux instructions du fournisseur (§1)
Supervision humaine effective (§2)
Pertinence des données d'entrée (§4)
Conservation des journaux de logs ≥ 6 mois (§6)
Information préalable des représentants du personnel (§7)
Coopération avec les autorités (§12)
Information de la personne concernée (§11)
FRIA si applicable (Article 27)

À retenir

Une même organisation peut cumuler les deux rôles selon les outils utilisés. Un cabinet de recrutement qui achète une licence LinkedIn Recruiter est déployeur au sens de l'Article 3 §4 (Microsoft demeure le fournisseur). Le même cabinet qui développerait en interne un modèle de scoring de CV pour son usage propre deviendrait à la fois fournisseur et déployeur de ce modèle, avec les obligations cumulées. L'Article 25 prévoit en outre des cas de requalification : un déployeur peut être considéré comme fournisseur s'il met son nom sur un système, le modifie substantiellement ou en change la finalité.

III. Les obligations du déployeur : lecture de l'Article 26

L'Article 26 du règlement (UE) 2024/1689 condense en onze paragraphes l'ensemble des devoirs incombant au déployeur d'un système d'IA à haut risque. Pour une direction des ressources humaines déployant un outil de tri automatisé, les obligations à intégrer dans la gouvernance interne sont les suivantes.

§1 — Respect des instructions d'utilisation du fournisseur

Le déployeur prend les mesures techniques et organisationnelles appropriées pour garantir qu'il utilise le système conformément à la notice d'utilisation accompagnant le système. Cette notice est elle-même encadrée par l'Article 13 du règlement et doit préciser les capacités, les limitations et les performances attendues du système.

§2 — Confier la supervision humaine à des personnes qualifiées

Le déployeur confie la supervision humaine à des personnes physiques qui disposent des compétences, de la formation et de l'autorité nécessaires, ainsi que du soutien nécessaire. Pour une décision de présélection de candidat, cela suppose un recruteur formé à comprendre les sorties algorithmiques, capable de les remettre en cause et habilité à infirmer une recommandation du système.

§4 — Pertinence des données d'entrée

Lorsque le déployeur exerce un contrôle sur les données d'entrée, il veille à ce que ces données soient pertinentes et suffisamment représentatives au regard de la finalité visée. Un cabinet qui charge des CV dans un outil de scoring doit s'assurer que le corpus injecté ne biaise pas systématiquement le résultat (par exemple, en filtrant en amont des CV par genre ou par origine).

§5 — Surveillance et signalement des incidents

Le déployeur surveille le fonctionnement du système sur la base de la notice d'utilisation et informe sans délai le fournisseur ainsi que l'autorité de surveillance compétente lorsqu'il identifie un risque ou un incident grave. La définition d'incident grave figure à l'Article 3 §49 du règlement.

§6 — Conservation des journaux de logs

Le déployeur conserve les journaux automatiquement générés par le système d'IA à haut risque, dans la mesure où ces journaux sont sous son contrôle, pendant une durée appropriée à la finalité du système et au minimum six mois. En pratique pour les RH, cela signifie conserver l'horodatage des décisions, l'identifiant du modèle utilisé, les entrées et les sorties associées à chaque candidature.

§7 — Information des représentants du personnel

Avant la mise en service ou l'utilisation d'un système d'IA à haut risque sur le lieu de travail, le déployeur informe les représentants des travailleurs et les travailleurs concernés qu'ils seront soumis à l'utilisation du système. En droit français, cette obligation s'articule avec l'article L.2312-38 du Code du travail qui rend obligatoire la consultation du comité social et économique en cas d'introduction de nouvelles technologies.

§11 — Information de la personne concernée

Lorsque le système d'IA à haut risque prend des décisions ou contribue à prendre des décisions concernant des personnes physiques, le déployeur informe ces personnes qu'elles sont soumises à l'utilisation d'un tel système. Pour un candidat, cela signifie que la mention "votre dossier a été analysé par un système d'aide à la décision automatisée" devient obligatoire avant ou pendant le processus de recrutement.

IV. La FRIA (Article 27) : l'évaluation d'impact sur les droits fondamentaux

L'Article 27 introduit une obligation spécifique pour certains déployeurs : conduire une Fundamental Rights Impact Assessment (FRIA, ou analyse d'impact sur les droits fondamentaux) avant la première utilisation du système. La FRIA est obligatoire pour les déployeurs qui sont des organismes de droit public ou des entités privées fournissant des services publics, ainsi que pour les déployeurs de systèmes utilisés à des fins d'évaluation de la solvabilité ou d'évaluation des risques en assurance vie et santé.

Pour les autres déployeurs RH (cabinets privés, entreprises hors services publics), la FRIA n'est pas strictement obligatoire au titre de l'Article 27, mais la DPIA (analyse d'impact relative à la protection des données, Article 35 du RGPD) demeure obligatoire pour la plupart des traitements RH, et le bon usage consiste à étendre cette DPIA pour couvrir également l'impact sur l'ensemble des droits fondamentaux.

Le contenu attendu d'une FRIA est précisé à l'Article 27 §1 : description des processus dans lesquels le système sera utilisé, période et fréquence d'utilisation, catégories de personnes susceptibles d'être affectées, risques de préjudice spécifiques, mesures de supervision humaine envisagées et mesures à prendre en cas de matérialisation des risques.

V. Calendrier d'application : 2 août 2026 et l'accord omnibus du 7 mai 2026

Le règlement (UE) 2024/1689 est entré en vigueur le 1^er août 2024. Son Article 113 prévoit une application échelonnée :

2 février 2025 : application des pratiques interdites (Article 5) et de l'obligation de littératie en IA (Article 4) — déjà en vigueur.
2 août 2025 : application des dispositions relatives aux modèles d'IA à usage général (Articles 51 à 56) — déjà en vigueur.
2 août 2026 : application générale du règlement, y compris des obligations relatives aux systèmes à haut risque de l'Annexe III (dont les usages RH).
2 août 2027 : application des obligations relatives aux systèmes haut risque embarqués dans des produits soumis à la législation européenne d'harmonisation (Annexe I).

Accord politique du 7 mai 2026

Le Parlement européen et le Conseil de l'Union européenne ont conclu le 7 mai 2026 un accord politique provisoire dans le cadre du Digital Omnibus on AI (procédure législative 2025/0359(COD)). Cet accord, qui doit encore être formellement adopté par les co-législateurs et publié au Journal officiel de l'Union européenne, prévoit le report de l'application des obligations Annexe III du 2 août 2026 au 2 décembre 2027. Tant que cette adoption formelle n'est pas intervenue, les dates initiales du règlement demeurent juridiquement en vigueur. Les obligations Article 4 (littératie), Article 5 (pratiques interdites) et chapitre relatif aux modèles à usage général ne sont pas affectées par cet accord.

VI. Articulation avec le RGPD et le Code du travail

Le règlement IA ne remplace pas le cadre existant : il s'y superpose. Pour un déployeur RH français, trois corpus de règles s'appliquent simultanément.

RGPD — Article 22

L'Article 22 du règlement (UE) 2016/679 (RGPD) confère à la personne concernée le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant de manière significative. Dans un processus de recrutement, une présélection automatisée intégralement opérée par un algorithme tomberait sous le coup de l'Article 22. La présence d'une supervision humaine effective (au sens de l'Article 26 §2 du règlement IA) permet d'échapper au champ strict de l'Article 22 RGPD, à condition que cette supervision ne soit pas formelle.

Code du travail — L.1221-9 et L.2312-38

L'article L.1221-9 du Code du travail impose qu'aucune information concernant personnellement un candidat à un emploi ne puisse être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. Cette obligation préexistante converge avec l'Article 26 §11 du règlement IA.

L'article L.2312-38 du Code du travail impose la consultation du comité social et économique en cas d'introduction de nouvelles technologies ou de tout aménagement important modifiant les conditions de travail. Cette consultation se cumule avec l'information des représentants du personnel prévue à l'Article 26 §7 du règlement IA.

CNIL et autorité de surveillance IA

La CNIL demeure compétente sur le volet protection des données du traitement RH. L'autorité française de surveillance des systèmes d'IA, prévue à l'Article 70 du règlement, est en cours de désignation. La DGCCRF et la CNIL figurent parmi les autorités pressenties.

VII. Sanctions prévues (Article 99)

L'Article 99 du règlement prévoit un régime de sanctions administratives à trois niveaux, mis en œuvre par chaque État membre.

Article 5 (pratiques interdites) : amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce plafond élevé ne concerne pas les obligations Article 26 RH.
Obligations Haut Risque (Articles 8 à 27) : amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. C'est ce régime qui s'applique au manquement aux obligations Article 26 d'un déployeur RH.
Informations inexactes aux autorités : amendes jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires.

L'Article 99 §6 instaure un plafond minimal pour les PME, y compris les jeunes entreprises : pour ces structures, c'est le montant le plus faible qui est retenu entre la valeur absolue et le pourcentage du chiffre d'affaires. Cette précision contredit l'argument fréquemment relayé selon lequel toute infraction PME conduirait à une amende plafonnée à 35 millions d'euros.

VIII. Cas pratique : cabinet de chasse de tête utilisant LinkedIn Recruiter

Soit un cabinet d'executive search français de douze consultants, utilisant LinkedIn Recruiter pour identifier et qualifier des profils, et un outil tiers de scoring pour prioriser les candidatures reçues sur un mandat de sélection de cadre dirigeant. Le cabinet ne développe aucun système d'IA en interne.

Qualification : LinkedIn Recruiter et l'outil de scoring relèvent de l'Annexe III §4(a). Microsoft et l'éditeur tiers sont fournisseurs. Le cabinet est déployeur des deux systèmes.

Documents à produire d'ici l'application des obligations :

Recueil et conservation des instructions d'utilisation (Article 13) fournies par Microsoft et l'éditeur tiers.
Politique interne de supervision humaine définissant le rôle du consultant dans la remise en cause des recommandations algorithmiques.
Procédure de conservation des journaux de logs sur six mois minimum (Article 26 §6).
Consultation du CSE (L.2312-38 Code du travail) ou, à défaut de CSE pour un cabinet sous le seuil, information écrite des salariés (Article 26 §7).
Mention d'information du candidat sur le caractère automatisé de la pré-évaluation (Article 26 §11 et L.1221-9 Code du travail).
DPIA RGPD (Article 35) couvrant le traitement de données candidats, complétée de l'analyse d'impact sur les droits fondamentaux.
Registre des incidents permettant le signalement à Microsoft et à l'autorité de surveillance en cas d'incident grave.

Aller plus loin

Pour structurer durablement la démarche, la norme ISO 42001 apporte un référentiel de système de management de l'IA qui couvre environ 80 % des exigences procédurales du règlement (UE) 2024/1689. Côté outils, le guide d'audit d'un ATS face à l'AI Act détaille les documents à exiger du fournisseur et les critères de surveillance humaine effective. Pour une lecture sectorielle, l'observatoire 2026 de l'executive search face à l'ISO 42001 mesure l'avancement réel des cabinets de recrutement de dirigeants. Le texte intégral du règlement est consultable sur EUR-Lex.