AI Act et recrutement 2026 : ce que votre ATS doit faire dès août 2026

AI Act 2026 : ce qui s'applique aux ATS

Le règlement (UE) 2024/1689, plus connu sous le nom d'AI Act, est entré en vigueur le 1^er août 2024. C'est le premier texte au monde à proposer une régulation horizontale de l'intelligence artificielle, fondée sur une logique de risque graduée. Le règlement classe les systèmes d'IA en quatre catégories : risque inacceptable (pratiques interdites), risque élevé (autorisé sous conditions strictes), risque limité (obligations de transparence) et risque minimal (libre). Les ATS dotés de fonctions d'IA — c'est-à-dire la quasi-totalité des ATS modernes — basculent dans la catégorie haut risque.

Le calendrier d'application en quatre vagues

Le texte n'entre pas en application d'un seul coup. Il prévoit un échelonnement réparti sur trois ans.

• 2 février 2025 : entrée en application des pratiques interdites (article 5) et des obligations de littératie IA pour les déployeurs (article 4).
• 2 août 2025 : entrée en application des obligations relatives aux modèles d'IA à usage général (GPAI) et du dispositif de gouvernance européen (Bureau IA, comité, autorités nationales).
• 2 août 2026 : entrée en application générale, en particulier des obligations applicables aux systèmes d'IA à haut risque listés à l'annexe III, ce qui inclut le recrutement.
• 2 août 2027 : entrée en application des obligations applicables aux systèmes à haut risque intégrés dans des produits couverts par une législation sectorielle de l'annexe I (machines, dispositifs médicaux, etc.).

Pour un éditeur ATS et pour une entreprise utilisatrice d'ATS, la date critique est le 2 août 2026. À cette date, le système doit être conforme, la documentation doit être prête, la déclaration de conformité doit être signée et le marquage CE apposé.

Pourquoi un ATS est qualifié de système à haut risque

L'annexe III du règlement liste huit domaines dans lesquels un système d'IA est automatiquement qualifié de haut risque. Le quatrième domaine s'intitule « Emploi, gestion de la main-d'œuvre et accès à l'emploi indépendant ». Son point a vise expressément « les systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats ». C'est extrêmement large. Sont concernés : le tri automatique de CV, le scoring d'adéquation candidat/offre, le matching algorithmique, le ranking de profils dans une CVthèque, la recommandation d'offres à un candidat, le chatbot de pré-qualification, la transcription et l'analyse d'entretien vidéo différé, la détection d'expressions clés dans un CV.

Le seuil de déclenchement est très bas. Un éditeur ATS qui propose une simple recherche sémantique enrichie par embedding sur sa base candidats tombe déjà dans le champ. A fortiori, un ATS qui propose du scoring ou du matching IA bascule sans ambiguïté en haut risque. Le règlement prévoit une dérogation à l'article 6 §3 pour les systèmes qui ne font que de la tâche purement procédurale ou d'amélioration mineure d'une activité humaine sans influence sur la décision : très peu d'ATS pourront s'en prévaloir, et c'est au fournisseur de documenter cette qualification.

Fournisseur vs déployeur : qui fait quoi

Le règlement distingue deux rôles clés. Le fournisseur (provider) est celui qui développe le système d'IA et le met sur le marché sous son propre nom : c'est l'éditeur ATS. Le déployeur (deployer) est celui qui utilise le système d'IA dans le cadre de son activité : c'est l'entreprise utilisatrice de l'ATS.

Le fournisseur supporte le poids principal du règlement : documentation technique (article 11), système de gestion des risques (article 9), gouvernance des données (article 10), journalisation (article 12), transparence et information du déployeur (article 13), supervision humaine intégrable (article 14), exactitude, robustesse et cybersécurité (article 15), évaluation de conformité (article 43) et marquage CE (article 48). Le déployeur, lui, doit utiliser le système conformément à la notice du fournisseur, assurer une supervision humaine effective, conserver les logs générés, informer les personnes concernées et notifier tout incident grave (articles 26 et 27).

Dans la pratique, si vous êtes DRH, vous êtes déployeur. Vous n'avez pas à rédiger la documentation technique de votre ATS, mais vous devez exiger de votre éditeur la preuve qu'elle existe, qu'elle est à jour, et vous devez être capable de la produire en cas de contrôle. C'est exactement ce que demande la CNIL depuis plusieurs années en matière de RGPD : la responsabilité documentaire ne se délègue pas, même si la production technique est confiée à un tiers.

Les 6 obligations concrètes pour votre ATS dès 2026

Voici les six obligations qui structurent le quotidien d'un éditeur ATS à compter du 2 août 2026 et dont chaque déployeur doit être capable de vérifier le respect. Chacune renvoie à un ou plusieurs articles précis du règlement (UE) 2024/1689. Aucune n'est facultative.

1. Documentation technique du système d'IA

L'article 11 et l'annexe IV du règlement imposent au fournisseur de rédiger et de tenir à jour une documentation technique complète du système. Cette documentation décrit la finalité prévue du système, son architecture, les algorithmes employés, les jeux de données utilisés pour l'entraînement, la validation et le test, les métriques de performance, les biais potentiels identifiés et les mesures correctives, les limites connues, les cas d'usage interdits, les modalités de supervision humaine, la procédure de gestion des incidents.

Pour un ATS, cela veut dire : un dossier technique décrivant la chaîne de matching (modèle d'embedding, base d'entraînement, métriques de précision et de rappel, audit de biais sexe/âge/origine), le fonctionnement du scoring (poids des variables, intervalles de confiance, biais détectés), la procédure d'amélioration continue. Ce dossier doit être communicable aux autorités nationales (en France, la CNIL coordonne avec la DGCCRF et l'ARCEP). Il doit être conservé pendant 10 ans à compter de la mise sur le marché. Concrètement, vous devez pouvoir demander à votre éditeur ATS une version résumée ou opposable de ce dossier en annexe contractuelle.

2. Système de gestion des risques

L'article 9 impose la mise en place d'un système de gestion des risques itératif et continu, documenté tout au long du cycle de vie du système. Ce système identifie et analyse les risques connus et raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux, estime et évalue les risques susceptibles d'apparaître en utilisation conforme et en mauvaise utilisation prévisible, évalue les risques sur la base de l'analyse des données collectées via le système de surveillance après commercialisation, et adopte des mesures de gestion ciblées.

Pour un ATS, le risque type est le biais discriminatoire : un modèle entraîné sur dix ans d'historique de recrutement peut reproduire et amplifier des biais sexe, âge, origine, handicap ou nom à consonance étrangère. La gestion des risques impose à l'éditeur d'identifier ces biais (par exemple via des tests sur cohortes contrôlées), de les documenter, de les mitiger (rééquilibrage des données, dépondération de variables corrélées) et de réévaluer en continu après mise en production. Côté déployeur, l'entreprise utilisatrice doit recevoir et conserver les rapports de risques fournis par l'éditeur.

3. Données d'entraînement : qualité et biais

L'article 10 du règlement impose une gouvernance stricte des données utilisées pour entraîner, valider et tester les systèmes d'IA à haut risque. Les jeux de données doivent être pertinents, suffisamment représentatifs, exempts d'erreurs et complets autant que possible. Ils doivent prendre en compte les caractéristiques propres au cadre géographique, comportemental ou fonctionnel d'utilisation. Pour détecter et corriger les biais, le règlement autorise même, par dérogation au RGPD, le traitement de catégories particulières de données (article 9 RGPD) lorsque c'est strictement nécessaire à cette correction.

Pour un ATS, cela impose à l'éditeur de documenter d'où viennent ses données d'entraînement : CV historiques, offres d'emploi, classifications ROME, référentiels de compétences. Si l'ATS s'appuie sur des modèles tiers (OpenAI, Anthropic, Mistral, modèles open source HuggingFace), l'éditeur doit avoir vérifié et tracé la chaîne d'entraînement de ces modèles. Cette traçabilité est notoirement difficile sur les modèles fermés américains.

4. Logs et traçabilité — cohérence avec le RGPD

L'article 12 impose au système d'IA de générer automatiquement des journaux (logs) tout au long de son cycle de vie. Les logs doivent permettre la surveillance du fonctionnement, la détection des situations à risque et l'audit a posteriori. Pour un ATS, cela signifie que chaque score IA attribué, chaque proposition de matching, chaque action algorithmique doit être horodatée, attribuable au candidat et à l'utilisateur côté recruteur, et conservée.

Cette exigence est cohérente avec ce qu'impose le RGPD au titre de l'accountability et du droit à l'information (articles 13, 14 et 22 RGPD). Notre article de référence sur la conservation des données candidats détaille ce point. La durée de conservation des logs AI Act est à articuler avec la durée de conservation RGPD : à défaut de précision du règlement, une bonne pratique consiste à aligner sur la durée de conservation principale de la fiche candidat (2 ans après le dernier contact pour un candidat refusé, sauf consentement explicite à conservation plus longue).

5. Supervision humaine effective

L'article 14 est sans doute l'obligation la plus structurante pour l'ergonomie d'un ATS. Le système d'IA à haut risque doit être conçu et développé pour pouvoir être effectivement supervisé par des personnes physiques pendant son utilisation. La supervision doit permettre de comprendre correctement les capacités et limites du système, de surveiller son fonctionnement, d'éviter ou de limiter les risques liés à l'automatisation, d'intervenir dans le fonctionnement du système ou d'interrompre celui-ci, et de ne pas se reposer automatiquement sur la sortie du système (effet « rubber-stamping »).

Pour un ATS, cela disqualifie tout workflow où l'IA élimine seule un candidat. Le scoring peut classer, mais c'est l'humain qui décide de retenir ou d'écarter. L'interface utilisateur doit rendre la décision humaine évidente, non contournable, et tracée. Un ATS qui propose un bouton « auto-rejet en-dessous de 60 % de score » sans intervention humaine consciente est non conforme. Un ATS qui présente le score à titre indicatif, exige un clic explicite du recruteur pour chaque décision et trace ce clic est conforme.

6. Conformité CE et déclaration UE

L'article 43 impose une procédure d'évaluation de conformité avant la mise sur le marché. Pour les systèmes à haut risque visés à l'annexe III (dont les ATS), la procédure est dans la plupart des cas un contrôle interne basé sur l'annexe VI : le fournisseur vérifie lui-même la conformité, rédige la déclaration UE de conformité (article 47), appose le marquage CE (article 48) et enregistre le système dans la base de données européenne (article 49 et 71).

Cela signifie qu'à compter du 2 août 2026, tout ATS proposé sur le marché européen devra afficher un marquage CE et fournir, sur demande du client, une déclaration UE de conformité signée du représentant légal du fournisseur. C'est un document à exiger contractuellement avant tout déploiement, et à conserver côté déployeur dans le dossier RGPD/IA de l'entreprise.

L'enjeu spécifique aux ATS français : pourquoi la souveraineté change tout

Au-delà du cadre uniforme imposé par le règlement européen, le choix d'un ATS hébergé et opéré en France ou en Europe présente trois avantages structurels en matière de conformité AI Act, qui simplifient significativement la tâche du DRH et du DPO.

Souveraineté de la donnée d'entraînement

L'article 10 du règlement impose que les données d'entraînement soient pertinentes et représentatives du cadre d'utilisation. Pour un ATS destiné au marché français, cela veut dire entraîné sur des CV français, des offres d'emploi rédigées en français, des classifications ROME, INSEE et France Travail, des conventions collectives nationales, des spécificités juridiques locales (CDD d'usage, intermittence, alternance, vacation). Un ATS américain entraîné principalement sur des CV anglo-saxons reproduira inévitablement des biais culturels (importance accordée aux Ivy League, structuration différente du parcours, format CV résumé sans photo et sans date de naissance).

Un ATS dont les données d'entraînement et le modèle restent sur des serveurs français est non seulement plus performant sur le marché du travail français, mais il est aussi plus simple à auditer : la chaîne de provenance des données est plus courte, le contrôle des autorités françaises est plus direct, le risque de transfert hors UE est nul.

Articulation native avec le RGPD et l'article 22

Le règlement (UE) 2016/679 (RGPD) prévoit à son article 22 un droit pour la personne concernée de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant de manière significative. Cet article s'applique au recrutement : un candidat éliminé par un algorithme seul peut invoquer ce droit. L'AI Act vient renforcer cette protection en amont par la supervision humaine obligatoire (article 14 AI Act).

Un ATS européen, déjà construit nativement autour du RGPD, intègre cette logique dès la conception : pas de décision automatique, scoring à titre indicatif, droit d'accès et de rectification natif, journalisation complète. Un ATS extra-européen doit ré-architecturer son produit pour s'aligner — ce qui prend du temps et coûte cher au déployeur en termes de configuration, de paramétrage et de paramétrage par défaut prudent.

Surveillance après commercialisation et incidents graves

L'article 72 du règlement impose au fournisseur un système de surveillance après commercialisation et l'article 73 lui impose de notifier dans des délais courts (15 jours, 2 jours pour les incidents critiques) toute défaillance susceptible de constituer un risque grave. Pour un déployeur, dépendre d'un éditeur dont les équipes produit, support et juridique sont accessibles dans la même langue, le même fuseau horaire et le même cadre juridique simplifie radicalement la gestion d'incident. Quand un biais discriminatoire est détecté sur votre ATS, le délai entre l'alerte et la correction est ce qui détermine l'exposition juridique de votre entreprise.

ATS conforme vs ATS non-conforme : checklist en 10 points

Voici les dix critères concrets que toute entreprise déployant un ATS devrait vérifier d'ici le 2 août 2026. Ces critères sont issus directement du règlement (UE) 2024/1689 et des lignes directrices publiées par la Commission européenne et la CNIL. Pour chaque critère, nous indiquons ce qui caractérise un ATS conforme et ce qui caractérise un ATS non-conforme.

Combien d'éditeurs ATS sont prêts ? Sur la base d'un benchmark interne mené en mai 2026 sur les vingt premiers ATS commercialisés sur le marché français, seuls quatre éditeurs revendiquent une conformité documentée sur les dix critères ci-dessus. Sept éditeurs sont à mi-chemin (typiquement : RGPD oui, supervision humaine oui, mais documentation technique IA et marquage CE non encore prêts). Neuf éditeurs n'ont pas encore engagé publiquement de chantier de conformité AI Act, dont une majorité d'éditeurs extra-UE. Le marché va significativement se redessiner d'ici fin 2026.

Si vous êtes en train de réévaluer votre ATS ou de répondre à un appel d'offres, ces dix critères constituent une grille d'analyse comparative directement utilisable. Pour aller plus loin, nous publions également une checklist ATS gratuite de 50 points qui intègre ces dimensions IA Act et RGPD, ainsi qu'un guide RGPD recrutement mis à jour avec les croisements AI Act.

Comment MyCVthèque répond à l'AI Act

MyCVthèque V2 est édité par PRESTADEV, société française basée en Normandie, et opéré sur l'infrastructure OVHcloud (datacenters Gravelines et Roubaix). En tant que fournisseur d'un ATS visé à l'annexe III du règlement (UE) 2024/1689, nous nous positionnons sur les six obligations de la manière suivante.

Hébergement et infrastructure : 100 % France

L'intégralité des données candidats, candidatures, documents et logs est hébergée sur OVHcloud France. Aucune donnée candidat ne traverse l'Atlantique. Les serveurs de production et de sauvegarde sont localisés sur le territoire métropolitain, ce qui simplifie radicalement les analyses d'impact RGPD post-Schrems II et l'instruction des demandes d'exercice de droits.

Moteur IA maison sur VPS OVH : pas d'OpenAI, pas de Google

La couche IA de MyCVthèque V2 (matching, scoring, recherche sémantique) repose sur un moteur développé en interne par notre équipe R&D, déployé sur des serveurs VPS OVH français. Nous n'envoyons pas vos données candidats à OpenAI, Anthropic ou Google. Cette architecture nous permet de documenter intégralement la chaîne d'entraînement (article 10 AI Act), de garantir la traçabilité des logs (article 12) et d'exclure tout transfert hors UE des données candidats par effet de bord d'une API externe. Cette feuille de route souveraine est une priorité de notre roadmap produit : nous itérons en continu pour rapprocher les performances du moteur maison de celles des leaders internationaux, en maîtrisant le coût et la conformité.

Supervision humaine native : human-in-the-loop par défaut

Aucune décision d'élimination de candidat n'est prise automatiquement par MyCVthèque. Le scoring et le matching sont présentés au recruteur à titre indicatif. Chaque changement de statut (retenu, en entretien, écarté, refusé) requiert un clic explicite d'un utilisateur identifié, et chaque clic est journalisé avec l'utilisateur, le score IA au moment de la décision, et l'horodatage. Cette journalisation est exportable en CSV par l'administrateur du tenant et conservée sur toute la durée de vie de la fiche candidat.

Documentation technique disponible sous NDA

Nous tenons à disposition de nos clients, sur demande contractuelle et sous accord de confidentialité, un dossier technique conforme à l'annexe IV du règlement décrivant l'architecture IA, les données d'entraînement, les métriques de performance et les audits de biais. Ce dossier est mis à jour à chaque release majeure et un changelog est tracé. Il peut être annexé au contrat de sous-traitance RGPD et fourni au DPO du client pour archivage dans son registre des traitements.

Logs d'audit complets, exportables et opposables

Toutes les actions effectuées sur la plateforme — connexions utilisateurs, modifications de statut, envois d'email, déclenchements de scoring, exports de données, suppressions RGPD — sont consignées dans un journal d'audit immutable, exportable et conservé conformément à la politique de conservation du tenant. En cas de contestation d'un candidat refusé invoquant une décision automatisée, l'entreprise utilisatrice est en mesure de produire le log complet de la chronologie de traitement de la candidature, depuis la réception jusqu'à la décision humaine finale.

Que faire d'ici août 2026 ? Plan d'action 90 jours

Si vous lisez cet article entre juin et début août 2026, vous disposez d'environ 60 à 90 jours pour mettre votre organisation en conformité. Voici un plan d'action concret, séquencé sur trois sprints de 30 jours, conçu pour une PME ou un cabinet RH de 10 à 100 salariés. Pour un grand groupe, multipliez les délais par 2 et impliquez la direction juridique groupe dès la première étape.

Sprint 1 (J0 — J+30) : audit de votre ATS actuel

L'objectif du premier sprint est d'établir une cartographie précise de votre exposition AI Act. Concrètement, déroulez la checklist en 10 points de la section précédente avec votre éditeur ATS : demandez par écrit la déclaration de conformité, le statut du marquage CE, la documentation technique annexe IV, le rapport d'audit de biais le plus récent, la procédure de supervision humaine documentée et la politique de logs. Si l'éditeur ne répond pas ou répond évasivement sur trois critères ou plus, considérez que votre ATS sera non-conforme au 2 août 2026 et basculez en plan B : sélection d'un éditeur conforme et planification d'une migration.

En parallèle, identifiez en interne le responsable du chantier AI Act recrutement. Dans la plupart des organisations, c'est le DRH, en binôme avec le DPO et un référent juridique. Cette équipe sera l'interlocutrice unique de l'éditeur et de la CNIL en cas de contrôle.

Sprint 2 (J+30 — J+60) : mise à jour documentaire et processus

Le deuxième sprint produit les livrables documentaires obligatoires côté déployeur.

• Note de service interne RH : un document de 2 à 3 pages qui définit la politique d'usage de l'IA dans le processus de recrutement de l'entreprise (cas autorisés, cas interdits, supervision humaine, traçabilité, escalade incident). Cette note est diffusée à toute l'équipe RH et signée pour acceptation.
• Mise à jour des mentions légales du site carrière : une mention explicite que les candidatures peuvent être analysées par un système d'IA à des fins de pré-tri, que la décision reste humaine, et que le candidat dispose d'un droit d'intervention humaine, d'expression de son point de vue et de contestation conformément à l'article 22 RGPD et au considérant 73 de l'AI Act.
• Mise à jour de l'AIPD/DPIA : si vous aviez déjà une analyse d'impact RGPD sur le traitement « gestion des candidatures », elle doit être révisée pour intégrer la qualification haut risque AI Act et les mesures de mitigation associées. Si vous n'en aviez pas, c'est le moment de la rédiger.
• Avenant au contrat éditeur ATS : annexer la déclaration UE de conformité, la documentation annexe IV, et le SLA de notification d'incident grave (15 jours / 2 jours selon criticité).

Sprint 3 (J+60 — J+90) : formation et test grandeur nature

Le troisième sprint opérationnalise la conformité auprès des équipes utilisatrices.

• Formation équipe RH : une demi-journée sur l'AI Act et son articulation avec le RGPD, animée par le DPO ou un prestataire externe. Objectif : comprendre la qualification haut risque, savoir reconnaître une situation d'auto-rejet déguisée, savoir tracer une décision dans l'ATS, savoir répondre à un candidat qui invoque l'article 22 RGPD.
• Test du processus avec un faux candidat : créez une candidature de test, faites-la traverser tout le pipeline (réception, scoring, qualification, entretien, décision finale), puis exigez d'un membre de l'équipe RH qu'il produise sur demande la chronologie complète documentée. C'est l'équivalent d'un exercice incendie : il révèle les angles morts du processus avant qu'un véritable candidat ne les pointe.
• Mise en place d'une revue trimestrielle : la conformité AI Act n'est pas un projet ponctuel mais un processus continu. Inscrivez à l'agenda une revue trimestrielle de 90 minutes co-pilotée DRH/DPO/juriste pour faire le point sur les incidents, les évolutions produit éditeur, les évolutions jurisprudentielles et les éventuelles plaintes candidats.

Au terme de ces 90 jours, votre organisation dispose d'un dossier de conformité opposable, d'une équipe formée et d'un processus rodé. Vous êtes prêt à affronter la date du 2 août 2026 en confiance et à répondre sereinement à un contrôle CNIL ou à un contentieux candidat.

FAQ — 10 questions DRH / DPO sur l'AI Act recrutement

Mon ATS doit-il être audité par un organisme tiers en 2026 ?

Pour les systèmes d'IA à haut risque visés à l'annexe III du règlement (UE) 2024/1689, dont le recrutement fait partie, le règlement impose une évaluation de conformité avant la mise sur le marché. Pour la plupart des ATS, cette évaluation prend la forme d'une procédure de contrôle interne basée sur l'annexe VI, avec déclaration de conformité signée par le fournisseur et marquage CE. L'intervention d'un organisme notifié n'est exigée que pour certaines catégories particulières (biométrie distante notamment), ce qui n'est pas le cas du tri de CV. En revanche, le déployeur (l'entreprise utilisatrice) doit conserver les preuves de cette évaluation et pouvoir les présenter en cas de contrôle.

L'AI Act s'applique-t-il aux TPE et PME qui recrutent ?

Oui. Le règlement s'applique à toute entreprise déployant un système d'IA à haut risque, sans seuil de taille. Une TPE de cinq personnes qui utilise un ATS avec scoring de CV est concernée au même titre qu'un grand groupe. Le règlement prévoit toutefois un régime allégé pour les PME et micro-entreprises s'agissant du système de gestion de la qualité (article 17 §2) et de certaines obligations documentaires, et impose à la Commission de mettre à disposition des outils gratuits pour faciliter la conformité. Concrètement, une TPE doit néanmoins respecter la supervision humaine, l'information du candidat et la conservation des logs.

Le scoring automatique de CV est-il interdit par l'AI Act ?

Non, il n'est pas interdit. L'AI Act qualifie le scoring de CV de système d'IA à haut risque (annexe III, point 4.a), ce qui signifie qu'il est autorisé sous conditions strictes : documentation technique, gestion des risques, qualité des données, journalisation, supervision humaine effective et information du candidat. Ce qui est interdit en revanche par l'article 5, c'est la notation sociale généralisée des personnes physiques par des autorités publiques ou pour leur compte. Le scoring CV à des fins de recrutement par un employeur privé reste licite, mais encadré.

Comment prouver qu'un candidat n'a pas été éliminé par l'IA seule ?

La preuve repose sur trois éléments cumulatifs. Premier élément, les logs applicatifs de l'ATS doivent retracer la chronologie des actions : score IA attribué, recruteur ayant pris la décision finale, horodatage. Deuxième élément, la supervision humaine doit être documentée par un workflow où l'IA propose un classement mais où la décision d'éliminer ou de retenir relève toujours d'un utilisateur identifié. Troisième élément, le candidat doit avoir été informé que l'IA était utilisée à un stade non décisionnel, conformément à l'article 26 du règlement AI Act et à l'article 22 du RGPD. En cas de contentieux, c'est l'employeur qui supporte la charge de la preuve de l'intervention humaine effective.

Quelle amende en cas de non-conformité à l'AI Act ?

Le régime de sanctions, défini à l'article 99 du règlement, est étagé. Les pratiques interdites (article 5) sont sanctionnées jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Le non-respect des obligations applicables aux systèmes à haut risque, ce qui concerne les ATS, est sanctionné jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. La fourniture d'informations inexactes aux autorités est sanctionnée jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial. Pour les PME et start-up, le règlement précise que les montants retenus sont les plus bas des deux plafonds, et la proportionnalité doit être respectée.

Quelle différence entre l'AI Act et l'article 22 du RGPD ?

L'article 22 du RGPD interdit la décision exclusivement automatisée produisant des effets juridiques ou affectant de manière significative une personne, sauf consentement explicite, exécution d'un contrat ou autorisation légale, et impose un droit d'intervention humaine, d'expression de son point de vue et de contestation. L'AI Act intervient en amont et de façon transversale : il qualifie le système d'IA, impose au fournisseur une documentation technique, une analyse de risques et un marquage CE, et impose au déployeur une supervision humaine effective et une information loyale. En pratique, les deux textes se cumulent : l'AI Act sécurise la mise sur le marché et le déploiement de l'outil, le RGPD protège le droit individuel du candidat.

Un ATS américain (Workday, Lever, Greenhouse) est-il conforme à l'AI Act ?

Le règlement (UE) 2024/1689 s'applique à tout système d'IA mis sur le marché ou mis en service dans l'Union, quelle que soit la localisation du fournisseur. Un ATS américain commercialisé en Europe doit donc respecter les mêmes obligations qu'un éditeur européen et doit désigner un mandataire établi dans l'Union (article 22 du règlement). Cela dit, en pratique, le déployeur français doit vérifier trois points : la déclaration de conformité et le marquage CE, l'existence d'un mandataire UE identifiable, et la localisation des serveurs au regard du RGPD et de la jurisprudence Schrems II. Un ATS hébergé exclusivement en France ou en Europe simplifie significativement ce second point.

Faut-il consulter la CNIL avant de déployer un ATS avec IA ?

La consultation préalable n'est obligatoire qu'en cas d'analyse d'impact (AIPD/DPIA) faisant apparaître un risque résiduel élevé que le responsable de traitement ne peut pas mitiger (article 36 RGPD). En pratique, pour un ATS standard à supervision humaine, une AIPD documentée et conservée par le DPO suffit. La CNIL a publié en 2023 et 2024 plusieurs lignes directrices sur le recrutement et l'IA, qu'il est recommandé d'intégrer comme référentiel interne. Un avis formel n'est requis que pour les usages les plus sensibles (par exemple traitement de données biométriques à grande échelle).

Le matching candidat/offre est-il visé par l'AI Act ?

Oui. L'annexe III, point 4.a du règlement vise les systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres ciblées, analyser et filtrer les candidatures et évaluer les candidats. Le matching algorithmique, qui propose à un recruteur un score d'adéquation entre un CV et une offre, tombe directement dans cette catégorie. Il est donc autorisé sous les conditions du haut risque, et impose au déployeur une supervision humaine effective : le score ne doit jamais déclencher une élimination automatique.

Quand est-ce que l'AI Act s'applique pile pour le recrutement ?

Le règlement (UE) 2024/1689 est entré en vigueur le 1^er août 2024. Les pratiques interdites (article 5) s'appliquent depuis le 2 février 2025. Les règles sur les modèles de fondation et la gouvernance s'appliquent depuis le 2 août 2025. La grande majorité des obligations applicables aux systèmes à haut risque, ce qui concerne directement les ATS, entrent en application le 2 août 2026. Une dernière vague concernant certains systèmes intégrés dans des produits soumis à législation sectorielle s'appliquera le 2 août 2027. Pour un DRH ou un DPO, la date clé à retenir est donc le 2 août 2026.