Oui, une IA qui présélectionne, classe ou évalue des candidats à l'embauche est « à haut risque » au sens du règlement IA de l'UE. L'annexe III, point 4 a), vise explicitement les systèmes de recrutement et de sélection, ce qui déclenche tout un empilement d'obligations légales : surveillance humaine, données testées contre les biais, transparence vis-à-vis des candidats, enregistrement automatique des événements et conservation des journaux pendant au moins six mois. « À haut risque » ne veut pas dire « interdit ». Cela veut dire « autorisé mais lourdement encadré », et si vous recrutez des candidats dans l'UE, c'est en grande partie vous qui portez la responsabilité. Les manquements peuvent coûter jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.

Ce guide fait le tri dans le brouhaha autour des dates et des amendes, deux points largement mal rapportés. Il explique ce que la loi exige réellement, qui porte la responsabilité, quelle est la vraie échéance après le report décidé par l'UE, et à quoi ressemble en pratique une infrastructure de recrutement défendable.

> Cet article est une information générale, pas un conseil juridique. Discutez de votre situation précise avec un avocat en droit du travail et votre délégué à la protection des données.

## Votre IA de recrutement est désormais « à haut risque ». Ce que cela signifie vraiment

Au titre du règlement IA de l'UE, un système d'IA utilisé « pour le recrutement ou la sélection de personnes physiques » est classé à haut risque. Cela englobe les outils qui diffusent des offres d'emploi ciblées, analysent et filtrent les candidatures, et évaluent ou classent les candidats. La même catégorie de l'annexe III (point 4 b)) couvre l'IA utilisée pour les promotions, les licenciements, la répartition des tâches et le suivi de la performance une fois la personne embauchée.

Le plus grand malentendu, c'est de croire que « haut risque » signifie « interdit ». Ce n'est pas le cas. Le règlement comporte trois niveaux : un petit ensemble de pratiques **interdites**, une bande plus large de systèmes **à haut risque**, et tout le reste. L'IA de recrutement se situe dans la bande à haut risque, ce qui signifie qu'il est légal de l'utiliser, mais uniquement si elle satisfait à un empilement d'exigences et si vous, l'employeur, assumez les obligations qui pèsent sur l'utilisateur.

Seul un ensemble restreint de pratiques liées au recrutement est purement et simplement interdit, et elles le sont depuis le 2 février 2025. La plus pertinente pour les RH est la **reconnaissance des émotions sur le lieu de travail**, que le règlement prohibe sauf pour des motifs médicaux ou de sécurité bien circonscrits. Si un fournisseur vous vend un outil d'entretien qui déduit l'état émotionnel d'un candidat à partir de son visage ou de sa voix, il ne s'agit pas d'un système à haut risque que vous pouvez piloter avec des garde-fous. C'est une pratique interdite, point final.

La vraie question n'est donc pas « puis-je utiliser l'IA dans le recrutement ? ». C'est « puis-je prouver que mon usage de l'IA satisfait aux exigences applicables aux systèmes à haut risque ? ».

## À partir de quand s'applique-t-il ? L'échéance d'août 2026 qui a bougé

L'échéance d'origine pour les obligations « haut risque » des systèmes autonomes de l'annexe III, recrutement compris, était fixée au **2 août 2026**. Cette date est désormais caduque, et la plupart des articles qui la citent n'ont pas suivi.

Le 19 novembre 2025, la Commission européenne a publié le **« paquet omnibus numérique sur l'IA »** (Digital Omnibus on AI), qui proposait de reporter l'échéance de conformité des systèmes à haut risque de l'annexe III du 2 août 2026 au **2 décembre 2027**. Les commissions IMCO et LIBE du Parlement européen ont soutenu ce report en mars 2026, et le Parlement et le Conseil sont parvenus à un accord politique provisoire sur le paquet en mai 2026.

À la mi-2026, le report reste provisoire. Il est acté sur le principe, mais pas encore formellement adopté ni publié au Journal officiel ; l'adoption est attendue avant la date initiale d'août 2026. La réponse honnête à « quand cela s'applique-t-il ? » comporte donc trois volets :

- **2 février 2025 :** les pratiques interdites (dont la reconnaissance des émotions au travail) sont déjà en vigueur. Ce n'est pas l'avenir. C'est le passé.
- **Globalement selon le calendrier initial :** l'obligation de culture de l'IA (article 4) et certaines obligations de transparence (article 50) ne font pas partie du report « haut risque ».
- **2 décembre 2027 (sous réserve d'adoption définitive) :** la totalité des obligations « haut risque » applicables aux systèmes de recrutement, ce que tout le monde appelle « l'échéance ».

Voyez ce délai supplémentaire comme l'occasion de bien faire les choses, pas comme un prétexte pour les ignorer. Si l'UE a repoussé l'échéance phare de son propre règlement, c'est en partie parce que les normes techniques n'étaient pas prêtes, ce qui vous donne une idée de l'ampleur du chantier. Les équipes qui attendront fin 2027 pour s'y mettre devront greffer surveillance et journalisation sur des outils qui n'ont jamais été conçus pour ça.

## Êtes-vous le fournisseur ou le déployeur ?

Le règlement IA de l'UE répartit la responsabilité entre deux rôles, et identifier le vôtre est la première chose à trancher. Si vous recrutez, vous êtes presque certainement le **déployeur**.

Le **fournisseur** est l'entité qui développe le système d'IA, ou le fait développer, et le met sur le marché sous son propre nom. Dans le recrutement, c'est l'éditeur de votre ATS ou le concepteur de votre outil de tri par IA. Les fournisseurs portent la charge de conformité la plus lourde : évaluation de conformité, marquage CE, documentation technique et enregistrement dans la base de données de l'UE.

Le **déployeur** est l'entité qui utilise le système sous sa propre autorité, dans le cadre de son activité professionnelle. C'est vous, l'employeur. Vos obligations sont différentes mais bien réelles, et elles figurent à l'article 26.

Il y a un piège qui mérite d'être nommé. Un déployeur peut **devenir fournisseur** et hériter de toute la charge correspondante s'il modifie substantiellement un système à haut risque ou l'utilise à une fin que le fournisseur n'avait pas prévue. Réentraînez un modèle de tri sur vos propres données, ou branchez une IA à usage général sur un circuit de rejet automatique pour lequel elle n'a jamais été vendue, et vous vous serez peut-être promu vous-même au rôle assorti des obligations les plus lourdes. Achetez des outils faits pour le travail plutôt que d'en bricoler un.

## Les obligations que doit respecter toute équipe RH en contact avec l'UE

L'article 26 et les exigences qui l'entourent se traduisent en une checklist concrète. Considérez-les comme des exigences produit que vous pouvez opposer à un fournisseur, et non comme des principes juridiques abstraits.

### Surveillance humaine : pas de rejet entièrement automatisé

L'article 14 impose que les systèmes à haut risque soient conçus pour permettre une surveillance humaine effective, et l'article 26(2) oblige les déployeurs à confier cette surveillance à des personnes physiques **compétentes, formées et habilitées** pour l'exercer. En clair, côté recrutement : une personne doit pouvoir comprendre le résultat produit par l'IA, l'interpréter correctement, décider de ne pas l'utiliser et le contredire.

Le schéma visé ici, c'est le pipeline de rejet automatique qui écarte les CV avant tout regard humain. Si votre outil élimine des candidats et que personne disposant de l'autorité nécessaire ne revoit ces décisions ni ne peut les annuler, vous n'avez pas de surveillance humaine. Vous avez une boîte noire avec un tampon de validation.

### Tests de biais et gouvernance des données

L'article 10 exige que les données d'entraînement, de validation et de test soient pertinentes, représentatives et examinées pour détecter d'éventuels biais. Dans le recrutement, c'est le cœur du risque de discrimination. Un modèle entraîné sur dix ans de données d'embauche historiquement biaisées reproduira ce biais à grande échelle. Vous devriez pouvoir demander à un fournisseur comment son système a été testé contre les effets discriminatoires et obtenir une vraie réponse.

### Enregistrement automatique des événements

L'article 12 impose que les systèmes à haut risque **permettent techniquement l'enregistrement automatique des événements (journaux)** tout au long de leur cycle de vie, à un niveau suffisant pour identifier les situations à risque et alimenter la surveillance après commercialisation. C'est une exigence de conception qui porte sur le système lui-même. Si un outil ne peut pas produire la trace de ce qu'il a fait et pourquoi, il ne peut pas satisfaire à l'article 12.

### Conservation des journaux pendant six mois

L'article 26(6) fait peser l'obligation de conservation sur vous : les déployeurs doivent **conserver les journaux générés automatiquement pendant au moins six mois**, sauf si une autre règle (comme le RGPD) impose une durée plus longue. Six mois, c'est un plancher, pas un plafond. Le test pratique : six mois après une décision d'embauche, êtes-vous capable de retrouver la trace de la façon dont elle a été prise ?

### Transparence vis-à-vis des candidats et des salariés

Deux obligations s'appliquent. L'article 26(7) impose à l'employeur d'**informer les représentants des travailleurs et les travailleurs concernés avant le déploiement** d'un système à haut risque sur le lieu de travail. L'article 26(11) impose d'informer les personnes soumises aux décisions du système. L'article 50 ajoute des obligations de transparence plus larges sur l'interaction avec l'IA. En résumé : candidats et collaborateurs ont le droit de savoir qu'une IA intervient dans la boucle.

### Droit à une explication pour les candidats refusés

C'est celle qui surprend tout le monde. L'article 86 accorde à toute personne concernée par une décision prise sur la base du résultat d'un système à haut risque, lorsque cette décision produit des effets juridiques ou des effets significatifs comparables, le droit à des **« explications claires et pertinentes sur le rôle du système d'IA dans la procédure décisionnelle et sur les principaux éléments de la décision prise »**. Un candidat refusé peut demander comment l'IA a pesé dans son rejet, et vous devez pouvoir répondre. « L'algorithme a dit non » n'est pas une réponse.

### AIPD et chevauchement avec le RGPD

Le règlement IA ne remplace pas le RGPD. Il s'y ajoute. Les décisions automatisées produisant des effets significatifs relèvent déjà de l'article 22 du RGPD, et un traitement à haut risque requiert généralement une **analyse d'impact relative à la protection des données (AIPD)**. Si vous menez déjà des AIPD pour les données des candidats, étendez-les au système d'IA. Si ce n'est pas le cas, cette lacune est antérieure au règlement IA et mérite d'être comblée dès maintenant.

<div class="blog-inline-cta">
  <p><strong>Vous voulez une stack de recrutement où ces garde-fous sont activés par défaut ?</strong> Kit consigne une décision attribuée et horodatée pour chaque passage à l'étape suivante et chaque rejet, conserve cet historique comme une donnée pérenne, et maintient un humain dans la boucle à chaque changement d'état.</p>
  <p><a href="/users/sign_up">Démarrez votre essai gratuit</a></p>
</div>

## Le vrai montant des amendes, et le mythe des 35 M€ dans le recrutement

L'erreur la plus fréquente dans la couverture du règlement IA, c'est le chiffre des amendes. Vous verrez « jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires » accolé au recrutement. Pour des manquements ordinaires aux obligations « haut risque » en recrutement, c'est faux.

L'article 99 fixe des sanctions à plusieurs niveaux :

| Type de manquement | Amende maximale |
|---|---|
| Pratiques interdites (ex. reconnaissance des émotions au travail) | 35 M€ ou 7 % du chiffre d'affaires mondial |
| **Manquements aux obligations « haut risque » (le niveau recrutement)** | **15 M€ ou 3 % du chiffre d'affaires mondial** |
| Fourniture d'informations inexactes ou trompeuses | 7,5 M€ ou 1 % du chiffre d'affaires mondial |

Dans chaque cas, le régulateur retient le montant le **plus élevé**. Le niveau 35 M€ / 7 % est réservé aux pratiques interdites, pas au fait de ne pas conserver vos journaux ou d'omettre une notification aux candidats. L'exposition pertinente pour un recrutement « haut risque » non conforme est de **15 millions d'euros ou 3 %**.

Un allègement est prévu pour les plus petites entreprises. L'article 99 plafonne les amendes des PME et des start-up au montant le **plus faible** entre le pourcentage et la somme fixe, et non le plus élevé. L'exposition est réelle, mais elle s'ajuste à votre taille au lieu de couler une jeune pousse en phase d'amorçage pour un oubli administratif.

## Le problème des ATS hérités : des trieurs automatiques qui rejettent avant tout regard humain

Le scénario archétypal du « haut risque sans garde-fous », c'est l'ATS hérité qui rejette automatiquement sur la base de mots-clés ou de questions éliminatoires avant qu'un humain ne voie le candidat. Il cumule d'un coup les trois éléments que le règlement vise : une décision automatisée, l'absence de surveillance humaine et l'absence d'explication.

Ce n'est pas une hypothèse d'école. Le même schéma de conception est au cœur d'un contentieux aux États-Unis. Dans l'affaire *Mobley v. Workday*, un tribunal fédéral a autorisé la poursuite de plaintes pour discrimination contre un fournisseur d'IA de recrutement, qualifié d'« agent » des employeurs qui l'utilisaient, précisément à propos de ce type de tri automatique. Le règlement IA de l'UE et les tribunaux américains convergent vers la même conclusion par des chemins différents : le risque, c'est le rejet automatique, opaque et sans intervention humaine, pas l'IA dans le recrutement en tant que telle. (Nous avons traité le volet américain dans [ce que le procès Workday sur l'IA de recrutement signifie pour tous les ATS](/blog/workday-ai-hiring-lawsuit-ats-liability).)

Si votre outil actuel est incapable de vous dire quels candidats il a rejetés automatiquement, pourquoi, et qui aurait pu annuler la décision, vous reproduisez exactement le schéma que recherchent à la fois le régulateur européen et les avocats des plaignants américains.

## Règlement IA de l'UE vs. Local Law 144 de New York

Les équipes américaines demandent souvent comment cela se compare à la règle qu'elles connaissent déjà. La **Local Law 144** de New York impose, depuis 2023, des **audits de biais** indépendants et annuels des outils automatisés de décision en matière d'emploi, ainsi qu'une notification aux candidats. C'est un point de repère utile, mais le régime de l'UE est bien plus large.

| Dimension | Local Law 144 (NYC) | Règlement IA de l'UE |
|---|---|---|
| Obligation centrale | Audit de biais indépendant annuel + notification aux candidats | Cycle de vie complet : surveillance, gouvernance des données, journalisation, transparence, explication |
| Champ d'application | Outils automatisés de décision en matière d'emploi | Toute IA de recrutement et de sélection à haut risque |
| Droit à l'explication | Notification qu'un outil est utilisé | Droit à une explication pertinente de la décision (art. 86) |
| Conservation | Résultats d'audit publiés | Journaux conservés au moins six mois (art. 26(6)) |
| Sanction maximale | Jusqu'à 1 500 USD par manquement | 15 M€ ou 3 % du chiffre d'affaires mondial |

La Local Law 144 est une loi d'audit de biais. Le règlement IA de l'UE est un régime de gouvernance couvrant tout le cycle de vie, avec des sanctions deux ordres de grandeur plus élevées. Si vous avez bâti votre processus autour de la Local Law 144, traitez-la comme un point de départ, pas comme une ligne d'arrivée.

## Votre checklist de conformité recrutement au règlement IA de l'UE

Voici ce qu'une équipe RH en contact avec l'UE devrait être capable de faire et de prouver. Copiez-la, transmettez-la à votre fournisseur, et cochez ce que votre stack actuelle couvre déjà.

1. **Confirmez votre rôle.** Vous êtes presque certainement le déployeur. Ne devenez pas fournisseur par accident en modifiant lourdement un outil ou en l'utilisant en dehors de sa finalité prévue.
2. **Cartographiez votre IA.** Recensez tout outil qui présélectionne, classe, note ou évalue des candidats. Chacun est présumé à haut risque.
3. **Supprimez les rejets entièrement automatisés.** Assurez-vous qu'un humain compétent, formé et habilité revoit et peut annuler chaque décision de rejet ou de passage à l'étape suivante (art. 14, 26(2)).
4. **Vérifiez les tests de biais.** Demandez à chaque fournisseur comment son système a été testé contre les effets discriminatoires, et obtenez-le par écrit (art. 10).
5. **Confirmez la journalisation des événements.** Le système doit enregistrer automatiquement ce qu'il a fait pour chaque décision (art. 12).
6. **Conservez les journaux au moins six mois.** Plus longtemps si le RGPD ou une autre règle l'exige (art. 26(6)).
7. **Informez les salariés et les candidats.** Informez les représentants des travailleurs avant le déploiement et les personnes soumises aux décisions (art. 26(7), (11), art. 50).
8. **Soyez prêt à expliquer.** Pour tout candidat refusé, vous devez pouvoir produire un compte rendu clair et pertinent de la façon dont l'IA a pesé (art. 86).
9. **Menez une AIPD.** Couvrez le système d'IA dans votre analyse d'impact relative à la protection des données et dans votre analyse au titre de l'article 22 du RGPD.
10. **Inscrivez la date à l'agenda.** Préparez l'entrée en vigueur des obligations « haut risque » au **2 décembre 2027** (sous réserve d'adoption définitive), sachant que les interdictions de pratiques sont déjà en vigueur depuis février 2025.

## À quoi ressemble une infrastructure de recrutement conforme, avec Kit comme exemple concret

Le moyen le plus propre de satisfaire à ces obligations, c'est d'utiliser un système de recrutement où elles découlent de l'usage normal plutôt que d'être des fonctions que l'on greffe. Le bon principe est simple à énoncer : l'IA assiste, les humains décident, et le système consigne. [Kit](/) est construit exactement autour de cette répartition des rôles.

**La surveillance humaine est structurelle, pas optionnelle.** Toute action qui change l'état d'une candidature exige un acteur humain. Rejeter, faire avancer, trancher une évaluation, formuler une offre : tout est attribué à une personne. Même les outils d'IA de Kit ne peuvent pas écarter un candidat de leur propre chef ; le circuit de rejet par IA exige un utilisateur connecté, un contrôle d'autorisation et une confirmation explicite. Il n'existe aucun chemin dans le code où l'IA rejette silencieusement un candidat, et c'est précisément la différence que recherchent les articles 14 et 26(2).

**La piste d'audit est automatique.** Kit modélise le pipeline sous forme d'enregistrements de progression d'étape attribués, chacun associé à une décision qui exige une justification écrite et consigne son auteur. La chronologie du candidat restitue le tout sous forme d'historique d'événements lisible par un humain. C'est « l'enregistrement automatique des événements tout au long du cycle de vie » de l'article 12, produit comme effet secondaire du recrutement plutôt que comme un projet de journalisation à part.

**La conservation est l'option par défaut, pas une corvée.** Comme les décisions et l'historique des étapes sont des enregistrements de base de données de premier ordre, et non des journaux éphémères qui finissent par disparaître, ils persistent bien au-delà du plancher de six mois de l'article 26(6). La charge bascule de « comment conserver mes journaux six mois » à « j'ai déjà l'historique complet et interrogeable ».

**La traçabilité et l'explication sont intégrées.** Kit indique si un signal provient de l'IA ou d'un humain, de sorte que le système sait, et peut révéler, quelles entrées sont issues de l'IA, ce qui répond aux obligations de transparence des articles 26(11) et 50. Et comme chaque décision porte un acteur identifié assorti d'une justification, et que les évaluations portent des scores rapportés à des critères nommés, Kit peut produire l'« explication claire et pertinente » que l'article 86 garantit aux candidats refusés.

Soyons clairs sur le périmètre : utiliser Kit ne vous rend pas automatiquement conforme. Vous restez responsable de votre AIPD, de vos notifications aux salariés et de la compétence des humains chargés de la surveillance. Ce que fait Kit, c'est activer par défaut les parties difficiles et faciles à négliger, pour que les enregistrements et les garde-fous attendus par le règlement IA existent déjà le jour où un régulateur, un candidat ou votre conseil d'administration les réclame.

Le règlement IA de l'UE n'a pas rendu le recrutement par IA illégal. Il a fait du recrutement par IA non documenté et sans intervention humaine une source de responsabilité. Les équipes qui s'en sortiront le mieux ne sont pas celles qui arrachent l'IA du recrutement. Ce sont celles qui peuvent montrer leur travail : qui a décidé, sur quelle base, avec quelle trace. Construisez cela maintenant, tant que l'échéance vous en laisse le temps, plutôt que de le greffer dans l'urgence fin 2027.

Vous voulez voir à quoi ressemble un pipeline de recrutement défendable, avec un humain dans la boucle ? [Démarrez un essai gratuit](/users/sign_up) ou lisez [ce qu'est réellement un ATS nativement IA](/blog/pipelines-as-code-hiring).