Décision automatisée en recrutement : ce qui est interdit
L'article 22 du RGPD interdit le refus automatique de candidature sans intervention humaine réelle. Exceptions, sanctions et mise en conformité.
Ce que l'article 22 du RGPD interdit en recrutement
L'article 22 du RGPD interdit qu'une décision de recrutement produisant un effet juridique ou vous affectant de manière significative — typiquement un rejet définitif de candidature — soit prise uniquement par un algorithme, sans intervention humaine réelle. Le tri de CV par IA reste autorisé : c'est l'automatisation totale de la décision finale, sans revue humaine, qui est prohibée.
Le texte est explicite : la personne concernée « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ». C'est le cœur du régime européen de protection des données appliqué à l'IA de recrutement.
Concrètement, un ATS ou un outil de matching qui écarte automatiquement une candidature en dessous d'un score seuil, sans qu'un recruteur ne réexamine ce rejet, tombe directement sous le coup de cette interdiction. Peu importe que l'outil soit performant ou que le score soit statistiquement fiable : c'est l'absence d'intervention humaine effective qui rend la décision illégale, pas la qualité de l'algorithme.
Quelles décisions RH sont concernées par l'interdiction
Toutes les étapes du recrutement ne sont pas logées à la même enseigne. L'article 22 vise les décisions à « effet juridique » ou « effet significatif », une notion que la CNIL a précisée dans sa doctrine sur le profilage et la décision entièrement automatisée.
| Situation de recrutement | Statut au regard de l'article 22 |
|---|---|
| L'IA calcule un score de matching CV/poste, un recruteur décide | Autorisé — aide à la décision, pas de décision automatisée |
| Rejet automatique sous un seuil de score, sans revue humaine | Interdit — effet significatif sans intervention humaine réelle |
| Présélection automatique d'une shortlist, validation humaine avant envoi | Autorisé — le recruteur garde le dernier mot |
| Analyse vidéo d'entretien qui élimine seule un candidat | Interdit — décision entièrement automatisée à effet significatif |
| Recruteur qui valide sans jamais examiner le classement de l'outil | Non conforme — validation de façade, pas une intervention réelle |
Le point commun des cas « interdits » : aucun humain ne réexamine réellement le dossier avant que la décision ne produise ses effets sur le candidat. C'est ce critère — et non l'usage de l'IA en tant que tel — qui déclenche l'application de l'article 22.
Les trois exceptions de l'article 22.2 du RGPD
L'interdiction n'est pas absolue. L'article 22.2 du règlement (UE) 2016/679 (RGPD, texte consolidé sur EUR-Lex) prévoit trois situations où une décision automatisée reste licite, sous réserve de garanties minimales.
| Exception | Condition | Garantie minimale exigée |
|---|---|---|
| Consentement explicite | Le candidat accepte librement et de façon éclairée | Droit de retirer son consentement à tout moment |
| Nécessité contractuelle | Indispensable à la conclusion ou l'exécution du contrat de travail | Droit d'obtenir une intervention humaine et de contester |
| Autorisation légale | Prévue par le droit de l'Union ou d'un État membre | Mesures spécifiques imposées par le texte légal lui-même |
Dans les trois cas, le candidat conserve un socle de droits que le responsable de traitement ne peut pas contourner : être informé qu'une décision automatisée a été prise, obtenir l'intervention d'un humain, exprimer son point de vue et contester le résultat. C'est ce que rappelle la CNIL dans sa fiche sur le droit à l'intervention humaine face au profilage.
En pratique RH, la majorité des employeurs ne se trouvent dans aucune de ces trois situations pour un rejet définitif : ni consentement explicite spécifique au rejet automatisé, ni texte de loi qui l'autoriserait. C'est pourquoi la seule voie réaliste de conformité reste de conserver une intervention humaine sur chaque décision qui écarte un candidat.
Passez a la vitesse superieure
Ne laissez plus vos ingénieurs d'affaires faire du secretariat. Équipez-les d'un outil qui divise par 5 le temps de création des dossiers de compétences.
Ce que la CNIL et l'EDPB entendent par intervention humaine réelle
Une intervention humaine de façade ne suffit pas. Les lignes directrices de l'ancien G29, reprises par l'EDPB (WP251), précisent que la personne qui intervient doit disposer de l'autorité et la compétence pour modifier la décision, avoir accès à toutes les informations pertinentes, et procéder à une analyse réellement indépendante du résultat produit par l'algorithme.
Un recruteur qui appose sa signature sur un classement généré par l'outil, sans jamais consulter le CV sous-jacent ni remettre en cause le score, ne constitue pas une intervention humaine au sens du RGPD. C'est une validation mécanique, pas une décision humaine — et elle n'exonère pas l'employeur de sa responsabilité.
La Cour de justice de l'Union européenne (affaire C-203/22, 27 février 2025) a renforcé cette exigence de transparence : en cas de décision fondée sur un traitement automatisé, la personne concernée peut exiger du responsable de traitement une explication concrète, compréhensible et concise de la procédure et des critères appliqués — la simple communication d'une formule ou d'un algorithme ne suffit pas. Transposé au recrutement, cela signifie qu'un employeur doit pouvoir expliquer, poste par poste, pourquoi un candidat a été écarté, sans se réfugier derrière « c'est l'algorithme qui a décidé ».
- -- Le recruteur doit pouvoir consulter le CV et le dossier complet, pas uniquement le score final.
- -- Il doit avoir la possibilité réelle de renverser la proposition de l'outil, y compris en repêchant un profil mal scoré.
- -- Cette revue doit être documentée et traçable, pour pouvoir en justifier en cas de plainte ou de contrôle CNIL.
Rester conforme avec l'IA : l'algorithme aide, l'humain décide
Le principe opérationnel à retenir pour un service RH est simple : l'IA trie et propose, l'humain examine et décide. Un outil de tri ou de matching peut légalement traiter des centaines de candidatures et produire un score, tant que le rejet final résulte d'un examen humain effectif du dossier.
Pour sécuriser ce principe en pratique, plusieurs garde-fous doivent être posés dès la conception du processus, en cohérence avec les recommandations sur la RGPD et tri de CV :
- Informer les candidats dès l'offre d'emploi ou l'accusé de réception qu'un outil d'IA participe à la présélection, avec une information sur la logique générale utilisée.
- Interdire le rejet automatique définitif dans le paramétrage de l'outil : le score doit produire une proposition, jamais un rejet final sans passage par un recruteur.
- Former les recruteurs à challenger le score plutôt qu'à le valider mécaniquement, en particulier sur les profils atypiques ou en reconversion.
- Documenter chaque revue humaine — qui a validé, sur quels critères, avec quelle marge d'appréciation — pour pouvoir répondre à une réclamation ou à un contrôle.
- Auditer régulièrement les biais de l'outil de matching, comme détaillé dans notre guide pour auditer les biais d'un outil de matching recrutement, pour vérifier que le score ne reproduit pas de discrimination indirecte.
Une solution de tri de CV par IA conçue pour ce principe présente les candidatures classées et argumentées, mais laisse systématiquement le recruteur valider, écarter ou repêcher chaque profil avant tout retour au candidat — c'est cette articulation qui rend l'usage de l'IA conforme à l'article 22, sans renoncer au gain de temps.
RGPD et AI Act : une double conformité à anticiper
L'article 22 du RGPD n'est plus la seule règle applicable aux outils d'IA de recrutement. Le règlement européen sur l'IA (AI Act, règlement 2024/1689) classe les systèmes utilisés pour diffuser des offres, trier ou évaluer des candidatures parmi les systèmes à haut risque de son annexe III, ce qui ajoute des obligations de supervision humaine, de documentation technique et de gestion des risques — en complément du RGPD, pas à sa place.
Ces obligations « haut risque », initialement prévues pour le 2 août 2026, ont été reportées au 2 décembre 2027 par l'accord politique du Digital Omnibus on AI conclu le 7 mai 2026 entre le Parlement européen et le Conseil, comme le documente le Legislative Train Schedule du Parlement européen. Ce report ne suspend en rien les obligations RGPD déjà en vigueur : l'interdiction de la décision entièrement automatisée s'applique dès aujourd'hui, indépendamment du calendrier de l'AI Act.
Pour un DRH ou un cabinet de recrutement, l'enjeu pratique est donc double : sécuriser dès maintenant l'intervention humaine sur chaque décision qui écarte un candidat (RGPD), et préparer d'ici fin 2027 la documentation de supervision humaine, l'évaluation des risques et la traçabilité exigées pour les systèmes à haut risque (AI Act). Notre article sur les obligations des employeurs sous l'AI Act détaille ce second chantier pas à pas.
Vérifiez votre conformité en un coup d'œil
Pour passer en revue les points de contrôle RGPD et AI Act de votre processus de recrutement — intervention humaine, information des candidats, documentation, audit des biais — consultez notre checklist de conformité IA RH.
Questions fréquentes
Le tri de CV par intelligence artificielle est-il interdit par le RGPD ?
Non, le tri de CV par IA n'est pas interdit en soi. Ce que l'article 22 du RGPD interdit, c'est qu'une décision produisant un effet juridique ou vous affectant de manière significative — comme le rejet définitif d'une candidature — soit prise uniquement par l'algorithme, sans intervention humaine réelle. L'IA peut légalement présélectionner, scorer ou classer des profils tant qu'un recruteur examine et valide chaque décision d'exclusion avant qu'elle ne devienne définitive.
Qu'est-ce qu'une décision individuelle automatisée au sens de l'article 22 du RGPD ?
C'est une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques à l'égard d'une personne ou l'affecte de manière significative de façon similaire. En recrutement, cela couvre typiquement le rejet automatique d'une candidature par un ATS ou un outil de matching sans revue humaine, ou un score éliminatoire qui exclut un candidat sans qu'aucun recruteur ne réexamine son dossier.
Un algorithme de recrutement peut-il refuser seul un candidat ?
Non, sauf dans l'un des trois cas prévus par l'article 22.2 du RGPD : le consentement explicite du candidat, la nécessité contractuelle, ou une autorisation légale assortie de garanties. En dehors de ces exceptions, un refus pris uniquement par l'algorithme, sans intervention humaine effective, est illégal et expose l'employeur à une plainte auprès de la CNIL.
Quelles sont les trois exceptions qui autorisent une décision automatisée en recrutement ?
L'article 22.2 du RGPD prévoit trois exceptions : le consentement explicite et éclairé du candidat, la nécessité de la décision pour l'exécution d'un contrat entre le candidat et l'employeur, et une base légale spécifique assortie de garanties. Même dans ces cas, le candidat conserve le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.
Que signifie concrètement une intervention humaine réelle selon la CNIL et l'EDPB ?
Selon les lignes directrices de l'EDPB (WP251) reprises par la CNIL, l'intervention humaine doit être menée par une personne ayant l'autorité et la compétence pour modifier la décision, disposant de toutes les informations pertinentes et procédant à une analyse indépendante du résultat produit par l'algorithme. Un recruteur qui valide systématiquement le classement de l'outil sans jamais l'examiner ni le remettre en cause ne constitue pas une intervention humaine réelle au sens du RGPD.
Le profilage de candidats est-il autorisé dans un processus de recrutement ?
Le profilage — l'évaluation automatisée d'aspects personnels comme les compétences, la personnalité ou l'adéquation au poste — est autorisé, mais il doit rester un outil d'aide à la décision. Il devient problématique uniquement lorsqu'il débouche sur une décision entièrement automatisée produisant un effet significatif, sans intervention humaine et sans respecter l'une des trois exceptions de l'article 22.
Que risque une entreprise qui prend une décision de recrutement entièrement automatisée illégale ?
L'entreprise s'expose à une plainte du candidat auprès de la CNIL, à une mise en demeure, puis à une sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel au titre du RGPD. S'y ajoute un risque prud'homal en cas de discrimination à l'embauche liée à un critère protégé introduit par l'algorithme.
Comment l'AI Act complète-t-il le RGPD pour les outils de recrutement par IA ?
L'AI Act classe les systèmes d'IA utilisés pour diffuser des offres, trier ou évaluer des candidatures comme systèmes à haut risque (annexe III). Il impose une supervision humaine effective, une documentation technique et une gestion des risques, en plus — et non à la place — des obligations du RGPD sur la décision automatisée. Ces obligations à haut risque, initialement prévues au 2 août 2026, ont été reportées au 2 décembre 2027 par l'accord politique du Digital Omnibus on AI du 7 mai 2026.
Pages associees
Pret a optimiser vos dossiers de compétences ?
Discutons de vos besoins et découvrez comment Profilya peut transformer votre processus commercial.