Checklist conformité IA RH : les 8 points à vérifier
Une checklist de conformité IA RH couvre 8 points : base légale RGPD, information des candidats, durées de conservation, décision automatisée et intervention humaine, classification AI Act, audit des biais, sous-traitance et sécurité. Chaque point ci-dessous précise quoi vérifier, pourquoi, et s'appuie sur une source CNIL ou AI Act officielle.
Pourquoi la conformité IA RH est incontournable en 2026
Deux calendriers réglementaires convergent la même année. Le recrutement figure parmi les thématiques prioritaires de contrôle de la CNIL pour 2026, annoncées le 3 avril 2026 : algorithmes de tri non déclarés, candidats mal informés et CV conservés trop longtemps seront vérifiés en priorité.
Parallèlement, le règlement européen sur l'intelligence artificielle (AI Act) classe les outils IA de recrutement en catégorie haut risque. Ses obligations pour les employeurs déployeurs — pas seulement les éditeurs SaaS — entrent en application le 2 août 2026.
Concrètement, un service RH qui utilise un tri de CV par IA pour présélectionner des candidatures doit désormais documenter son traitement des deux côtés à la fois : protection des données personnelles (RGPD) et gestion du risque algorithmique (AI Act). Anas Rabhi, fondateur de Profilya, résume l'enjeu ainsi : « les ESN et DRH qui attendent le contrôle pour se mettre en conformité perdent le temps qu'ils cherchaient justement à gagner avec l'IA ».
La checklist conformité IA RH : les 8 points à vérifier
Cochez chaque point au fur et à mesure de votre audit. Rien n'est envoyé ni enregistré : le suivi reste local à votre navigateur.
Recevez cette checklist au format PDF
Gardez les 8 points, leurs sources et un espace de suivi à portée de main pour votre prochain audit interne ou votre prochain rendez-vous avec votre DPO.
RGPD et information des candidats : les erreurs les plus fréquentes
Une base légale mal identifiée
Beaucoup de services RH traitent le sourcing et la sélection comme un seul et même traitement. Or la CNIL distingue l'intérêt légitime pour collecter des CV sur les jobboards, et les mesures précontractuelles pour évaluer une candidature reçue. Un registre des traitements RH à jour, qui mentionne explicitement l'outil IA utilisé, permet de répondre immédiatement à un contrôle.
Une mention RGPD incomplète
L'information au candidat ne peut pas se limiter à « vos données sont traitées conformément au RGPD ». Elle doit préciser l'existence d'un scoring ou d'un classement automatisé, la durée de conservation applicable, et les modalités d'exercice du droit d'accès. Cette mention doit apparaître sur l'offre d'emploi elle-même, avant le dépôt de la candidature.
Un vivier de CV jamais purgé
Le cas le plus fréquent en contrôle : des CV conservés « au cas où » pendant plusieurs années dans une boîte mail ou un ATS mal paramétré. Une purge automatique à 2 ans après le dernier contact, avec un archivage intermédiaire distinct pour les besoins de preuve en cas de contentieux, règle ce point une fois pour toutes.
Décision automatisée : pourquoi un simple clic de validation ne suffit pas
L'article 22 du RGPD, parfois surnommé la « clause Kafka », pose un principe d'interdiction des décisions entièrement automatisées ayant un effet juridique ou affectant significativement une personne. Le rejet automatique d'une candidature entre dans ce cadre.
Le point souvent mal compris : la présence d'un humain dans la boucle ne suffit pas si celui-ci ne fait qu'entériner mécaniquement le score de l'algorithme. Le G29 (devenu le Comité européen de la protection des données) exige une intervention « significative », c'est-à-dire un recruteur disposant d'une autorité et d'une compétence réelles pour modifier la décision, avec le contexte et les critères sous les yeux, pas seulement un bouton « valider ».
Concrètement, cela implique de conserver une trace de chaque décision (score, critères, justification), et de former les recruteurs à exercer un véritable pouvoir d'appréciation avant tout rejet issu d'un recrutement par décision automatisée.
AI Act : ce que le statut « haut risque » change concrètement pour les RH
Le règlement (UE) 2024/1689 ne se contente pas d'interdire des usages : il impose une liste d'obligations concrètes aux employeurs qui déploient un système classé à haut risque, ce qui couvre la quasi-totalité des outils de tri, de scoring et de matching candidat ↔ poste.
- -- Documenter le système utilisé et son usage réel (documentation technique fournie par l'éditeur, tenue à disposition).
- -- Garantir une supervision humaine réelle sur chaque décision significative.
- -- Informer les candidats et, le cas échéant, les représentants du personnel avant le déploiement.
- -- Conserver les journaux d'utilisation générés automatiquement par le système, pendant la durée prévue par l'éditeur.
- -- Surveiller activement les dysfonctionnements et les remonter au fournisseur.
Ces obligations pèsent sur l'employeur en tant que déployeur, indépendamment de ce que promet contractuellement l'éditeur du logiciel. Un AI Act recrutement obligations employeurs mal anticipé expose à des amendes qui peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires mondial pour les manquements liés au haut risque.
Auditer les biais, sécuriser la sous-traitance et l'hébergement
Fréquence et méthode de l'audit des biais
L'objectif est de mesurer si le taux de sélection varie de façon anormale selon des critères protégés par l'article L1132-1 du Code du travail : origine, sexe, âge, situation de famille, entre autres. La pratique recommandée est un test avant mise en production, puis au minimum une fois par an et après toute évolution du modèle ou des données d'entraînement, avec un compte-rendu écrit conservé pour prouver la vigilance de l'entreprise. Un audit des biais d'un outil de matching recrutement documenté est aussi la meilleure défense en cas de réclamation d'un candidat écarté.
Le contrat de sous-traitance (DPA)
Chaque éditeur d'outil IA RH auquel vous confiez des CV est un sous-traitant au sens de l'article 28 du RGPD. Le DPA doit préciser l'objet et la durée du traitement, la localisation des données, les garanties de sécurité et les conditions de restitution ou de suppression des données à la fin du contrat.
Sécurité et localisation des données
Chiffrement des CV au repos et en transit, accès nominatifs et journalisés pour chaque recruteur, hébergement idéalement situé dans l'Union européenne : ces trois points reviennent systématiquement dans les RGPD tri de CV et données candidats examinés par la CNIL lors de ses contrôles.
Questions fréquentes sur la checklist conformité IA RH
Qu'est-ce qu'une checklist de conformité IA RH ?
C'est la liste des points à vérifier avant de déployer un outil d'intelligence artificielle dans un processus de recrutement : base légale RGPD, information des candidats, durées de conservation, intervention humaine sur la décision, classification AI Act, audit des biais, contrat de sous-traitance et sécurité des données. Elle sert de fil conducteur pour un audit interne ou avant la signature d'un contrat avec un éditeur.
Un outil de tri de CV est-il obligatoirement soumis à l'AI Act ?
Oui. L'Annexe III du règlement (UE) 2024/1689 classe explicitement les systèmes d'IA utilisés pour le recrutement, la sélection et l'évaluation des candidats comme systèmes à haut risque. Les obligations correspondantes s'appliquent aux employeurs déployeurs à compter du 2 août 2026, quelle que soit la taille de l'entreprise.
Combien de temps peut-on conserver les CV des candidats non retenus ?
La CNIL recommande une durée maximale de 2 ans à compter du dernier contact avec le candidat, sauf accord explicite pour intégrer un vivier plus long. Les CV collectés sans candidature directe, par exemple via LinkedIn, ne peuvent être conservés que 30 jours sans consentement explicite.
Le RGPD interdit-il le recrutement 100% automatisé ?
L'article 22 du RGPD interdit par principe les décisions entièrement automatisées produisant un effet juridique ou affectant significativement une personne, ce qui inclut le rejet automatique d'une candidature. Un recruteur humain doit conserver un pouvoir réel de réexamen, et pas seulement valider formellement le résultat de l'algorithme.
Qui est responsable en cas de biais dans l'algorithme de tri : l'éditeur ou l'employeur ?
Les deux, mais à des titres différents. L'AI Act porte les obligations de gestion des risques et de documentation sur le fournisseur du système, tandis que l'employeur, en tant que déployeur, reste responsable de la supervision humaine, de l'usage conforme de l'outil et du respect du principe de non-discrimination du Code du travail.
Faut-il informer les candidats qu'un algorithme trie leur candidature ?
Oui, systématiquement. La CNIL exige que cette information figure dans l'offre d'emploi ou le formulaire de candidature, avant le dépôt du dossier, avec la possibilité pour le candidat de demander le détail des critères utilisés.
Quelles sanctions en cas de non-conformité IA RH ?
Sur le volet AI Act, les amendes peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions d'euros ou 3% du chiffre d'affaires mondial pour le non-respect des obligations liées aux systèmes à haut risque. S'y ajoutent les sanctions RGPD classiques prononcées par la CNIL.
À quelle fréquence faut-il auditer les biais d'un outil de recrutement IA ?
Il n'existe pas de fréquence légale unique, mais la pratique recommandée est un audit avant la mise en production, puis au minimum une fois par an et après toute modification substantielle de l'algorithme, des données d'entraînement ou des critères de scoring.
Pour aller plus loin sur la conformité IA RH
Gardez cette checklist conformité IA RH à portée de main
Recevez le PDF avec les 8 points, leurs sources officielles et un espace de suivi, pour votre prochain audit ou votre prochain échange avec votre DPO.