Ce qu'il faut retenir
L'article 22 RGPD vise le scoring, pas seulement la décision finale
Un outil qui filtre ou classe des candidats constitue une décision automatisée, même si le recruteur signe in fine. La CJUE l'a confirmé le 7 décembre 2023.
Les outils RH sont classés haut risque par l'AI Act
L'Annexe III (point 4) couvre le recrutement, la sélection, l'évaluation et la résiliation. Documentation technique et supervision effective s'imposent.
La conformité est devenue un critère commercial
Les acheteurs en secteurs réglementés intègrent les obligations RGPD et AI Act dans leurs RFP 2026. L'écart de conformité se détecte lors de la due diligence.
Les outils d'intelligence artificielle transforment le recrutement : screening automatique de CV, analyse de vidéos d'entretien, scoring prédictif. Ces technologies séduisent les directions RH, mais leur déploiement expose les organisations à des risques juridiques sous-estimés. Cet article cartographie les obligations applicables sous le RGPD et l'AI Act, et analyse trois décisions récentes qui redéfinissent les règles du jeu.
L'article 22 RGPD : le recrutement automatisé en première ligne
L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement une personne. Le recrutement est l'un des cas d'usage les plus exposés.
Un outil de screening qui filtre des candidats avant toute intervention humaine réelle constitue une décision automatisée au sens du RGPD. La validation formelle par un recruteur ne suffit pas si celui-ci ne dispose ni du temps ni des éléments pour exercer un contrôle effectif.
- Informer le candidat de l'usage de l'IA dans la notice de confidentialité
- Permettre d'obtenir une intervention humaine et de contester la décision
- Mener une analyse d'impact (AIPD) pour les outils présentant des risques élevés
- Documenter la base légale du traitement automatisé
Ce que beaucoup pensent déployer
La perception habituelle
Ce que le droit y voit
La qualification juridique
AI Act : les outils RH classés haut risque
L'AI Act classe explicitement les systèmes d'IA utilisés pour le recrutement, la sélection, l'évaluation et la résiliation de contrats de travail en catégorie haut risque (Annexe III, point 4). Cette classification concerne les outils de screening, de scoring prédictif et d'analyse comportementale.
Les obligations applicables aux déployeurs incluent une documentation technique complète, une évaluation de conformité préalable, un enregistrement dans la base de données de l'UE et une supervision humaine effective sur chaque décision impactante.
- Documentation technique complète avant tout déploiement
- Évaluation de conformité préalable
- Enregistrement dans la base de données UE
- Supervision humaine effective sur chaque décision
- Information transparente des candidats sur l'usage de l'IA
Un outil de scoring qui filtre des candidats avant toute intervention humaine réelle constitue une décision automatisée au sens du RGPD.
Vos outils RH seraient-ils défendables face à un régulateur ou à un syndicat ? Échange confidentiel de 30 minutes.
Demander un premier échangeTrois décisions qui redéfinissent les règles
Aucune de ces décisions ne repose sur l'AI Act. Toutes concernent des systèmes algorithmiques dont les opérateurs auraient pu, en théorie, attendre l'entrée en vigueur des obligations haut risque. Le cadre juridique existant continue de produire des décisions concrètes.
C-634/21
Scoring automatisé et article 22 RGPD
La Cour de justice de l'UE a jugé que le scoring automatique d'un individu constitue une décision fondée exclusivement sur un traitement automatisé au sens de l'article 22, même si la décision finale est formellement prise par un tiers sur la base de ce score. Pour le recrutement : un outil de scoring de candidats expose le déployeur aux obligations de l'article 22, indépendamment du rôle du recruteur dans la validation finale.
Robo-Firing
Droit à l'explication et gestion algorithmique
Dans l'affaire dite Robo-Firing, la Cour d'appel d'Amsterdam a annulé le licenciement algorithmique d'un chauffeur Uber en reconnaissant son droit à l'explication sur la décision de désactivation de compte. Ce principe s'étend aux candidats : l'article 22 RGPD exige que l'organisation puisse expliquer concrètement pourquoi un candidat a été écarté, et pas seulement indiquer qu'un algorithme a rendu sa décision.
SAN 2867/2025
CGT c. Foundever Spain : scoring sans base légale conforme
L'Audiencia Nacional espagnole a condamné Foundever Spain pour utilisation d'un outil de scoring prédictif en recrutement sans base légale conforme et sans mention dans les politiques de confidentialité. La décision précise que la nécessité contractuelle ne constitue pas une base légale valide en phase de candidature. Décision susceptible de pourvoi en cassation devant le Tribunal Supremo.
La question n'est pas de savoir si votre outil utilise de l'IA. C'est de savoir si vous pouvez expliquer à un candidat, à un syndicat ou à un régulateur comment et pourquoi il a été écarté.
Ce que vous devez vérifier aujourd'hui
Trois niveaux de risque méritent une vérification immédiate dans votre organisation.
- Vos politiques de confidentialité mentionnent-elles explicitement l'usage de l'IA dans le processus de recrutement ?
- Vos contrats avec les fournisseurs d'outils RH incluent-ils les garanties RGPD requises : DPA, documentation technique, droits des personnes ?
- Vos équipes RH sont-elles formées à l'obligation de supervision humaine effective, distincte d'une simple validation formelle ?
Comment agir
Une mise en conformité opérationnelle passe par trois étapes concrètes : audit des outils en place et de leurs modalités de déploiement, documentation RGPD et AI Act (AIPD, notice de traitement, DPA fournisseurs), puis formation des équipes RH et mise à jour des processus de recrutement. Un accompagnement juridique externalisé permet de traiter ces trois niveaux simultanément, sans recruter un juriste spécialisé à temps plein.
