Quand je décode l’AI Act avec un dirigeant, la conclusion est presque toujours la même : ses usages de l’IA ne tombent pas dans la catégorie « à haut risque », la plus encadrée du règlement. Presque toujours. Il reste une exception fréquente, et c’est le recrutement. Dès qu’un outil d’IA trie, note ou classe des candidats, vous entrez dans la zone la plus surveillée du texte. C’est le seul cas « haut risque » que je croise régulièrement en PME.
Bonne nouvelle avant de commencer : l’échéance a bougé. On vous a peut-être dit « 2 août 2026 ». Ce n’est plus vrai. Voici ce qui est réellement demandé, à qui, et pour quand.
L’IA de recrutement est-elle vraiment « à haut risque » ?
Oui. L’annexe III du règlement (UE) 2024/1689 classe explicitement à haut risque les systèmes d’IA utilisés pour le recrutement et la gestion des travailleurs : diffusion ciblée d’offres, tri et filtrage des candidatures, évaluation ou notation des candidats, mais aussi, plus tard, l’allocation des tâches, le suivi de performance ou les décisions de promotion. Le raisonnement du législateur : ces outils décident de l’accès à l’emploi, un droit fondamental.
Quels usages sont concernés, et lesquels ne le sont pas
La nuance est importante, car « utiliser l’IA dans le recrutement » ne suffit pas à vous rendre « à haut risque ». Sont visés les outils qui influencent la décision :
- Un logiciel qui score ou classe automatiquement les candidatures.
- Un outil qui filtre les CV selon des critères appris (au-delà d’un simple mot-clé).
- Une IA qui analyse un entretien vidéo (voix, expressions) pour évaluer un candidat.
En revanche, le règlement prévoit qu’un système de l’annexe III n’est pas à haut risque s’il se limite à une tâche procédurale étroite sans peser sur l’issue. Publier une annonce, stocker des CV, faire une recherche par mot-clé simple : ce n’est pas, en soi, du « haut risque ». La question à se poser n’est pas « est-ce que j’utilise l’IA ? » mais « est-ce que l’IA décide à ma place qui passe l’étape suivante ? ».
La vraie date : décembre 2027, pas août 2026
C’est le point sur lequel beaucoup d’articles RH sont restés en arrière. La date initiale des obligations « haut risque » de l’annexe III était bien le 2 août 2026. Mais le Digital Omnibus, adopté par le Parlement et le Conseil en juin 2026, l’a repoussée au 2 décembre 2027, soit environ un an et demi de plus.
Concrètement : si vous utilisez un outil d’IA de tri de candidats, vous avez le temps de vous y préparer, ce n’est pas une urgence de l’été. Mais « plus tard » ne veut pas dire « jamais », et les bons réflexes se prennent maintenant. Pour le calendrier complet de l’AI Act, palier par palier, je le détaille dans un article dédié.
Vos obligations si vous utilisez un tel outil (article 26)
Dans la quasi-totalité des cas, une PME utilise un logiciel de recrutement acheté à un éditeur : elle est « déployeur », pas « fournisseur ». L’article 26 du règlement fixe les devoirs du déployeur d’un système à haut risque. Quatre sont directement opposables à un employeur :
- Informer les salariés et leurs représentants avant de mettre l’outil en service. Les candidats aussi doivent savoir qu’une IA intervient dans la sélection.
- Garder un contrôle humain réel : une personne compétente supervise, peut passer outre la recommandation de la machine, et c’est un humain qui tranche.
- Utiliser l’outil selon sa notice et surveiller son fonctionnement, en signalant tout dérapage à l’éditeur.
- Conserver les journaux générés automatiquement par le système, pour pouvoir retracer une décision.
S’ajoute un droit fort pour la personne concernée : un candidat écarté peut demander une explication claire du rôle qu’a joué l’IA dans la décision (article 86). Autant l’anticiper.
Ce que vous devez demander à votre éditeur
Le marquage de conformité, la documentation technique et l’évaluation des risques du système pèsent sur le fournisseur, c’est-à-dire l’éditeur du logiciel. Votre levier le plus simple est donc une question à lui poser avant d’acheter ou de renouveler : « Votre outil est-il conforme à l’AI Act pour les usages à haut risque, et me fournissez-vous la notice d’utilisation et les éléments de conformité ? » Une réponse floue est en soi un signal. C’est le même principe de prudence que j’applique au choix de n’importe quel outil d’IA, que je décris ici pour la question des données.
Que faire maintenant, concrètement
Trois gestes, sans précipitation :
- Inventoriez vos outils de recrutement et repérez ceux qui notent ou classent les candidats. La plupart des PME en ont zéro ou un, rarement plus.
- Posez la question de conformité à l’éditeur concerné, par écrit.
- Gardez l’humain au centre : une IA propose une présélection, une personne relit et décide. Inscrivez-le dans votre charte IA d’une page.
Côté sanctions, l’annexe III relève du régime commun : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial, plafond ramené au montant le plus faible pour une PME. Mais là encore, l’esprit est le contrôle proportionné, pas l’amende réflexe.
Si vous voulez savoir en trente minutes si l’un de vos outils tombe dans la case « haut risque » et ce que ça implique pour vous, c’est exactement le genre de point qu’on tranche ensemble au diagnostic gratuit. Et pour un comité de direction qui recrute et veut cadrer sa politique, la formation IA Codir/COMEX inclut ce volet.
Sources : Règlement (UE) 2024/1689, annexe III et articles 26, 86, EUR-Lex · Digital Omnibus, report du haut risque à décembre 2027, communiqué du Conseil de l’UE · Autorités compétentes pour l’AI Act en France, CNIL.