Cartographier les systèmes d’intelligence artificielle RH à haut risque
Pour un DRH, le compte à rebours des nouvelles obligations européennes en matière d’intelligence artificielle appliquée aux ressources humaines a déjà commencé. Le règlement (UE) 2024/1689 sur l’IA, publié au Journal officiel de l’Union européenne, est entré en vigueur le 1er août 2024, et la première échéance opérationnelle majeure pour les entreprises intervient le 2 août 2025 : à cette date, les interdictions relatives aux systèmes d’IA à risque inacceptable (article 5) deviennent applicables. Les exigences complètes pour les systèmes d’IA à haut risque, notamment ceux utilisés pour le recrutement, l’évaluation et l’organisation du travail (annexe III, point 4, « emploi, gestion des travailleurs et accès au travail indépendant »), s’appliqueront progressivement jusqu’en 2026, avec une attente claire des autorités : disposer d’un inventaire précis des systèmes, d’une analyse de risque et d’un dispositif de contrôle humain documenté.
Les systèmes de tri de CV, de scoring de candidatures, de matching de profils ou d’évaluation de performance sont désormais considérés comme des systèmes de risque élevé au sens des articles 6 et 7, ce qui les place au cœur du nouveau cadre européen. Concrètement, tout dispositif algorithmique de recrutement ou d’évaluation qui influence une décision de travail significative doit être qualifié, documenté et relié à un mécanisme de supervision humaine effectif. La frontière entre simple aide à la décision et décision automatisée devient un enjeu juridique majeur pour le droit du travail et pour la protection des droits fondamentaux des personnes concernées, en particulier le droit à la non-discrimination et à un recours effectif.
Le règlement impose aux fournisseurs de systèmes d’IA et aux déployeurs, donc aux entreprises utilisatrices, de mettre en place une gestion structurée du risque et une gouvernance robuste des données (articles 9 à 15). Les acteurs mentionnés comme « AI system providers » et « AI system deployers » sont explicitement visés par le texte, ce qui inclut les éditeurs d’ATS et les directions des ressources humaines qui les exploitent au quotidien. À ce titre, chaque système de risque élevé doit faire l’objet d’une évaluation des risques, d’une documentation technique détaillée (article 11) et d’un dispositif de contrôle humain proportionné aux enjeux pour les droits et libertés des salariés, conformément aux exigences de l’article 14.
Pour les DRH, la première étape consiste à dresser une cartographie exhaustive des systèmes d’intelligence artificielle déjà en production. Il faut distinguer les systèmes qui ont un impact direct sur le droit au travail, comme les outils de recrutement, de mobilité interne ou de gestion disciplinaire, des systèmes de support moins sensibles, comme certains chatbots d’information RH. Cette cartographie doit intégrer les systèmes de risque inacceptable, qui seront purement interdits à compter du 2 août 2025, et les systèmes de risque élevé, qui restent autorisés mais soumis à des obligations renforcées de conformité, de transparence et de traçabilité.
Dans cette cartographie, chaque système doit être relié à ses finalités RH concrètes, à la nature des données traitées et au niveau de risque pour la vie privée et les droits fondamentaux. Un ATS avec scoring algorithmique, un outil d’évaluation de performance ou un moteur de recommandation de formation ne présentent pas le même profil de risque, même s’ils relèvent tous de l’intelligence artificielle appliquée aux ressources humaines. Cette analyse fine du risque permet de prioriser la mise en conformité, en concentrant les efforts sur les systèmes qui influencent directement la carrière, la rémunération ou la rupture du contrat de travail des salariés, et en identifiant les cas où une analyse d’impact relative à la protection des données (article 35 du RGPD) est indispensable.
Les DRH doivent également identifier les zones grises, où un système présenté comme simple aide à la décision produit en réalité une décision automatisée difficilement contestable par le salarié. Par exemple, un algorithme qui préfiltre 90 % des candidatures avant tout regard humain crée un système de risque élevé pour l’égalité d’accès à l’emploi. Dans ces cas, le contrôle humain effectif ne peut pas se limiter à valider en bloc les résultats de la machine, il doit permettre une révision réelle et argumentée de chaque décision importante, avec la possibilité de s’écarter du score proposé et de motiver ce choix.
Un modèle simple de cartographie peut être structuré en tableau, avec pour chaque outil : nom du système, fournisseur, finalité RH (recrutement, mobilité, formation, disciplinaire, etc.), type d’IA utilisée, catégories de données traitées (article 4 du RGPD), base légale (article 6 du RGPD), impact potentiel sur la relation de travail, niveau de risque (inacceptable, élevé, limité), existence d’une analyse d’impact (article 35 du RGPD) et modalités de supervision humaine. À titre d’exemple, une première ligne pourrait être : « ATS X / Éditeur Y / Recrutement CDI / scoring de CV supervisé / données d’identification et de parcours professionnel / intérêt légitime / impact direct sur l’accès à l’emploi / risque élevé / DPIA réalisée en 2024 / revue humaine obligatoire avant tout rejet ». Ce gabarit permet de disposer, dès 2025, d’une vue consolidée des systèmes à traiter en priorité avant l’entrée en application complète du régime des systèmes à haut risque.
De l’IA « boîte noire » à la conformité : RGPD, documentation et contrôle humain
Les nouvelles exigences européennes imposent un changement de posture radical pour les DRH qui ont déployé des systèmes d’intelligence artificielle en mode « boîte noire ». Le règlement sur l’IA exige une documentation technique détaillée pour chaque système à haut risque (article 11), couvrant les données d’entraînement, les logiques de décision, les mécanismes de gestion du risque (article 9) et les modalités de contrôle humain (article 14). Cette documentation devient un actif de conformité aussi stratégique que le registre des traitements RGPD (article 30) ou le règlement intérieur de l’entreprise, et doit pouvoir être produite en cas de contrôle ou de contentieux.
Le lien entre le cadre IA et le RGPD est direct, car les systèmes d’IA RH reposent massivement sur des données personnelles de candidats et de salariés. La protection des données et la protection de la vie privée ne peuvent plus être traitées comme un sujet purement DPO, elles deviennent un sujet de gouvernance People au même titre que la politique de rémunération ou la gestion des effectifs. Les DRH doivent articuler les analyses d’impact RGPD (DPIA au sens de l’article 35) avec les nouvelles obligations applicables aux systèmes d’IA, en intégrant l’évaluation des risques pour les droits et libertés dans chaque projet d’automatisation RH et en documentant les mesures de réduction de ces risques.
Les autorités européennes rappellent que « A regulation establishing rules for AI systems in the EU » vise à assurer la sécurité des systèmes d’IA et à protéger les droits fondamentaux. Dans ce cadre, les obligations de transparence deviennent centrales pour les processus de recrutement et d’évaluation, avec l’obligation d’informer clairement les candidats et les salariés de tout recours à l’intelligence artificielle, même sous supervision humaine. Cette transparence doit être intégrée dans les mentions d’information (articles 13 et 14 du RGPD), dans le règlement intérieur et dans les supports de communication RH, avec un langage accessible et opérationnel, explicitant le rôle concret de l’algorithme dans la décision.
Pour les DRH, la mise en conformité passe par un audit conjoint avec le DPO, la direction juridique et parfois les partenaires sociaux, afin de sécuriser le droit du travail et le droit à la non-discrimination. Chaque système doit être analysé sous l’angle du risque inacceptable (article 5 du règlement IA), de la proportionnalité du traitement des données (article 5 du RGPD) et de la capacité réelle du contrôle humain à corriger les biais. Les entreprises qui ont déjà engagé une transformation RH autour de l’intelligence artificielle, comme celles étudiées dans l’analyse sur la manière dont l’IA transforme la fonction RH au quotidien, disposent d’un retour d’expérience précieux pour structurer cet audit et prioriser les actions correctrices.
Une checklist opérationnelle de DPIA pour un ATS peut, par exemple, couvrir les points suivants : description détaillée du flux de recrutement (sources de CV, étapes de sélection, décisions automatisées), inventaire des données collectées (données d’identification, parcours, compétences, données sensibles éventuelles au sens de l’article 9 du RGPD), analyse de la nécessité et de la proportionnalité, identification des risques (discrimination indirecte, exclusion de certains profils, atteinte à la vie privée), mesures de réduction du risque (seuils de scoring, revue humaine systématique au-delà d’un certain stade, explications fournies aux candidats) et modalités de suivi dans le temps (réévaluation annuelle, tests de non-discrimination, revue des modèles). Ce type de trame peut être réutilisé et adapté pour d’autres cas d’usage, comme les outils d’évaluation continue ou les moteurs de recommandation de formation.
Le contrôle humain effectif devient un critère clé de conformité, qui dépasse largement la simple présence d’un manager dans la boucle de décision. Il s’agit de s’assurer que les personnes en charge de la décision disposent d’une compréhension suffisante du système, d’un accès aux données pertinentes et d’un pouvoir réel de remise en cause des résultats. Sans cette capacité de contestation, le risque est de basculer vers une décision automatisée de fait, difficilement compatible avec les exigences du droit du travail et avec la protection des droits fondamentaux des salariés, notamment en matière de licenciement, de promotion ou de rémunération variable.
Une procédure type de supervision humaine pour un outil de scoring de CV peut prévoir, par exemple : un seuil au-delà duquel aucun rejet automatique n’est autorisé sans revue humaine ; une obligation pour le recruteur de justifier par écrit toute décision de refus fondée sur le score ; un droit pour le candidat d’obtenir des explications générales sur le fonctionnement de l’algorithme ; une formation annuelle des managers à l’interprétation des scores ; et un mécanisme d’escalade vers la DRH en cas de contestation. Présentée sous forme de fiche procédure, cette trame peut être directement intégrée au référentiel RH et constitue une preuve clé de conformité en cas de contrôle par une autorité de supervision ou de litige individuel.
Les DRH doivent aussi anticiper les attentes des autorités de contrôle, qui disposeront de pouvoirs renforcés pour vérifier la conformité des systèmes d’IA RH. Les sanctions prévues peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, ce qui place la question de la conformité au même niveau de criticité que les grands risques financiers ou de réputation. Dans ce contexte, la documentation technique, les procédures de contrôle et les preuves de supervision humaine deviennent des pièces maîtresses pour démontrer la conformité en cas d’enquête, de contrôle sur place ou de contentieux prud’homal.
Recrutement, évaluation, feedback continu : reconfigurer les pratiques RH avant l’échéance
Les nouvelles règles européennes ne sont pas un simple sujet juridique, elles obligent à revisiter en profondeur les pratiques de recrutement et d’évaluation. Un système de recrutement basé sur le scoring automatique des CV, sans garde-fous humains robustes, sera difficilement défendable au regard des nouvelles exigences de gestion du risque. Les DRH doivent donc arbitrer entre le gain de productivité promis par l’intelligence artificielle et le risque de non-conformité, en intégrant le coût potentiel des sanctions, des contentieux individuels et de l’atteinte à la marque employeur.
Sur l’évaluation de la performance, les systèmes qui agrègent des données issues de multiples outils numériques pour produire des scores individuels posent un risque particulier pour la vie privée et pour la confiance managériale. Un système de risque élevé qui alimente des décisions de promotion, de bonus ou de licenciement doit être encadré par des règles claires dans le règlement intérieur et dans les accords collectifs. Les DRH peuvent s’appuyer sur les travaux consacrés à l’impact de l’intelligence artificielle sur les ressources humaines pour définir des garde-fous, en privilégiant des dispositifs de feedback continu qui renforcent le signal managérial plutôt qu’une décision automatisée opaque et difficilement explicable.
Les entreprises qui ont déjà abandonné l’entretien annuel au profit d’un feedback continu disposent d’un avantage pour intégrer les exigences de contrôle humain dans leurs processus. En s’inspirant des pratiques décrites dans l’analyse sur le feedback continu et la rétention des talents, les DRH peuvent concevoir des systèmes où l’IA alimente la discussion managériale sans se substituer à la décision. Cette approche réduit le risque de décisions automatisées non maîtrisées et renforce la légitimité des décisions de travail aux yeux des salariés, qui perçoivent mieux la contribution respective de l’humain et de l’algorithme.
La mise en conformité ne doit pas être pensée comme un projet purement défensif, mais comme une opportunité de clarifier la place de l’intelligence artificielle dans la stratégie People. En structurant un cadre clair de protection des données, de transparence et de contrôle humain, les DRH peuvent sécuriser l’usage des systèmes d’IA tout en renforçant la confiance des salariés. Cette confiance sera un atout décisif pour continuer à innover en matière de People Analytics et de SIRH, sans exposer l’entreprise à un risque juridique ou réputationnel disproportionné, et pour démontrer la maturité de la gouvernance numérique auprès des parties prenantes.
À court terme, chaque DRH devrait disposer d’une feuille de route de mise en conformité qui articule les exigences du règlement IA, du RGPD et du code du travail. Une trajectoire réaliste peut, par exemple, prévoir : d’ici fin 2024, la cartographie complète des systèmes et l’identification des usages à risque inacceptable ; avant le 2 août 2025, la mise à l’arrêt ou la refonte des systèmes interdits et la réalisation des DPIA prioritaires ; entre 2025 et 2026, la formalisation des procédures de contrôle humain, la mise à jour des mentions d’information et la formation des managers. Cette feuille de route doit prioriser les systèmes de risque élevé, définir les responsabilités entre la fonction RH, la DSI, le DPO et les fournisseurs de solutions, et prévoir un dialogue structuré avec les représentants du personnel.
À moyen terme, cette gouvernance de l’IA RH deviendra un élément central du dialogue social et de la stratégie d’entreprise, au même titre que les politiques salariales ou les plans de succession. Les AI Act obligations RH 2026 marquent ainsi un tournant pour les DRH, qui passent du rôle d’utilisateurs d’outils à celui de garants de la conformité et de l’éthique des systèmes d’intelligence artificielle. En assumant ce rôle, les Chief People Officers peuvent transformer un risque réglementaire en levier de crédibilité et de performance sociale. La clé sera de combiner une maîtrise fine des textes, une compréhension opérationnelle des systèmes et une capacité à embarquer les managers et les salariés dans cette nouvelle gouvernance de l’IA au travail.
Références
- Éditions Tissot – Dossiers pratiques sur l’AI Act et le droit du travail.
- Service Public – Fiches officielles sur la régulation européenne de l’intelligence artificielle.
- Journal officiel de l’Union européenne – Règlement (UE) 2024/1689 sur l’intelligence artificielle (AI Act).