Les systèmes d'IA utilisés pour la présélection des candidatures, le filtrage, l'évaluation, la promotion, l'attribution des tâches, la surveillance ou le licenciement peuvent être classés comme à haut risque au titre de l'AI Act. L'entreprise qui les utilise ne doit pas se contenter d'accepter la documentation du fournisseur : elle doit définir la finalité, la supervision, les données d'entrée, la surveillance, les droits et les critères permettant de suspendre le système.
Quels usages peuvent être à haut risque
L'annexe III vise les systèmes destinés à :
- Le recrutement et la sélection.
- Les annonces d'emploi ciblées.
- Le filtrage et l'évaluation des candidatures.
- Les décisions relatives aux conditions de travail.
- La promotion ou le licenciement.
- L'attribution des tâches fondée sur le comportement ou les traits de personnalité.
- La surveillance et l'évaluation des performances.
La classification doit tenir compte de l'usage concret et des exceptions prévues à l'article 6. Il ne faut pas présumer que tout outil RH est à haut risque, ni qu'un « copilote » échappe à la qualification simplement en raison de son nom.
Rôles
Le fabricant est en général le fournisseur, et l'entreprise utilisatrice, le déployeur. L'entreprise peut devenir fournisseur si elle change la finalité, commercialise le système sous son propre nom ou procède à une modification substantielle dans les cas prévus par le règlement.
Le contrat ne remplace pas l'analyse réelle du contrôle exercé.
AI Act et RGPD
L'AI Act ne remplace ni le RGPD ni le droit du travail. L'entreprise doit disposer de :
- Une finalité déterminée.
- Une base juridique.
- Une information conforme aux articles 13 et 14 du RGPD.
- Une minimisation des données.
- Une conservation proportionnée.
- La sécurité.
- Une évaluation des décisions automatisées.
- Une AIPD lorsqu'un risque élevé est probable.
- Une participation des représentants du personnel, le cas échéant.
La qualification de « haut risque » de l'AI Act et le risque élevé visé à l'article 35 du RGPD sont des notions distinctes, même si elles coïncident souvent.
Décisions automatisées
L'article 22 du RGPD protège contre certaines décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires. Un contrôle humain n'est réel que si la personne dispose de la compétence, de l'information, du temps et de l'autorité nécessaires pour le modifier.
Valider par défaut les recommandations, ou examiner des centaines de candidatures en quelques secondes, ne constitue pas un contrôle effectif.
Inventaire du système
L'inventaire doit recenser :
- Le nom, la version et le fournisseur.
- La finalité.
- L'étape du parcours professionnel concernée.
- La population concernée.
- Les données et leurs sources.
- Les sorties et la décision qui en découle.
- Les utilisateurs et les superviseurs.
- L'intégration avec l'ATS/SIRH.
- La conservation et les journaux.
- Les indicateurs et leurs limites.
- Les incidents et les évolutions.
Les fonctionnalités d'IA embarquées activées par une mise à jour doivent également être recensées.
Données des candidats et du personnel
Sont examinées :
- Les CV et formulaires.
- Les tests.
- La vidéo ou la voix.
- L'activité et la productivité.
- Les communications.
- La localisation.
- La santé ou le handicap.
- Les inférences de personnalité ou d'émotion.
- Les réseaux et sources externes.
Des variables apparemment neutres peuvent servir de proxy. La nécessité doit être justifiée variable par variable, et non par la simple disponibilité de la donnée.
Évaluation du fournisseur
Demandez :
- La finalité prévue et les usages interdits.
- La classification et ses fondements.
- Les données et la population de validation.
- Les indicateurs par groupe.
- Les faux positifs et faux négatifs.
- Les instructions de supervision.
- Les journaux.
- Les changements de version.
- La sécurité.
- Les incidents.
- Les sous-traitants.
- La documentation relative au RGPD et à l'AI Act.
Une simple affirmation d'« absence de biais » ne constitue pas une preuve.
Biais et qualité
Comparer la précision globale ne suffit pas. Il faut analyser les taux par groupe pertinent et par étape :
| Indicateur | Question |
|---|---|
| Sélection | Qui est exclu ? |
| Faux négatif | Qui est rejeté à tort ? |
| Faux positif | Qui est favorisé sans fondement ? |
| Calibration | Le score signifie-t-il la même chose pour tous ? |
| Couverture | Quelles candidatures ne sont pas traitées ? |
| Annulation | Quand la personne corrige-t-elle la décision ? |
Les groupes et les méthodes sont déterminés sur une base juridique et éthique solide, en évitant de créer de nouveaux risques.
Supervision humaine
La personne chargée de la supervision doit pouvoir voir :
- Les données pertinentes.
- La source.
- Le score et ses limites.
- L'incertitude.
- Les facteurs principaux.
- Les alternatives.
- L'historique des corrections.
Il est interdit d'utiliser le résultat comme seule justification lorsque la conception exige un jugement humain. Les annulations sont surveillées afin de détecter toute dépendance excessive ou tout dysfonctionnement.
Transparence
Les candidats et le personnel doivent recevoir une information claire sur :
- L'utilisation de l'IA.
- La finalité.
- Les données.
- Le rôle dans la décision.
- Les conséquences.
- Les droits.
- Le contact humain.
- La possibilité de contestation.
Cette information ne doit pas être noyée dans une politique interminable. Les explications doivent permettre d'agir.
Obligations du déployeur
Pour les systèmes à haut risque, l'article 26 impose une utilisation conforme aux instructions, une supervision compétente, un contrôle des données d'entrée relevant de sa responsabilité, une surveillance et une action en cas de risque ou d'incident.
L'entreprise conserve les journaux pendant la période applicable lorsqu'ils relèvent de son contrôle, et respecte les obligations d'information propres au droit du travail, le cas échéant.
Évaluations coordonnées
Vous pouvez avoir besoin :
- D'une AIPD.
- D'une analyse d'impact sur les droits fondamentaux dans les cas prévus à l'article 27.
- De l'évaluation de conformité du fournisseur.
- D'une analyse en droit du travail et en matière d'égalité.
- De la sécurité.
Un inventaire commun est utilisé, mais chaque instrument conserve ses propres exigences.
Participation et gouvernance
Impliquez les RH, le service juridique, le DPO, la sécurité, l'égalité, les représentants du personnel et la direction. Le responsable métier ne doit pas valider seul.
La politique définit les usages autorisés, interdits et ceux qui nécessitent une escalade. Exemple : l'IA peut classer les candidatures pour examen, mais ne peut pas les écarter automatiquement sans conditions approuvées.
Plan sur 60 jours
Jours 1 à 15
Inventaire, classification et suspension des usages sans responsable identifié.
Jours 16 à 30
Fournisseur, RGPD, AIPD et évaluation des biais.
Jours 31 à 45
Supervision, transparence, journaux et formation.
Jours 46 à 60
Pilote, tests, consultation et décision.
Erreurs fréquentes
- Se fier à l'étiquette du fournisseur.
- Utiliser des données publiques sans base juridique.
- Déduire des émotions ou des traits de personnalité sans nécessité.
- Ne mesurer que la précision globale.
- Qualifier d'« humaine » une simple validation automatique.
- Ne pas informer.
- Ignorer les changements de version.
- Conserver indéfiniment les CV et les scores.
- Ne pas permettre de contestation.
- Déployer sans représentation interne.
Checklist
- Usage et classification.
- Rôles contractuels et réels.
- Finalité, base juridique et minimisation.
- Fournisseur et indicateurs.
- Biais et qualité par groupe.
- Supervision effective.
- Transparence et droits.
- AIPD/FRIA le cas échéant.
- Journaux et incidents.
- Formation et révision.
Questions fréquentes
Toute IA RH est-elle à haut risque ?
Non. Cela dépend de l'usage et de sa classification. La sélection et les décisions relatives à l'emploi visées à l'annexe III nécessitent généralement une analyse renforcée.
L'IA peut-elle rejeter automatiquement une candidature ?
Il faut analyser l'AI Act, l'article 22 du RGPD et le droit du travail. Dans de nombreux cas, une intervention humaine réelle et des garanties sont exigées.
Un CV public peut-il être utilisé librement ?
Non. Le caractère public d'une donnée ne supprime pas la nécessité d'une finalité, d'une base juridique, d'une information et de droits.
Qui est responsable, le fournisseur ou l'entreprise ?
Les deux ont des obligations selon leur rôle. L'entreprise qui déploie le système conserve ses propres responsabilités.
Sources officielles consultées
- Règlement (UE) 2024/1689.
- AI Act Service Desk : article 26.
- AEPD (Spanish DPA) : mise en conformité RGPD des traitements d'IA.
- AEPD (Spanish DPA) : évaluation de l'intervention humaine dans les décisions automatisées.
Summum Consultoría peut coordonner la classification, l'AIPD, l'évaluation du fournisseur et les contrôles en matière de droit du travail.