AI Act recrutement : ce qui change pour vos outils IA au 2 août 2026

L'AI Act recrutement n'est plus une perspective lointaine : 2026 est l'année pivot. Le règlement (UE) 2024/1689, entré en vigueur le 1ᵉʳ août 2024, rend ses obligations "haut risque" applicables aux systèmes d'IA de recrutement le 2 août 2026. Concrètement, si votre équipe Talent utilise un outil qui trie des candidatures, score des profils ou aide à la sélection, vous êtes concerné — non pas comme un éditeur de logiciel, mais comme l'employeur qui s'en sert. Cet article explique pourquoi ces outils sont classés à haut risque, le calendrier réel, qui porte quelles obligations, et la checklist concrète pour être prêt.

AI Act et recrutement : pourquoi vos outils IA sont classés à haut risque

L'AI Act applique une logique par niveau de risque. Le recrutement n'est pas un usage anodin : il est listé à l'Annexe III §4, qui couvre l'emploi, la gestion de la main-d'œuvre et l'accès au travail indépendant. Tout système d'IA destiné à ces finalités est, par défaut, classé haut risque.

En pratique, sont visés les systèmes qui :

• ciblent ou diffusent des offres d'emploi de façon personnalisée ;
• analysent et filtrent les candidatures reçues ;
• évaluent ou classent les candidats selon leur adéquation ;
• soutiennent les décisions de sélection, de promotion ou de fin de relation de travail.

Autrement dit, la quasi-totalité des outils modernes de sourcing, de matching et de scoring entre dans ce périmètre. Le législateur considère que ces systèmes ont un effet direct sur l'accès à l'emploi et sur des droits fondamentaux — d'où un régime exigeant. La conformité IA recrutement ne consiste donc pas à se demander "suis-je concerné ?" mais "comment je documente et j'encadre des outils que je dois présumer à haut risque".

À noter : l'article 6 prévoit des cas où un système de l'Annexe III peut échapper au classement haut risque s'il ne fait qu'une tâche purement préparatoire ou accessoire sans influence réelle sur la décision. Mais cette exemption est étroite, doit être documentée par le fournisseur, et ne s'applique jamais à un outil qui profile des personnes. Pour un outil qui score ou classe des candidats, le haut risque reste la règle.

Le calendrier de l'AI Act : pourquoi le 2 août 2026 compte pour le recrutement

L'application est échelonnée. Voici les dates réelles, avec celle qui doit figurer sur votre feuille de route Talent en gras :

• 1ᵉʳ août 2024 — entrée en vigueur du règlement (UE) 2024/1689.
• 2 février 2025 — interdiction des pratiques prohibées (ex. : notation sociale, certaines inférences émotionnelles) et entrée en vigueur du devoir de littératie en IA (article 4) : vos équipes doivent disposer d'un niveau de compréhension suffisant des systèmes utilisés.
• 2 août 2025 — obligations applicables aux modèles d'IA à usage général (GPAI), qui irriguent beaucoup d'outils de recrutement par-dessous.
• 2 août 2026 — l'échéance clé pour les équipes recrutement : les obligations applicables aux systèmes haut risque de l'Annexe III, donc le recrutement, deviennent pleinement applicables.
• 2 août 2027 — dernières dispositions résiduelles applicables.

Le 2 août 2026 est la borne à retenir parce que c'est à cette date que les exigences de fond — documentation, supervision humaine, information des candidats, journalisation — cessent d'être de la préparation pour devenir une obligation contrôlable. Les chantiers internes (cartographie, revue des contrats fournisseurs, mise à jour des process de candidature) prenant plusieurs mois, le travail commence en 2026, pas en juillet.

Fournisseur (provider) vs déployeur (deployer) : qui porte quelles obligations

Le règlement IA recrutement distingue deux rôles, et la confusion entre les deux est la première source d'erreur. Le fournisseur (provider) est l'entité qui développe et met sur le marché le système d'IA — l'éditeur, le vendeur. Le déployeur (deployer) est l'entité qui utilise ce système dans le cadre de son activité — c'est-à-dire vous, l'employeur ou le cabinet de recrutement.

Le gros des obligations techniques pèse sur le fournisseur :

• mettre en place un système de gestion des risques ;
• assurer la gouvernance et la qualité des données d'entraînement ;
• produire et tenir à jour la documentation technique ;
• intégrer la journalisation automatique des événements ;
• fournir transparence et instructions d'utilisation aux déployeurs ;
• concevoir le système pour une supervision humaine effective ;
• garantir exactitude, robustesse et cybersécurité ;
• réaliser l'évaluation de conformité, apposer le marquage CE et enregistrer le système dans la base de données de l'UE.

Mais le déployeur n'est pas un simple utilisateur passif. Vos obligations propres incluent :

• utiliser le système conformément à la notice d'utilisation du fournisseur ;
• assurer une supervision humaine par des personnes compétentes ;
• surveiller le fonctionnement et signaler les incidents ;
• conserver les journaux générés par le système ;
• informer les candidats et les travailleurs qu'ils sont soumis à un système d'IA à haut risque, et informer les représentants du personnel concernés.

Certains déployeurs — notamment les organismes publics et certaines catégories d'acteurs — doivent en outre conduire une analyse d'impact sur les droits fondamentaux (FRIA) avant la mise en service. Acheter un outil "conforme" ne vous décharge pas : la responsabilité du déployeur reste la vôtre, en propre.

La checklist de conformité du déployeur en recrutement

Voici la démarche concrète pour aborder le 2 août 2026 sans improviser. Elle se décline en six étapes opérationnelles.

1. Cartographier vos usages d'IA en recrutement

Recensez chaque outil et chaque fonctionnalité IA mobilisés dans le sourcing, le tri, le scoring et l'aide à la décision. Pour chacun, notez le fournisseur, le périmètre d'usage et les données personnelles traitées. Beaucoup d'équipes découvrent à cette étape des fonctions IA embarquées dans leur ATS qu'elles n'avaient pas identifiées.

2. Vérifier le statut haut risque de chaque système

Confrontez chaque usage à l'Annexe III §4. Un outil qui filtre des candidatures, évalue, classe ou cible des annonces relève du haut risque. En cas de doute, présumez le haut risque et demandez au fournisseur sa propre qualification documentée.

3. Exiger la documentation de conformité du fournisseur

Demandez la documentation technique, la notice d'utilisation, la preuve du marquage CE, l'enregistrement dans la base de données de l'UE et les résultats de l'évaluation de conformité. Ces éléments doivent figurer — ou être exigibles — dans votre contrat.

4. Garantir une supervision humaine réelle

Désignez des personnes formées, capables de comprendre une recommandation, de la contester et de passer outre. La supervision humaine ne doit pas être un tampon symbolique : c'est un contrôle effectif, et l'outil doit être utilisé selon les instructions du fournisseur, jamais en décision automatique unique.

5. Informer les candidats et les représentants du personnel

Les candidats doivent être informés lorsqu'ils sont soumis à une décision impliquant un système d'IA à haut risque. Prévoyez une mention claire dans votre parcours de candidature, un canal d'explication et de recours humain, et l'information des représentants du personnel.

6. Journaliser, surveiller et auditer

Conservez les journaux générés automatiquement, surveillez le fonctionnement en production, suivez les biais et anomalies, et tracez vos contrôles. Le jour d'un contrôle, c'est cette piste d'audit qui démontre que la supervision existe en pratique, pas seulement sur le papier.

Les questions à poser à votre fournisseur d'IA de recrutement

Une grande partie de votre conformité dépend de la qualité de votre fournisseur. La due diligence se fait avant l'achat, ou à l'occasion du renouvellement. Voici les questions à poser :

• Le système est-il qualifié de haut risque au sens de l'Annexe III, et sur quelle base ?
• Pouvez-vous fournir la documentation technique et la notice d'utilisation à jour ?
• Le marquage CE est-il en place et le système enregistré dans la base de données de l'UE ?
• Quels mécanismes de supervision humaine sont intégrés "by design" ?
• Comment la journalisation automatique fonctionne-t-elle, et puis-je exporter les journaux ?
• Quelles données ont servi à l'entraînement, et comment les biais sont-ils testés ?
• Comment expliquez-vous un score ou une recommandation à un candidat qui les conteste ?
• Comment vous articulez-vous avec le RGPD, notamment l'article 22 ?

Ce dernier point mérite attention. L'AI Act ne remplace pas le RGPD : les deux se cumulent. L'article 22 du RGPD interdit une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs, sans garanties — et ouvre un droit à l'intervention humaine et à l'explication. Un outil de recrutement bien conçu doit donc soutenir, et non court-circuiter, ces droits.

Comment un outillage transparent soutient votre conformité IA recrutement

Aucun outil ne peut vous "rendre conforme" à votre place — la responsabilité du déployeur reste la vôtre. Mais la conception d'un outil facilite ou complique nettement votre mise en conformité. Chez TrueCalling, deux choix de conception vont dans le sens des obligations du déployeur.

D'abord, EMILY est un copilote human-in-the-loop, pas un décideur autonome. Le système recommande, hiérarchise et prépare le travail ; c'est le recruteur qui tranche. Cette architecture soutient directement le devoir de supervision humaine, et évite le piège de la décision "solely automated" visée par l'article 22 du RGPD.

Ensuite, le score TrueFit 360 est explicable ligne par ligne : chaque composante du score est exposée, ce qui rend la recommandation lisible pour le recruteur et contestable par le candidat. Cette transparence soutient le devoir d'explication et la possibilité de recours. Pour comprendre en détail comment ce score se calcule et où il peut se tromper, voyez notre article dédié au score de matching candidat-poste.

Côté données personnelles, notre posture RGPD — base légale, consentement traçable, durées de conservation, canaux — est détaillée dans le guide recrutement WhatsApp et RGPD, qui complète le cadre AI Act sur le volet protection des données.

Un point à dire clairement : TrueCalling ne se présente pas comme "certifié AI Act" — ce label n'a pas de sens en l'état. L'employeur reste toujours le déployeur responsable. Un bon outil rend votre conformité plus simple à démontrer ; il ne s'y substitue pas.

Sanctions : pourquoi l'enjeu n'est pas que symbolique

L'AI Act prévoit des sanctions à la hauteur du RGPD, voire au-delà. Le non-respect des pratiques interdites peut être sanctionné jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le manquement aux autres obligations — celles qui concernent directement les déployeurs en recrutement — peut aller jusqu'à 15 M€ ou 3 %. La transmission d'informations incorrectes ou trompeuses aux autorités peut coûter jusqu'à 7,5 M€ ou 1 %. Ces plafonds transforment la conformité d'un sujet juridique périphérique en sujet de direction.

Cet article est informatif et ne constitue pas un conseil juridique. Les obligations exactes dépendent de votre situation ; faites valider votre démarche par un conseil spécialisé.

Vous voulez voir comment un copilote human-in-the-loop et un score explicable s'intègrent à un process de recrutement conçu pour la transparence ? Réservez une démo guidée de TrueCalling et apportez un de vos postes ouverts : on déroule le sourcing en direct et on vous montre, ligne par ligne, comment chaque recommandation est expliquée.