Depuis dix-huit mois, les cabinets de recrutement reçoivent leur part régulière de discours anxiogène sur le règlement (UE) 2024/1689 sur l’intelligence artificielle. Le scénario est toujours le même : votre cabinet utilise des outils d’IA dans ses processus de présélection, vos clients aussi, donc vous êtes concernés par les obligations les plus lourdes du règlement, marquage CE, dossier technique Annexe IV, enregistrement à la base de données européenne, et budget de mise en conformité comparable à celui d’un fabricant de dispositifs médicaux.
Cette présentation est largement inexacte. Elle confond deux statuts juridiques distincts au sein du règlement AI Act, et elle attribue à un déployeur des obligations qui ne s’imposent qu’au fournisseur du système d’IA. Cette distinction conditionne la nature et l’ampleur réelle des obligations à porter. Pour un cabinet de recrutement qui utilise des solutions d’IA développées par des tiers, l’écart entre ce qu’on lui annonce et ce qu’il devra réellement faire est considérable.
La distinction fournisseur / déployeur dans le règlement
Le règlement AI Act distingue clairement deux types d’opérateurs économiques. Le fournisseur (provider) est l’entité qui développe le système d’IA ou qui le fait développer en vue de le mettre sur le marché ou en service sous son propre nom ou sa propre marque. Le déployeur (deployer) est l’entité qui utilise un système d’IA sous son autorité, dans le cadre d’une activité professionnelle.
Un cabinet de recrutement français qui utilise un outil de présélection commercialisé par un éditeur américain ou européen — typiquement HireVue, Eightfold, Phenom, Beamery, ou un acteur national équivalent — n’est pas le fournisseur de cet outil. Il en est le déployeur. Cette qualification a des conséquences directes sur le périmètre de ses obligations.
Les obligations lourdes du règlement, celles qui font les gros titres anxiogènes, s’imposent au fournisseur du système d’IA à haut risque. C’est le fournisseur qui doit constituer le dossier technique Annexe IV, faire évaluer le système par un organisme notifié le cas échéant, apposer le marquage CE, enregistrer le système dans la base de données européenne prévue à l’article 71, et porter la responsabilité primaire de la conformité du produit aux exigences essentielles.
Le déployeur a, lui, des obligations propres, mais elles sont d’une nature différente et d’un volume nettement plus modeste. C’est l’article 26 du règlement qui les énumère.
Les obligations réelles du déployeur
Premièrement, l’utilisation du système doit être conforme aux instructions fournies par le fournisseur. Cette obligation peut sembler évidente mais elle a des conséquences pratiques : si un cabinet utilise un outil de présélection en dehors du périmètre déclaré par le fournisseur — par exemple en l’appliquant à des fonctions de direction alors qu’il est calibré pour des fonctions opérationnelles — il sort du périmètre de la garantie du fournisseur et peut basculer lui-même en position de fournisseur de fait.
Deuxièmement, le déployeur doit garantir une supervision humaine effective du système. Cela signifie qu’une personne qualifiée doit pouvoir surveiller le fonctionnement, interpréter les sorties, et intervenir pour suspendre ou arrêter le système si nécessaire. Pour un cabinet de recrutement, cela suppose typiquement que les présélections automatisées soient relues par un recruteur humain, qui peut écarter les recommandations algorithmiques ou les remettre en cause.
Troisièmement, le déployeur doit conserver les logs générés par le système d’IA, dans la mesure où ces logs sont sous son contrôle. Cette obligation rejoint en grande partie les exigences du RGPD sur la traçabilité des décisions automatisées.
Quatrièmement, le déployeur doit informer les personnes concernées qu’elles font l’objet d’un traitement par un système d’IA à haut risque. Cette obligation s’articule étroitement avec l’article 22 du RGPD sur les décisions individuelles automatisées.
Cinquièmement, dans certains cas spécifiquement énumérés, le déployeur doit réaliser une analyse d’impact sur les droits fondamentaux préalable à l’utilisation du système. Cette analyse, distincte de l’analyse d’impact RGPD bien que largement compatible, doit documenter les risques pour les droits fondamentaux et les mesures d’atténuation prévues.
Sixièmement, le déployeur a une obligation de coopération avec le fournisseur en cas d’incident grave ou de défaillance du système.
Ce que vous avez déjà fait si vous êtes en conformité RGPD
L’angle qui peut soulager les cabinets de recrutement est le suivant : la grande majorité des obligations qui leur incombent au titre de l’AI Act recoupent des obligations déjà portées au titre du RGPD. Si votre cabinet a déjà mis en place une politique de protection des données conforme, une analyse d’impact pour les traitements automatisés, des procédures de transparence vis-à-vis des candidats, et une supervision humaine des décisions, vous avez déjà couvert l’essentiel des obligations AI Act déployeur.
Il ne s’agit pas de prétendre qu’aucun travail supplémentaire n’est nécessaire. L’analyse d’impact sur les droits fondamentaux est une démarche distincte de l’analyse d’impact RGPD, même si elle peut être largement mutualisée. L’obligation de conserver les logs spécifiques AI Act doit être tracée explicitement. La documentation du système doit faire l’objet d’une formalisation propre.
Mais l’écart entre votre situation actuelle, si vous êtes correctement conforme RGPD, et l’objectif de conformité AI Act déployeur, est de l’ordre de quelques jours de travail bien organisés, pas d’un chantier de plusieurs mois équivalent à celui d’un fabricant de dispositifs médicaux.
L’effet du Digital Omnibus sur le calendrier
Une dernière information utile : le calendrier d’application de l’AI Act a été révisé par l’accord politique provisoire du 7 mai 2026 sur le Digital Omnibus. Les obligations applicables aux systèmes d’IA à haut risque listés à l’Annexe III du règlement, qui devaient s’appliquer le 2 août 2026, sont reportées au 2 décembre 2027. Le recrutement et la gestion des travailleurs figurent au point 4 de l’Annexe III. Les cabinets concernés disposent donc d’environ dix-huit mois supplémentaires pour structurer leur conformité, à condition que l’accord politique soit définitivement adopté avant le 2 août 2026.
Ce délai supplémentaire ne dispense pas de la préparation. Il offre une fenêtre raisonnable pour conduire la démarche sans précipitation. Pour un cabinet de recrutement bien organisé, viser une mise en conformité complète au premier trimestre 2027 reste un objectif tenable, en mobilisant trois à six jours de travail de cadrage selon la complexité de l’organisation.
En conclusion
La distinction fournisseur / déployeur est centrale pour comprendre correctement l’AI Act. Les cabinets de recrutement, dans leur écrasante majorité, sont déployeurs, pas fournisseurs. Leurs obligations sont réelles mais d’un ordre de grandeur nettement inférieur à ce qui leur est parfois présenté. Et ces obligations recoupent largement celles qu’ils portent déjà au titre du RGPD, ce qui réduit d’autant le coût marginal de la mise en conformité.
Pour les dirigeants de cabinets qui reçoivent en ce moment des propositions de mise en conformité chiffrées à plusieurs dizaines de milliers d’euros, la question pertinente à poser à leur prestataire potentiel est simple : quel est précisément l’écart entre notre conformité RGPD actuelle et les obligations AI Act déployeur identifiées ? Si la réponse est ambiguë ou si elle ne mobilise pas l’article 26 du règlement, vous achetez probablement des obligations qui ne s’appliquent pas à vous.
Sources : règlement (UE) 2024/1689 du 13 juin 2024 (AI Act), articles 3, 26 et Annexe III ; accord politique provisoire Conseil/Parlement du 7 mai 2026 sur le Digital Omnibus AI Act ; règlement (UE) 2016/679 (RGPD), article 22.
Cet article n’est pas un avis juridique.
Commentaires récents