CNIL et décision automatisée en recrutement : ce que dit la loi

Mis à jour avril 2026 · Talent Acquisition · Auteur Matteo Mirabelli

La décision automatisée en recrutement est l'un des sujets où la doctrine CNIL est la plus stricte et la plus souvent ignorée. Beaucoup d'entreprises françaises déploient en 2026 des systèmes IA qui rejettent automatiquement des candidatures, ou qui les classent à un point tel que le rejet devient mécanique, sans avoir conscience qu'elles enfreignent l'article 22 du RGPD et la doctrine CNIL en RH. La sanction est triple : risque CNIL (sanctions financières), risque prud'homal (contestation par candidat), et risque réputationnel (médiatisation des plaintes pour discrimination algorithmique). Cet article explique précisément ce que dit la loi, comment elle s'applique en France, et comment construire un système conforme.

Article 22 RGPD : le texte

L'article 22 dispose que la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Le rejet d'une candidature est explicitement reconnu par la CNIL comme « affectant de manière significative ». L'article 22 prévoit trois exceptions : (1) nécessité contractuelle, (2) autorisation par le droit de l'Union ou de l'État membre, (3) consentement explicite. Mais même dans ces exceptions, la personne garde le droit à intervention humaine, à exprimer son point de vue, et à contester la décision.

Doctrine CNIL spécifique RH

La CNIL a publié plusieurs lignes directrices et délibérations depuis 2019 sur le sujet RH-IA. Les points clés en 2026 :

  • Information préalable obligatoire : avant tout traitement, le candidat doit être informé de l'usage IA, de la logique sous-jacente (de manière compréhensible, pas le code), des conséquences possibles.
  • Intervention humaine significative : pas une validation pro forma. Un humain doit pouvoir voir le dossier, comprendre la recommandation IA, et la renverser sans contrainte technique ou organisationnelle.
  • Catégories de données limitées : pas de données sensibles (santé, opinions politiques, origine, orientation), même indirectement (par déduction algorithmique).
  • Audit de biais documenté : preuve que le système ne discrimine pas sur des critères protégés.
  • Durée de conservation : 2 ans maximum pour les candidats non retenus.
  • DPIA obligatoire : analyse d'impact pour les traitements à grande échelle.

Comment construire un système conforme

Étape 1 : Documenter la finalité. Pourquoi utilise-t-on l'IA, à quel stade, pour quelle décision. Pas de finalité vague.

Étape 2 : Limiter le périmètre. L'IA aide au tri, ne décide pas. Le rejet final reste humain.

Étape 3 : Concevoir l'humain dans la boucle. Pas symbolique. Un recruteur voit le dossier complet, voit la recommandation IA, peut la renverser, et son choix est journalisé.

Étape 4 : Information transparente. Phrase claire dans la communication candidat : « votre candidature est analysée avec l'aide d'un système IA. Un recruteur examine ensuite votre dossier ».

Étape 5 : Mécanisme de recours. Le candidat peut demander le réexamen humain.

Étape 6 : Audit de biais. Voir biais algorithmique recrutement audit.

Étape 7 : DPIA et registre. Documentation tenue à jour.

Jurisprudence et sanctions

La CNIL a sanctionné plusieurs entreprises depuis 2022 pour pratiques RH non conformes — sanctions oscillant entre quelques dizaines de milliers et plusieurs millions d'euros selon la gravité et le caractère délibéré. Les motifs récurrents : absence d'information, pas d'intervention humaine effective, durée de conservation excessive, absence de DPIA. La jurisprudence prud'homale française traite progressivement les premiers cas de contestation par candidat, avec premières décisions en faveur du candidat lorsque l'employeur ne peut pas démontrer le caractère humain de la décision.

AI Act + ISO 42001 en pratique

L'AI Act classe le recrutement IA en risque élevé (Annexe III). Obligations renforcées : système de gestion qualité, données d'entraînement gouvernées, documentation technique, journaux automatiques, transparence et information, supervision humaine, exactitude/robustesse/cybersécurité, déclaration au registre EU. Voir classification des risques AI Act et conformité AI Act guide.

ISO/IEC 42001 organise ces obligations en système de management auditable. Voir ISO 42001 France.

L'articulation CNIL / AI Act sur ce sujet : le RGPD et la doctrine CNIL sur la décision automatisée s'appliquent au-delà des obligations AI Act ; l'AI Act ajoute, n'enlève rien. Voir CNIL et AI Act.

Knowlee gère les classifications risque élevé par construction. Informatif, pas conseil juridique.

FAQ

Le rejet automatique est-il jamais possible ? Avec consentement explicite et droit à recours humain — théoriquement oui, en pratique le risque est tel que les entreprises évitent.

Que faire si le candidat demande l'intervention humaine ? Y répondre dans des délais raisonnables, par un humain qualifié, avec capacité de renverser.

Conserver les CV combien de temps ? 2 ans maximum pour candidats non retenus (CNIL).

Faut-il informer le CSE ? Oui pour tout déploiement IA-RH significatif.

Quels critères audit de biais ? Voir biais algorithmique recrutement audit.

Sanction maximale CNIL ? 4 % du CA mondial annuel ou 20 M EUR (RGPD), montants AI Act distincts à venir.

Conclusion

La décision automatisée en recrutement n'est pas un détail juridique — c'est un sujet de conformité majeur. Knowlee, plateforme souveraine européenne conforme AI Act + ISO 42001, compatible Mistral, alignée CNIL, est conçue pour porter ces exigences. Construisez votre processus RH-IA sur le bon socle juridique.