IA et recrutement : guide complet conformité CNIL + RGPD

Mis à jour avril 2026 · Talent Acquisition · Auteur Matteo Mirabelli

L'usage de l'IA dans le recrutement est l'un des cas d'usage les plus régulés en France et dans l'Union européenne. L'AI Act (Règlement 2024/1689) classe explicitement les systèmes IA utilisés en recrutement parmi les systèmes à haut risque dans son Annexe III. La CNIL, en parallèle, applique l'article 22 du RGPD et sa propre doctrine sur la décision automatisée en ressources humaines, qui interdit purement et simplement les décisions de rejet 100 % automatisées sans intervention humaine significative. Dans ce paysage, déployer l'IA en recrutement n'est ni interdit, ni anodin : c'est exigeant. Cet article propose une vue complète des obligations, des cas d'usage acceptables, des pièges juridiques et techniques, et des bonnes pratiques observées en 2026 chez les ETI et grands comptes français qui ont choisi cette voie. Il s'adresse aux DRH, talent acquisition leaders, DPO et directions juridiques qui doivent à la fois moderniser le recrutement et défendre la posture de conformité face aux candidats, comités sociaux et économiques (CSE), et autorités.

Le cadre français en 2026

Trois textes structurent le cadre. L'AI Act classe les systèmes IA de recrutement, sélection, évaluation, et gestion de candidats en risque élevé (Annexe III, point 4 — emploi). Cela impose : analyse de risques documentée, qualité des données d'entraînement, journaux d'exécution, transparence pour les personnes, supervision humaine effective, et déclaration potentielle au registre public européen.

Le RGPD s'applique à toutes les données candidats. L'article 22 RGPD interdit les décisions individuelles fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement la personne — sauf consentement explicite ou nécessité contractuelle, et toujours avec droit à intervention humaine.

La doctrine CNIL précise plusieurs obligations : information préalable des candidats sur l'usage de l'IA, mécanismes effectifs de recours humain, durée de conservation limitée, DPIA obligatoire, audit régulier des biais.

Cas d'usage acceptables et inacceptables

Acceptables sous conditions : sourcing automatisé de candidats sur sources publiques avec opt-out, parsing de CV pour pré-structurer la donnée, classement de CV avec scoring transparent et révision humaine, génération de questions d'entretien suggérées, planification automatique d'entretiens, mesure de complétude documentaire.

Sur la frontière, à éviter sauf cadre rigoureux : scoring prédictif de performance future, analyse de personnalité automatisée, analyse vidéo / vocale d'entretien, comparaison de candidats par modèle de langage seul.

Inacceptables en France : rejet automatique d'une candidature sans révision humaine, scoring discriminant sur des critères protégés (âge, genre, origine), reconnaissance faciale ou émotionnelle pendant entretien.

Bonnes pratiques en 2026

Premièrement : information transparente dès la candidature. Mention explicite de l'usage IA, finalité, type de données traitées, droits du candidat. Deuxièmement : humain effectivement dans la boucle. Pas humain en façade — humain qui voit, comprend et peut renverser. Troisièmement : audit de biais régulier. Voir audit biais algorithmique recrutement. Quatrièmement : durée de conservation courte. CV non retenus = 2 ans maximum (CNIL). Cinquièmement : registre des activités à jour. Sixièmement : DPIA documentée et tenue à jour.

AI Act + ISO 42001 en pratique

Un système IA de recrutement est en risque élevé AI Act, sans ambiguïté pour la majorité des cas d'usage. Cela implique des obligations renforcées : système de gestion de la qualité, gouvernance des données d'entraînement, documentation technique exhaustive, journaux automatiques, transparence et information, supervision humaine, exactitude / robustesse / cybersécurité. Voir classification des risques AI Act et registre systèmes IA haut risque.

ISO/IEC 42001 fournit le cadre opérationnel pour porter ces obligations. Voir ISO 42001 France.

CNIL : article 22 RGPD strict, doctrine spécifique sur la décision automatisée en RH, DPIA obligatoire pour traitement à grande échelle. Voir CNIL décision automatisée recrutement et CNIL et AI Act articulation.

Knowlee porte les exigences AI Act risque élevé par construction : registre, journaux, contrôle humain configurable, audit. Informatif, pas conseil juridique.

FAQ

Peut-on rejeter automatiquement une candidature avec IA ? Non. La CNIL et le RGPD article 22 imposent une intervention humaine significative.

Quels biais surveiller ? Genre, origine, âge, handicap, situation familiale, tout critère protégé par l'article L. 1132-1 du Code du travail.

Faut-il informer le CSE ? Oui — déploiement d'un système IA en RH relève de l'information-consultation CSE.

DPIA obligatoire ? Oui pour la majorité des systèmes IA de recrutement traitant à grande échelle.

Combien de temps conserver les données ? 2 ans maximum pour les candidats non retenus (recommandation CNIL).

Quelle stratégie d'acquisition de talents IA-augmentée ? Voir stratégie acquisition talents IA.

Conclusion

Le recrutement IA en France est exigeant, pas interdit. Il exige une plateforme conçue pour le risque élevé AI Act. Knowlee — plateforme d'orchestration d'agents IA souveraine européenne, conforme AI Act + ISO 42001, compatible Mistral, alignée CNIL — porte ces exigences par construction. Démarrez votre projet RH IA sur des fondations défendables.