IA et RGPD : ce que les RH doivent savoir pour recruter en conformité

10 Min.
ia rgpd et rh

L’IA séduit de plus en plus les recruteurs : gain de temps, aide au tri des candidatures, meilleure expérience candidat… Mais dès qu’on touche aux données personnelles, une question s’impose : et le RGPD dans tout ça ?

Et oui, qui dit nouvelles technologies, dit aussi nouvelles règles à respecter. Avec l’IA, les données personnelles des candidats sont plus que jamais au cœur du processus, et le RGPD vient rappeler ses obligations. Alors, comment les RH peuvent-ils tirer parti de l’IA tout en restant 100 % conformes ?

Dans cet article, on fait le point sur ce que vous devez savoir pour recruter efficacement, sans faux pas juridique.

 

IA, RGPD et RH : le cadre légal en 2025

Les recruteurs doivent composer avec deux piliers réglementaires : le RGPD, qui encadre l’usage des données personnelles, et le AI Act, qui fixe les règles européennes sur l’intelligence artificielle.

Le RGPD appliqué au recrutement assisté par IA

Dès qu’un logiciel traite des CV, lettres de motivation, résultats de tests ou enregistrements d’entretien vidéo, il manipule des données personnelles sensibles. Pour rester conforme, les RH doivent veiller à :

  • Informer clairement les candidats : indiquer si une IA intervient dans l’analyse des candidatures et à quelles fins (CNIL) ;
  • Respecter le principe de minimisation : collecter uniquement les données utiles pour évaluer la candidature (pas de données superflues ou non pertinentes) (Actu-Juridique) ;
  • Garantir la transparence et l’explicabilité : si un algorithme écarte un candidat, celui-ci doit pouvoir comprendre les critères utilisés ;
  • Permettre l’exercice des droits : accès, rectification, effacement ou opposition doivent être possibles, même si un logiciel d’IA est utilisé.

Dans certains cas (par exemple : IA qui classe automatiquement des profils selon leur “pertinence”), une analyse d’impact (DPIA) est obligatoire pour mesurer les risques et documenter les mesures de protection. (EDPB)

L’AI Act et ses implications pour les RH

Depuis août 2024, le règlement européen sur l’IA (AI Act) est entré en vigueur, avec une application progressive en 2025. Pour les RH, plusieurs points clés :

  • Les outils de recrutement automatisés (logiciels de tri de CV, matching de candidats, scoring) peuvent être classés comme systèmes à haut risque, ce qui implique une documentation détaillée, un suivi et des audits réguliers (IAPP) ;
  • Certaines pratiques sont interdites depuis février 2025, par exemple l’IA qui manipule les comportements pour influencer une décision de candidature (CNIL) ;
  • L’AI Act renforce la transparence : un candidat doit savoir s’il est évalué par une IA, et les RH doivent pouvoir expliquer comment fonctionne le système utilisé.

Initiatives spécifiques de la CNIL en France

La CNIL a publié en 2025 plusieurs guides pratiques pour les acteurs RH :

  • L’usage de l’intérêt légitime pour développer ou entraîner un modèle d’IA doit être encadré et proportionné aux droits des candidats. (Village Justice)
  • Le web scraping (ex. récupération de profils publics sur LinkedIn pour alimenter une IA) n’est possible que sous conditions strictes de transparence et de respect des droits. (Hogan Lovells)

En résumé, pour les recruteurs, IA et RGPD ne sont pas incompatibles : il s’agit de documenter ses choix, informer les candidats et travailler avec des outils conformes. Les RH qui respectent ces règles transforment une contrainte légale en atout de transparence et de confiance dans leur processus de recrutement.

 

Les risques pour les RH en cas de non-conformité

Des sanctions financières lourdes

Le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise en cas de manquement grave (article 83 du RGPD). La CNIL a déjà sanctionné plusieurs acteurs pour des traitements de données excessifs ou non justifiés.

Avec l’entrée en vigueur du AI Act, de nouvelles sanctions s’ajoutent : elles peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les systèmes d’IA à risque élevé non conformes (CNIL).

Un risque juridique et opérationnel

En cas de recours d’un candidat, l’entreprise peut être obligée de justifier les décisions prises à l’aide d’un outil IA. Sans documentation claire, elle s’expose à des contentieux pour discrimination, non-respect des droits des personnes ou absence de consentement valide. Un traitement jugé illicite peut être suspendu, ce qui peut bloquer tout un processus de recrutement.

outils d'ia recrutement

Un impact direct sur la marque employeur

Les candidats sont de plus en plus attentifs à la transparence des processus. Une mauvaise gestion de l’IA (par exemple un refus jugé arbitraire ou un manque d’explications) peut générer de la méfiance, nuire à l’expérience candidat et entacher l’image de l’entreprise.

Plusieurs affaires médiatisées l’ont montré :

Le cas Amazon (2014)

En 2014, Amazon a travaillé sur un système automatisé d’analyse de CV, conçu pour repérer les meilleurs candidats à partir de leurs profils passés. Mais très rapidement, l’outil a manifesté des biais : il défavorisait les femmes, notamment pour les postes techniques.

Le problème venait notamment du fait que les données historiques utilisées pour entraîner le modèle provenaient majoritairement de CV d’hommes. L’algorithme « apprenait » donc que les profils masculins étaient plus “sûrs”, renforçant un biais existant.

Finalement, Amazon a abandonné le projet en 2028 (ou du moins mis en pause son déploiement généralisé) en reconnaissant que l’outil ne pouvait pas garantir l’équité.

Le cas de Workday (2025)

En 2025, l’éditeur de logiciel RH Workday est visé par une action collective aux États-Unis : l’allégation est que son outil de recrutement algorithmique discrimine les candidats âgés de plus de 40 ans, en les écartant de manière disproportionnée.

Le litige souligne comment l’IA peut reproduire des biais d’âge (et potentiellement d’autres critères protégés), même lorsqu’aucune intention discriminatoire n’est explicitement codée.

Ce cas renforce l’idée que tout algorithme de sélection doit être audité et surveillé, notamment vis-à-vis des critères sensibles (âge, genre, origine, etc.).

Ces cas sont souvent cités comme un avertissement : même des entreprises très puissantes peuvent se tromper si les biais historiques ne sont pas corrigés ou anticipés, et cela sans supervision humaine constante.

Une perte de confiance interne

Les managers et collaborateurs peuvent également perdre confiance dans les outils RH si ceux-ci sont perçus comme biaisés ou juridiquement risqués. Résultat : faible adoption, contournement des procédures, et finalement inefficacité des investissements dans l’IA.

En résumé, la non-conformité expose les RH à un triple risque : financier, juridique et réputationnel. À l’inverse, une IA maîtrisée et encadrée devient un levier de transparence et d’attractivité.

 

Alors, que doivent mettre en place les RH et recruteurs pour rester conformes ?

Utiliser l’IA dans le recrutement ne dispense pas de respecter le cadre légal. Au contraire : plus la technologie est puissante, plus les obligations de conformité sont fortes. Pour rester dans les clous, les RH doivent adopter de bonnes pratiques à chaque étape du processus.

#1. Cartographier les traitements de données

Avant de déployer un outil d’IA, il est essentiel d’identifier quelles données personnelles sont collectées, par qui, et dans quel but. Cette cartographie permet de vérifier que seules les informations utiles sont traitées et qu’elles le sont de manière légitime.

Nettoyez les données d’entraînement pour éviter que l’IA ne reproduise des discriminations passées.

#2. Informer clairement les candidats

Les candidats doivent savoir si leur CV ou leur profil est analysé par un algorithme. Concrètement, cela implique d’ajouter dans les offres d’emploi, formulaires de candidature ou politiques de confidentialité une mention sur l’utilisation de l’IA et les droits associés.

#3. Mettre en place une gouvernance des outils IA

Les RH doivent choisir des logiciels qui respectent le RGPD et l’AI Act (ex. : auditabilité, explicabilité, gestion des biais). Il est recommandé de :

  • exiger du fournisseur une documentation claire sur l’algorithme ;
  • vérifier la présence de mécanismes de contrôle humain dans les décisions de recrutement ;
  • définir en interne qui est responsable de la supervision des outils.

#4. Réaliser des DPIA (analyses d’impact) quand c’est nécessaire

Dès qu’un traitement peut présenter un risque élevé pour les droits des candidats (par exemple : scoring automatique, analyse vidéo ou vocale), une évaluation d’impact doit être réalisée. Cette démarche permet de documenter les risques et les mesures de protection mises en place.

#5. Documenter et tracer les décisions

Chaque étape doit être documentée : choix de l’outil, critères de sélection, résultats produits par l’IA, contrôles effectués. Conserver cette traçabilité permet non seulement de répondre aux obligations légales en cas de contrôle, mais aussi de renforcer la transparence vis-à-vis des candidats et la confiance interne dans le processus de recrutement.

#6. Garder une supervision humaine

Automatiser tout le processus (entretien, refus) sans intervention humaine ouvre la porte à des décisions aberrantes qu’on ne peut pas justifier. L’IA doit rester un outil d’aide à la décision, pas un décideur. Il est indispensable d’assurer qu’un humain prenne les décisions finales : par exemple, ne pas automatiser 100 % des entretiens ou des refus de candidatures.

#7. Former et sensibiliser les équipes

La conformité ne repose pas que sur les outils : elle passe aussi par les utilisateurs. Les recruteurs et managers doivent être formés aux principes RGPD et à l’utilisation éthique de l’IA, afin d’éviter les mauvaises pratiques (collecte excessive, usage détourné des données, etc.).

#8. Assurer un suivi et une mise à jour régulière

Les règles évoluent (RGPD, AI Act, recommandations de la CNIL). Les RH doivent donc prévoir des revues régulières de leurs processus et mettre à jour leurs politiques internes pour rester conformes dans la durée.

#9. Veiller et anticiper les dérives

Les RH doivent rester vigilants face aux usages d’IA qui franchissent la ligne rouge :

  • se méfier des solutions de reconnaissance émotionnelle, facial-tracking ou entretiens automatisés sans humain, déjà critiquées ou abandonnées (exemples : Amazon, certaines agences d’intérim) ;
  • éviter l’hyper-normalisation qui exclut des profils atypiques à cause de biais algorithmiques, d’où l’importance de remettre l’humain dans la boucle ;
  • s’inspirer d’usages encadrés dans le secteur public (DGAFP), comme la rédaction de fiches de poste ou les recommandations de formation, mais éviter les applications sensibles (santé, reconnaissance faciale, scoring comportemental).

Effectuez des tests de biais, des audits indépendants, des revues périodiques pour détecter les dérives.

Nouveau call-to-action

Une IA conforme pour les RH : quelles sont les opportunités ?

Bien sûr, respecter le RGPD et l’AI Act est obligatoire. Mais ce n’est pas qu’une histoire de conformité ou d’administratif : c’est aussi une vraie opportunité pour les RH, qui peuvent profiter des avantages de l’IA dans le recrutement tout en garantissant transparence et confiance.

Plus de transparence et d’équité

Un cadre clair oblige à documenter, expliquer et superviser les outils. Résultat : les candidats comprennent mieux comment leurs données sont utilisées et perçoivent le recrutement comme plus juste et équitable.

Un gain de temps sans perdre la main

Automatiser le tri des CV ou la planification d’entretiens, c’est un vrai plus. Mais comme la loi impose un contrôle humain, on garde la main sur les décisions finales. L’IA fait gagner du temps, l’humain garde le dernier mot.

Une meilleure expérience candidat

Fini le côté “boîte noire” : les étapes sont plus claires, les règles mieux expliquées. Les candidats savent où ils en sont et à qui s’adresser. Bref, une expérience plus fluide et rassurante.

Un vrai boost pour la marque employeur

Être conforme, ce n’est pas juste éviter une amende, c’est aussi montrer qu’on innove de façon responsable. Les entreprises qui jouent la carte de la transparence et de l’éthique marquent des points en attractivité.

 

Et le RGPD quand on a un ATS ?

Quand on parle RGPD et recrutement, on pourrait se demander: “et concrètement, comment ça se passe dans un ATS comme Flatchr ?”

Un ATS bien conçu intègre la conformité par défaut, directement dans ses fonctionnalités.

Par exemple, avec Flatchr, cela se traduit par :

  • Un consentement clair et tracé : chaque candidat est informé et peut donner son accord en toute transparence ;
  • Des durées de conservation paramétrées : les données ne restent pas “à vie” dans la base, elles sont automatiquement archivées ou supprimées selon vos réglages ;
  • Le respect des droits candidats : accès, rectification, suppression… quelques clics suffisent pour répondre à une demande RGPD ;
  • Une traçabilité totale : chaque action (consultation, modification, suppression) est enregistrée, ce qui permet de prouver la conformité en cas de contrôle ;
  • La sécurité des données : hébergement en France, accès sécurisé, et gestion fine des droits utilisateurs pour éviter toute fuite ou abus. 

IA ATS flatchr

Oui, le RGPD et l’AI Act imposent un cadre strict, mais plutôt que de le voir comme une contrainte, mieux vaut l’aborder comme une boussole : un guide qui permet d’innover sans déraper.

Pour les RH, la clé est simple : utiliser l’IA comme un allié, sans jamais oublier la transparence, la supervision humaine et le respect des droits des candidats. C’est le meilleur moyen de gagner du temps, de renforcer la confiance et de valoriser la marque employeur.

En clair : l’IA peut révolutionner le recrutement, à condition de rester conforme et responsable. Et si la technologie change, une chose reste certaine : dans le recrutement, l’humain garde toujours le dernier mot.
Cynthia
Je suis créatrice de contenus RH chez Flatchr. Ma mission : vous aider à recruter mieux (et plus vite), sans vous noyer sous les articles à rallonge. Sur ce blog, je décrypte les tendances RH, je partage des conseils concrets et des retours d’expérience pour booster vos pratiques de recrutement. Le tout, avec une bonne dose de clarté, d’humain… et parfois même d’humour
La newsletter rien que pour vous ! 😁

Dans le même genre

administration publique
Logiciel de recrutement pour les administrations publiques
blog_author_avatar
Yasmine
8 actions et exemples pour développer sa marque employeur
blog_author_avatar
Cynthia
6 innovations recruteur
Les 6 innovations recruteur
blog_author_avatar
Yasmine

Gagnez du temps avec l'ATS n°1 en France

Simplifiez votre quotidien. Avec Flatchr : créez une offre, diffusez-la, recrutez et gérez vos candidats à un seul endroit !

Demander une démo