L’IA séduit de plus en plus les recruteurs : gain de temps, aide au tri des candidatures, meilleure expérience candidat… Mais dès qu’on touche aux données personnelles, une question s’impose : et le RGPD dans tout ça ?
Et oui, qui dit nouvelles technologies, dit aussi nouvelles règles à respecter. Avec l’IA, les données personnelles des candidats sont plus que jamais au cœur du processus, et le RGPD vient rappeler ses obligations. Alors, comment les RH peuvent-ils tirer parti de l’IA tout en restant 100 % conformes ?
Dans cet article, on fait le point sur ce que vous devez savoir pour recruter efficacement, sans faux pas juridique.
Les recruteurs doivent composer avec deux piliers réglementaires : le RGPD, qui encadre l’usage des données personnelles, et le AI Act, qui fixe les règles européennes sur l’intelligence artificielle.
Dès qu’un logiciel traite des CV, lettres de motivation, résultats de tests ou enregistrements d’entretien vidéo, il manipule des données personnelles sensibles. Pour rester conforme, les RH doivent veiller à :
Dans certains cas (par exemple : IA qui classe automatiquement des profils selon leur “pertinence”), une analyse d’impact (DPIA) est obligatoire pour mesurer les risques et documenter les mesures de protection. (EDPB)
Depuis août 2024, le règlement européen sur l’IA (AI Act) est entré en vigueur, avec une application progressive en 2025. Pour les RH, plusieurs points clés :
La CNIL a publié en 2025 plusieurs guides pratiques pour les acteurs RH :
En résumé, pour les recruteurs, IA et RGPD ne sont pas incompatibles : il s’agit de documenter ses choix, informer les candidats et travailler avec des outils conformes. Les RH qui respectent ces règles transforment une contrainte légale en atout de transparence et de confiance dans leur processus de recrutement.
Le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise en cas de manquement grave (article 83 du RGPD). La CNIL a déjà sanctionné plusieurs acteurs pour des traitements de données excessifs ou non justifiés.
Avec l’entrée en vigueur du AI Act, de nouvelles sanctions s’ajoutent : elles peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les systèmes d’IA à risque élevé non conformes (CNIL).
En cas de recours d’un candidat, l’entreprise peut être obligée de justifier les décisions prises à l’aide d’un outil IA. Sans documentation claire, elle s’expose à des contentieux pour discrimination, non-respect des droits des personnes ou absence de consentement valide. Un traitement jugé illicite peut être suspendu, ce qui peut bloquer tout un processus de recrutement.
Les candidats sont de plus en plus attentifs à la transparence des processus. Une mauvaise gestion de l’IA (par exemple un refus jugé arbitraire ou un manque d’explications) peut générer de la méfiance, nuire à l’expérience candidat et entacher l’image de l’entreprise.
Plusieurs affaires médiatisées l’ont montré :
En 2014, Amazon a travaillé sur un système automatisé d’analyse de CV, conçu pour repérer les meilleurs candidats à partir de leurs profils passés. Mais très rapidement, l’outil a manifesté des biais : il défavorisait les femmes, notamment pour les postes techniques.
Le problème venait notamment du fait que les données historiques utilisées pour entraîner le modèle provenaient majoritairement de CV d’hommes. L’algorithme « apprenait » donc que les profils masculins étaient plus “sûrs”, renforçant un biais existant.
Finalement, Amazon a abandonné le projet en 2028 (ou du moins mis en pause son déploiement généralisé) en reconnaissant que l’outil ne pouvait pas garantir l’équité.
En 2025, l’éditeur de logiciel RH Workday est visé par une action collective aux États-Unis : l’allégation est que son outil de recrutement algorithmique discrimine les candidats âgés de plus de 40 ans, en les écartant de manière disproportionnée.
Le litige souligne comment l’IA peut reproduire des biais d’âge (et potentiellement d’autres critères protégés), même lorsqu’aucune intention discriminatoire n’est explicitement codée.
Ce cas renforce l’idée que tout algorithme de sélection doit être audité et surveillé, notamment vis-à-vis des critères sensibles (âge, genre, origine, etc.).
Ces cas sont souvent cités comme un avertissement : même des entreprises très puissantes peuvent se tromper si les biais historiques ne sont pas corrigés ou anticipés, et cela sans supervision humaine constante.
Les managers et collaborateurs peuvent également perdre confiance dans les outils RH si ceux-ci sont perçus comme biaisés ou juridiquement risqués. Résultat : faible adoption, contournement des procédures, et finalement inefficacité des investissements dans l’IA.
En résumé, la non-conformité expose les RH à un triple risque : financier, juridique et réputationnel. À l’inverse, une IA maîtrisée et encadrée devient un levier de transparence et d’attractivité.
Utiliser l’IA dans le recrutement ne dispense pas de respecter le cadre légal. Au contraire : plus la technologie est puissante, plus les obligations de conformité sont fortes. Pour rester dans les clous, les RH doivent adopter de bonnes pratiques à chaque étape du processus.
Avant de déployer un outil d’IA, il est essentiel d’identifier quelles données personnelles sont collectées, par qui, et dans quel but. Cette cartographie permet de vérifier que seules les informations utiles sont traitées et qu’elles le sont de manière légitime.
Nettoyez les données d’entraînement pour éviter que l’IA ne reproduise des discriminations passées.
Les candidats doivent savoir si leur CV ou leur profil est analysé par un algorithme. Concrètement, cela implique d’ajouter dans les offres d’emploi, formulaires de candidature ou politiques de confidentialité une mention sur l’utilisation de l’IA et les droits associés.
Les RH doivent choisir des logiciels qui respectent le RGPD et l’AI Act (ex. : auditabilité, explicabilité, gestion des biais). Il est recommandé de :
Dès qu’un traitement peut présenter un risque élevé pour les droits des candidats (par exemple : scoring automatique, analyse vidéo ou vocale), une évaluation d’impact doit être réalisée. Cette démarche permet de documenter les risques et les mesures de protection mises en place.
Chaque étape doit être documentée : choix de l’outil, critères de sélection, résultats produits par l’IA, contrôles effectués. Conserver cette traçabilité permet non seulement de répondre aux obligations légales en cas de contrôle, mais aussi de renforcer la transparence vis-à-vis des candidats et la confiance interne dans le processus de recrutement.
Automatiser tout le processus (entretien, refus) sans intervention humaine ouvre la porte à des décisions aberrantes qu’on ne peut pas justifier. L’IA doit rester un outil d’aide à la décision, pas un décideur. Il est indispensable d’assurer qu’un humain prenne les décisions finales : par exemple, ne pas automatiser 100 % des entretiens ou des refus de candidatures.
La conformité ne repose pas que sur les outils : elle passe aussi par les utilisateurs. Les recruteurs et managers doivent être formés aux principes RGPD et à l’utilisation éthique de l’IA, afin d’éviter les mauvaises pratiques (collecte excessive, usage détourné des données, etc.).
Les règles évoluent (RGPD, AI Act, recommandations de la CNIL). Les RH doivent donc prévoir des revues régulières de leurs processus et mettre à jour leurs politiques internes pour rester conformes dans la durée.
Les RH doivent rester vigilants face aux usages d’IA qui franchissent la ligne rouge :
Effectuez des tests de biais, des audits indépendants, des revues périodiques pour détecter les dérives.
Bien sûr, respecter le RGPD et l’AI Act est obligatoire. Mais ce n’est pas qu’une histoire de conformité ou d’administratif : c’est aussi une vraie opportunité pour les RH, qui peuvent profiter des avantages de l’IA dans le recrutement tout en garantissant transparence et confiance.
Un cadre clair oblige à documenter, expliquer et superviser les outils. Résultat : les candidats comprennent mieux comment leurs données sont utilisées et perçoivent le recrutement comme plus juste et équitable.
Automatiser le tri des CV ou la planification d’entretiens, c’est un vrai plus. Mais comme la loi impose un contrôle humain, on garde la main sur les décisions finales. L’IA fait gagner du temps, l’humain garde le dernier mot.
Fini le côté “boîte noire” : les étapes sont plus claires, les règles mieux expliquées. Les candidats savent où ils en sont et à qui s’adresser. Bref, une expérience plus fluide et rassurante.
Être conforme, ce n’est pas juste éviter une amende, c’est aussi montrer qu’on innove de façon responsable. Les entreprises qui jouent la carte de la transparence et de l’éthique marquent des points en attractivité.
Quand on parle RGPD et recrutement, on pourrait se demander: “et concrètement, comment ça se passe dans un ATS comme Flatchr ?”
Un ATS bien conçu intègre la conformité par défaut, directement dans ses fonctionnalités.
Par exemple, avec Flatchr, cela se traduit par :
Oui, le RGPD et l’AI Act imposent un cadre strict, mais plutôt que de le voir comme une contrainte, mieux vaut l’aborder comme une boussole : un guide qui permet d’innover sans déraper.
Pour les RH, la clé est simple : utiliser l’IA comme un allié, sans jamais oublier la transparence, la supervision humaine et le respect des droits des candidats. C’est le meilleur moyen de gagner du temps, de renforcer la confiance et de valoriser la marque employeur.
En clair : l’IA peut révolutionner le recrutement, à condition de rester conforme et responsable. Et si la technologie change, une chose reste certaine : dans le recrutement, l’humain garde toujours le dernier mot.