CNIL contrôle IA RH entreprise : un tournant pour les systèmes de recrutement
La CNIL a annoncé dès 2023 un renforcement massif de ses contrôles sur l’usage de l’intelligence artificielle dans les ressources humaines, avec un focus explicite sur le recrutement automatisé et les outils de scoring de candidats. Dans son programme de contrôle 2024, l’autorité précise que les traitements algorithmiques impactant l’accès à l’emploi et la carrière feront l’objet d’investigations ciblées, en cohérence avec ses lignes directrices sur les décisions automatisées et le profilage. Pour un Chief Digital Officer, ce signal transforme la question de la conformité RGPD en enjeu stratégique de gouvernance des données et de l’intelligence artificielle dans toute l’entreprise. Les systèmes RH à haut risque, classés comme tels par l’AI Act (règlement européen adopté en mars 2024) pour le recrutement, l’évaluation et la gestion des licenciements, deviennent désormais la première ligne de risque numérique pour les organisations, au même titre que la cybersécurité ou la protection des données de santé.
Le périmètre réel des contrôles de la CNIL sur l’IA appliquée aux RH dépasse largement le simple tri de CV et touche l’ensemble des données personnelles utilisées dans les processus de travail, de la gestion des ressources humaines à la gestion du personnel en production. Chaque outil d’ATS, chaque module d’intelligence artificielle intégré dans un SIRH ou un CRM de recrutement, chaque algorithme de scoring de candidats ou de prédiction de performance doit être analysé au regard du droit, du RGPD et du code du travail. La CNIL attend une documentation précise sur les finalités, les durées de conservation des données, les mécanismes de protection des données et la supervision humaine effective sur les décisions automatisées, conformément aux principes de transparence, de minimisation et de loyauté. Dans plusieurs décisions récentes, l’autorité a déjà sanctionné des employeurs pour une conservation excessive de données de recrutement ou un manque d’information claire des candidats sur l’usage d’outils d’analyse automatisée.
Les CDO doivent partir d’une cartographie fine des données de recrutement et des données candidats, en distinguant clairement les jeux de données d’entraînement, les données opérationnelles et les données archivées pour la conservation des données. Cette cartographie doit couvrir les outils internes et les outils SaaS, les ATS, les modules d’intelligence artificielle embarqués et les connecteurs API qui irriguent la gestion des ressources et la gestion du personnel. Sans cette vision consolidée, impossible de démontrer une conformité RGPD robuste ni de prouver que les durées de conservation des données personnelles sont alignées sur un référentiel clair et sur les exigences d’un éventuel futur référentiel CNIL dédié à l’IA dans les ressources humaines. À titre d’exemple, la CNIL recommande souvent de limiter à quelques mois la conservation des candidatures non retenues, sauf accord explicite pour une durée plus longue, ce qui doit être formalisé dans la politique interne et les mentions d’information.
Quatre outils IA RH à auditer en priorité et pièges de la délégation au SaaS
Les contrôles annoncés par la CNIL ciblent en priorité quatre familles d’outils : tri automatisé de CV, scoring de candidats, évaluation de la performance et prédiction de turnover des salariés. Ces briques d’intelligence artificielle, souvent intégrées discrètement dans les plateformes RH, transforment la gestion des ressources humaines mais exposent fortement l’entreprise si la supervision humaine est insuffisante ou purement formelle. Plusieurs retours d’expérience publiés par les autorités de protection des données européennes montrent par exemple des outils de présélection qui écartent systématiquement certains profils, sans alerte ni revue humaine structurée pendant de longs mois, avec un risque élevé de discrimination indirecte. Dans un cas pratique fréquemment cité, un algorithme de tri a été paramétré pour privilégier certains diplômes et a, de fait, exclu une grande partie des candidats issus de filières non traditionnelles, sans que les recruteurs en aient pleinement conscience.
Le piège majeur pour un Chief Digital Officer réside dans la croyance que le fournisseur SaaS porte seul le risque, alors que la CNIL rappelle systématiquement que le responsable de traitement reste l’entreprise utilisatrice. Même lorsque le modèle d’intelligence artificielle est fourni clé en main par un éditeur d’ATS ou par un acteur spécialisé, la responsabilité de la conformité RGPD, de la protection des données et de l’information des candidats demeure côté entreprise. Les CDO doivent donc exiger des éditeurs une transparence accrue sur les jeux de données, les référentiels utilisés, les durées de conservation des données personnelles et les mécanismes de supervision humaine intégrés dans les outils, en les formalisant dans les contrats et les annexes de traitement des données. Cette vigilance contractuelle est d’autant plus importante que l’AI Act impose, pour les systèmes à haut risque, une documentation technique détaillée, des registres de logs et des procédures de gestion des incidents.
Dans ce contexte de vigilance accrue, les équipes de conformité doivent particulièrement scruter la granularité des journaux d’audit, la traçabilité des décisions et la capacité à reconstituer le cheminement d’un algorithme pour un candidat ou un salarié donné. Les entreprises doivent aussi vérifier que les modules d’IA ne croisent pas indûment des données issues d’autres sources sensibles, comme un éventuel répertoire électoral, des bases issues de fédérations sportives ou des données de santé, ce qui violerait frontalement le droit et la vie privée. Pour structurer cette démarche, un CDO peut s’appuyer sur des ressources spécialisées en protection des données personnelles en entreprise, par exemple en s’inspirant des bonnes pratiques décrites dans un guide sur la compréhension et la protection des données personnelles en entreprise, et en les adaptant aux exigences spécifiques de l’AI Act et des recommandations de la CNIL sur les algorithmes décisionnels.
Plan d’action 30 / 60 / 90 jours : gouvernance transverse et supervision humaine
Face au durcissement des contrôles de la CNIL sur l’IA RH, un plan d’action resserré sur 90 jours permet de reprendre la main sans attendre une inspection. Les 30 premiers jours doivent être consacrés à la cartographie exhaustive des outils d’IA dans les ressources humaines, en incluant les ATS, les modules de scoring, les outils d’évaluation et les solutions de prédiction de turnover au niveau de chaque lieu de travail. Cette phase doit aboutir à une liste d’audit minimale : pour chaque outil, identifier les finalités, les catégories de données, les bases légales, les flux vers des tiers et la présence ou non de décisions automatisées au sens de l’article 22 du RGPD. Cette première étape sert de socle à toute checklist d’audit IA RH CNIL et permet de repérer rapidement les traitements les plus sensibles.
Les 60 jours suivants servent à documenter les traitements, à aligner les durées de conservation des données avec un référentiel interne, à clarifier la gestion des ressources et la gestion du personnel, puis à formaliser les procédures de supervision humaine sur toutes les décisions sensibles. C’est à ce stade qu’il faut lancer ou mettre à jour les analyses d’impact relatives à la protection des données (AIPD / DPIA) pour les systèmes à haut risque : description détaillée des opérations de traitement, évaluation de la nécessité et de la proportionnalité, analyse des risques pour les droits et libertés, mesures de réduction du risque, revue des biais potentiels et des mécanismes de recours pour les personnes concernées. Un exemple concret consiste à documenter, pour un outil de scoring de candidats, la logique générale de l’algorithme, les critères utilisés, la durée de conservation des profils (par exemple 24 mois maximum) et les modalités de contestation d’une décision automatisée par le candidat.
Les CDO ont intérêt à structurer une gouvernance transverse qui associe la direction des ressources humaines, le DPO, la direction juridique et les équipes data pour traiter l’IA RH comme un portefeuille de risques, et non comme une simple suite d’outils. Cette gouvernance doit intégrer la mise en place de comités de revue des modèles, la validation des référentiels de données, la vérification de la conformité RGPD et la capacité à répondre à une demande d’explication d’un salarié ou d’un candidat. Dans certains secteurs, notamment lorsque des données croisent des activités annexes comme des fédérations sportives ou des dispositifs de suivi d’activité, la vigilance sur la vie privée et la protection des données doit être renforcée, avec des contrôles réguliers des journaux, des droits d’accès et des paramétrages de profilage. Cette approche permet d’anticiper les exigences de l’AI Act en matière de gestion du cycle de vie des modèles et de documentation continue.
Les 90 jours se terminent par l’adaptation concrète des systèmes : désactivation de certains modules, ajustement des paramètres, renforcement de la supervision humaine et clarification de l’information des candidats et des salariés sur les traitements automatisés. Les entreprises doivent aussi anticiper le risque financier, car les sanctions peuvent atteindre plusieurs millions d’euros en cas de manquement grave à la protection des données ou à la conformité RGPD dans un contexte d’intelligence artificielle appliquée au travail. Pour aller plus loin sur l’alignement entre IA, conformité numérique et performance business, un CDO peut s’appuyer sur des ressources dédiées à la conformité numérique dans l’entreprise et sur des analyses de l’optimisation du référencement grâce à l’intelligence artificielle, comme celles présentées dans un article sur l’optimisation du référencement grâce à l’intelligence artificielle, afin de concilier maîtrise des risques, innovation et visibilité en ligne.
Chiffres clés sur la régulation de l’IA RH et la CNIL
- Les systèmes RH de recrutement, d’évaluation et de licenciement sont classés à haut risque par l’AI Act, ce qui impose des exigences renforcées en matière de gouvernance, de documentation, de gestion des données d’entraînement et de supervision humaine, avec des obligations de tests, de gestion des incidents et de tenue de registres détaillés.
- L’AI Act interdit les systèmes de reconnaissance émotionnelle au travail, ce qui impacte directement les projets d’IA visant à analyser les expressions faciales ou la voix des salariés sur le lieu de travail, y compris dans les entretiens vidéo ou les dispositifs de monitoring, et oblige les entreprises à revoir certains projets de recrutement vidéo ou de mesure de l’engagement.
- Les sanctions pour non-respect des règles de protection des données et de l’AI Act peuvent atteindre plusieurs millions d’euros, ce qui transforme la conformité en enjeu financier majeur pour les entreprises et impose une revue régulière des risques IA dans les RH, intégrée aux comités de risques et aux audits internes.
- Les autorités de protection des données, dont la CNIL, annoncent une intensification des contrôles sur les systèmes d’IA RH, avec une attention particulière portée aux outils de recrutement et d’évaluation de la performance, ainsi qu’aux traitements automatisés ayant un effet juridique significatif, comme les refus de candidature, les décisions de promotion ou les licenciements.
Questions fréquentes sur la CNIL, l’IA RH et la conformité en entreprise
Comment prioriser les audits d’IA RH face au renforcement des contrôles de la CNIL ?
La priorisation doit partir d’une analyse de risque centrée sur l’impact pour les candidats et les salariés, en ciblant d’abord les systèmes qui influencent directement l’accès à l’emploi, la rémunération, la mobilité interne ou le licenciement. Les outils de tri de CV, de scoring de candidats, d’évaluation de la performance et de prédiction de turnover doivent être audités en premier, car ils combinent un fort impact individuel et une forte automatisation. Un CDO peut structurer cette priorisation en croisant le niveau d’autonomie de l’algorithme, la sensibilité des données traitées, la présence de décisions automatisées et la maturité actuelle de la supervision humaine, afin de bâtir une feuille de route d’audit IA RH cohérente avec les attentes de la CNIL.
Qui porte la responsabilité en cas de manquement : l’éditeur SaaS ou l’entreprise utilisatrice ?
En droit des données personnelles, la responsabilité principale repose sur le responsable de traitement, c’est à dire l’entreprise qui décide des finalités et des moyens du traitement, même lorsqu’elle utilise un outil SaaS. L’éditeur peut être qualifié de sous-traitant ou de responsable conjoint, mais la CNIL se tournera d’abord vers l’entreprise utilisatrice pour vérifier la conformité RGPD, la protection des données et l’information des personnes concernées. Les contrats avec les éditeurs doivent donc préciser les engagements en matière de sécurité, de transparence, de durées de conservation, de coopération en cas de contrôle et de mise à disposition des journaux nécessaires à la traçabilité, en cohérence avec les obligations de l’AI Act pour les fournisseurs et les déployeurs de systèmes à haut risque.
Comment organiser concrètement la supervision humaine des décisions d’IA dans les RH ?
La supervision humaine ne peut pas se limiter à un clic d’acceptation automatique des recommandations de l’algorithme ; elle doit impliquer une capacité réelle de contestation, de modification et de refus de la décision proposée. Les entreprises doivent définir des rôles clairs pour les managers, les recruteurs et les équipes RH, avec des procédures documentées pour la revue des cas sensibles, les demandes d’explication et les recours internes. Des tableaux de bord de suivi, des audits réguliers des modèles, des tests de non-discrimination et des formations spécifiques à l’IA pour les équipes RH renforcent l’effectivité de cette supervision, tout en répondant aux exigences de transparence et de contrôle humain prévues par le RGPD et l’AI Act.
Quelles sont les attentes de la CNIL en matière de documentation des systèmes d’IA RH ?
La CNIL attend une documentation qui permette de comprendre les finalités du traitement, les catégories de données utilisées, les sources de données, les logiques générales des algorithmes et les mécanismes de supervision humaine. Cette documentation doit aussi préciser les durées de conservation des données, les mesures de sécurité, les modalités d’information des candidats et des salariés, ainsi que les procédures de gestion des droits (accès, rectification, opposition). Pour les systèmes à haut risque, une analyse d’impact relative à la protection des données est généralement requise, avec une mise à jour régulière en fonction de l’évolution des modèles, des jeux de données et des usages opérationnels, afin de démontrer une conformité continue aux yeux de la CNIL et des autres autorités de contrôle.
Comment articuler AI Act, RGPD et code du travail dans un projet d’IA RH ?
Un projet d’IA RH doit être conçu comme un triptyque réglementaire où l’AI Act encadre le niveau de risque et les exigences techniques, le RGPD régit la protection des données personnelles et le code du travail fixe les limites en matière de non-discrimination, de transparence et de respect des droits des salariés. Les CDO doivent travailler en étroite collaboration avec les directions juridiques et RH pour traduire ces exigences en critères de conception, de paramétrage et de gouvernance des systèmes. Une approche intégrée évite les contradictions entre performance algorithmique, conformité réglementaire et acceptabilité sociale des outils d’IA sur le lieu de travail, tout en préparant l’entreprise aux contrôles renforcés des autorités et en sécurisant les projets d’IA RH sur le long terme.