Posez la question autour de la table de direction : « qui, chez nous, porte l'IA Act ? ». Dans neuf PME sur dix, vous récoltez un silence gêné, puis un renvoi de balle. La DSI dit que c'est un sujet juridique. Le juridique dit que c'est un sujet technique. Le dirigeant pense qu'un éditeur s'en chargera dans la mise à jour de son logiciel. Et pendant ce temps, personne ne regarde le seul endroit où l'IA Act mord vraiment dans votre responsabilité d'employeur : l'usage de l'intelligence artificielle sur vos salariés et vos candidats. Recrutement, évaluation, surveillance, santé. Ce terrain-là, ni la DSI ni le cabinet d'avocats ne le couvriront à votre place.
Ce volet tombe côté RH. Pas par tradition, par logique juridique. Le Règlement (UE) 2024/1689 range l'emploi et la gestion des travailleurs parmi les usages à haut risque, et il croise directement le RGPD, la doctrine de la CNIL et le Code du travail. Dans cet article, je pose le cadre de façon lisible, puis je vous montre point par point ce que la fonction RH doit s'approprier, et ce qu'elle doit laisser à la DSI ou au fournisseur. Objectif : que vous ressortiez avec un plan d'action, pas avec une migraine réglementaire.
L'IA Act, c'est le premier cadre juridique complet au monde sur l'intelligence artificielle. Il ne réglemente pas la technologie en tant que telle, il réglemente les usages selon le risque qu'ils font peser sur les droits fondamentaux et la sécurité des personnes. Toute la logique tient dans une pyramide à quatre étages.
Le règlement est entré en vigueur le 1er août 2024, mais il s'applique par vagues. Voici les jalons qui comptent pour vous, vérifiés au texte et à l'actualité réglementaire de mai 2026.
| Échéance | Ce qui s'applique | Impact RH |
|---|---|---|
| 2 février 2025 | Interdictions (pratiques à risque inacceptable) + obligation de littératie IA | Fin de l'analyse d'émotions au travail ; obligation de former et sensibiliser les utilisateurs |
| 2 août 2025 | Modèles d'IA à usage général (GPAI), désignation des autorités nationales, régime de sanctions | Cadre de contrôle en place ; sanctions activables |
| 2 août 2026 | Date de référence légale pour les systèmes à haut risque de l'Annexe III | Recrutement et gestion RH visés (voir report ci-dessous) |
| 2 décembre 2027 | Nouvelle échéance envisagée pour les obligations « haut risque » de l'Annexe III | Délai supplémentaire de mise en conformité technique |
Un point d'actualité important, car il circule beaucoup de dates fausses. Le 7 mai 2026, un accord politique provisoire dit « Digital Omnibus » a été trouvé pour reporter les obligations « haut risque » de l'Annexe III du 2 août 2026 au 2 décembre 2027. Attention au piège : ce report n'est pas encore définitivement adopté et publié, et il ne suspend rien de ce qui est déjà en vigueur. Les interdictions de février 2025, la littératie IA, le RGPD et les prérogatives du CSE, eux, s'appliquent dès aujourd'hui. Le report vous offre du temps pour la conformité technique, pas pour ignorer le sujet.
La réponse tient en une phrase citable : l'Annexe III de l'IA Act classe l'emploi et la gestion des travailleurs parmi les usages à haut risque, ce qui fait de la fonction RH le premier terrain d'application concret du règlement dans l'entreprise. Ce n'est pas une interprétation, c'est écrit noir sur blanc au point 4 de l'annexe.
Traduisez dans votre quotidien : un ATS qui score et classe les CV, un outil qui présélectionne, un module qui recommande une note d'entretien annuel, un logiciel de planification qui répartit les missions selon un profil comportemental. Tous ces usages, banals aujourd'hui, entrent dans la catégorie haut risque. Et la question du « qui répond ? » est déjà tranchée : l'employeur, via sa fonction RH.
L'IA Act ne remplace pas le RGPD, il s'y ajoute. Le scoring d'un candidat par un algorithme est une décision automatisée au sens de l'article 22 du RGPD. Dans ses recommandations finalisées en juillet 2025, la CNIL rappelle une ligne dure sur le domaine RH, qu'elle qualifie de l'un des plus scrutés : un rejet de candidature 100 % automatisé, sans intervention humaine significative, est interdit. Le candidat doit être informé qu'un traitement automatisé intervient, il a droit à une intervention humaine, à une explication, et une analyse d'impact relative à la protection des données (AIPD) est en principe nécessaire.
Depuis le 2 février 2025, l'article 5 de l'IA Act interdit plusieurs pratiques, et l'une d'elles frappe pile le champ RH : les systèmes d'IA visant à inférer les émotions d'une personne sur le lieu de travail sont interdits, sauf raisons médicales ou de sécurité. Le fondement scientifique de ces outils est jugé trop fragile (les expressions émotionnelles varient selon les cultures, les situations et les individus) et leur usage sur des salariés porte atteinte aux droits fondamentaux.
Concrètement, un outil d'entretien vidéo qui prétend mesurer la « motivation » ou la « sincérité » d'un candidat en analysant sa voix, ses micro-expressions ou son regard tombe dans l'interdit. De même pour un dispositif qui surveillerait l'humeur des équipes en continu. Si un commercial vous vend ce type de fonctionnalité « pour objectiver vos recrutements », la bonne réponse est non. Ces manquements exposent à des sanctions lourdes, jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.
Voici le cœur du sujet. Sept chantiers que la fonction RH doit piloter, parce qu'aucun autre service ne le fera à sa place. Ils ne demandent pas d'être ingénieur, ils demandent d'être méthodique.
On ne sécurise que ce qu'on connaît. Première étape : recenser tous les outils comportant de l'IA qui touchent aux salariés ou aux candidats. ATS, module de tri, outil d'évaluation, planification, chatbot RH, assistant de rédaction d'offres, analyse d'entretiens. Pour chacun, notez la finalité, l'éditeur, la nature des données traitées, et le degré d'automatisation de la décision. Cette cartographie est le socle de tout le reste.
La charte IA est le document qui encadre concrètement les usages autorisés dans l'entreprise. Elle précise quels outils sont validés, quelles données sont strictement interdites de saisie (données personnelles de salariés, informations confidentielles, secrets d'affaires), et pose le principe de la supervision humaine : une IA propose, un humain décide. Elle rappelle aussi les règles de transparence vis-à-vis des candidats et des salariés.
Question juridique fine, et souvent mal traitée. Une charte IA à visée purement pédagogique ou informative peut rester un document de bonne pratique. Mais dès qu'elle contient des obligations dont le non-respect peut être sanctionné disciplinairement (interdiction de saisir des données clients dans un outil grand public, par exemple), ces dispositions relèvent du droit disciplinaire et doivent alors respecter le régime du règlement intérieur (articles L.1321-1 et suivants du Code du travail) : consultation du CSE, transmission à l'inspection du travail, dépôt au greffe du conseil de prud'hommes. Autrement dit, une charte contraignante non intégrée au RI risque d'être inopposable. Le réflexe sûr : soit une charte informative, soit une annexe au règlement intérieur en bonne et due forme.
Réponse directe et citable : l'introduction d'une IA impactant l'emploi ou les conditions de travail impose l'information-consultation préalable du CSE, en vertu de l'article L.2312-8 du Code du travail. Ce n'est pas une option de confort social, c'est une obligation dont le non-respect fait tomber le projet.
La jurisprudence l'a confirmé de façon spectaculaire. Le tribunal judiciaire de Nanterre a ordonné, le 29 janvier 2026, la suspension du déploiement de deux logiciels RH intégrant des fonctionnalités d'IA, au motif que l'employeur n'avait pas consulté au préalable son CSE central. Le juge a précisé deux choses décisives : le caractère expérimental ou pilote du déploiement n'exonère pas de la consultation, et il n'est pas nécessaire de prouver un impact sur la santé ou la sécurité, il suffit que la technologie soit susceptible d'affecter la situation des travailleurs. Autant dire que le périmètre est large.
L'usage de l'IA au travail est un nouveau facteur de risque professionnel, en particulier de risque psychosocial. C'est pourquoi il a sa place dans le Document Unique d'Évaluation des Risques Professionnels (DUERP) et dans le plan d'action associé (PAPRIPACT). L'obligation de prévention de l'employeur (article L.4121-1 du Code du travail) couvre la santé mentale, et l'IA en crée de nouvelles menaces.
Ces risques doivent être évalués, cotés et suivis d'actions. C'est exactement le rôle du DUERP. Ne pas y intégrer l'IA, c'est laisser un angle mort dans votre document de prévention le plus opposable.
Le shadow IA, c'est l'usage d'outils d'IA générative par vos salariés sans autorisation ni traçabilité. Et le phénomène est massif. Selon le Verizon Data Breach Investigations Report 2026, la part de salariés identifiés comme utilisateurs réguliers d'IA sur leur poste professionnel est passée de 15 % en 2025 à 45 % en 2026, un triplement en douze mois. Le rapport IBM Cost of a Data Breach 2025 attribue 20 % des violations de données au shadow IA, avec un surcoût moyen d'environ 670 000 dollars par incident. Et selon plusieurs enquêtes de 2025-2026, environ un tiers des salariés admettent avoir déjà exposé des données sensibles de leur entreprise à ces outils.
Pourquoi est-ce un sujet RH et pas seulement informatique ? Parce que le risque n'est pas que technique. Un salarié qui colle le dossier d'un collègue dans un chatbot public pour « résumer un entretien » fait fuiter des données personnelles. Un manager qui demande à une IA de rédiger une justification de licenciement produit une décision non tracée, potentiellement biaisée, et indéfendable. La réponse est humaine avant d'être technique : une charte claire, une liste d'outils autorisés, et surtout de la formation.
L'obligation de littératie IA (article 4) s'applique depuis février 2025 : l'entreprise doit garantir un niveau suffisant de compréhension de l'IA chez les personnes qui l'utilisent. Pour la fonction RH, cela veut dire former les recruteurs, les managers et les équipes RH aux bons usages, aux limites et aux risques. Dans une PME, je recommande de désigner un référent IA côté RH : point de contact, garant de la cartographie, relais de la sensibilisation. Ce n'est pas un poste, c'est une casquette.
Soyons clairs sur le partage des rôles. L'IA Act impose aux systèmes à haut risque une série d'exigences techniques lourdes : système de gestion des risques, qualité et gouvernance des données d'entraînement, documentation technique, journalisation (logs), transparence, supervision humaine intégrée, robustesse et cybersécurité, enregistrement dans une base européenne. Vous devez connaître l'existence de ces obligations, mais vous n'avez pas à les concevoir vous-même.
Réponse citable : l'entreprise qui achète et utilise une solution d'IA du commerce est en général « déployeur », pas « fournisseur », et n'a donc pas les mêmes obligations.
D'où la règle de bon sens : le volet technique, vous le portez avec votre DSI et vous l'exigez contractuellement de votre fournisseur. Demandez à l'éditeur sa documentation de conformité IA Act, ses engagements sur les données, et la description de sa supervision humaine. Le volet usage, information et supervision côté terrain, en revanche, reste votre responsabilité de RH. C'est la frontière à tenir.
Vous n'avez pas besoin de tout faire en un mois. Vous avez besoin de commencer dans le bon ordre. Voici la séquence que j'applique en mission, du plus urgent au plus structurant.
| Priorité | Action | Pourquoi maintenant |
|---|---|---|
| 1 | Cartographier les IA utilisées côté RH et candidats | On ne peut rien sécuriser sans savoir ce qui tourne |
| 2 | Vérifier l'absence de pratiques interdites (inférence d'émotions) | Déjà sanctionnable depuis février 2025 |
| 3 | Rédiger et diffuser une charte IA (statut juridique clarifié) | Encadre le shadow IA et pose la supervision humaine |
| 4 | Lancer l'information-consultation du CSE | Condition de validité de tout déploiement |
| 5 | Intégrer l'IA au DUERP et au PAPRIPACT | Obligation de prévention (L.4121-1) |
| 6 | Former les équipes (littératie IA) et désigner un référent | Obligation en vigueur ; réduit le risque humain |
| 7 | Exiger la conformité technique du fournisseur (avec la DSI) | Prépare l'échéance haut risque (2027) |
C'est le règlement européen sur l'intelligence artificielle, entré en vigueur le 1er août 2024. Il encadre les systèmes d'IA selon quatre niveaux de risque : inacceptable (interdit), haut risque, limité (transparence) et minimal. Il s'applique par étapes échelonnées, des premières interdictions de février 2025 jusqu'aux obligations « haut risque » attendues en 2027.
Parce que l'Annexe III, point 4, classe l'emploi et la gestion des travailleurs (recrutement, scoring, décisions de promotion ou de licenciement, évaluation, répartition des tâches) parmi les usages à haut risque. La DSI porte la technique, le juridique porte les contrats, mais la responsabilité employeur sur l'usage de l'IA sur les personnes tombe côté RH.
Il n'est pas interdit, mais il est classé à haut risque et encadré. Il relève aussi de l'article 22 du RGPD sur la décision automatisée. Concrètement : pas de rejet 100 % automatisé sans intervention humaine significative, information des candidats, droit à une explication et à une intervention humaine, et analyse d'impact (AIPD) en principe requise. La CNIL surveille ce domaine de près.
Oui, en vertu de l'article L.2312-8 du Code du travail sur l'introduction de nouvelles technologies. Le tribunal judiciaire de Nanterre a suspendu le 29 janvier 2026 le déploiement de deux logiciels RH intégrant de l'IA faute de consultation préalable. Le caractère pilote ou expérimental n'exonère pas de cette obligation.
Cela dépend de sa portée. Une charte purement informative peut rester un document de bonne pratique. Mais si elle contient des interdictions dont le non-respect peut être sanctionné disciplinairement, ces dispositions relèvent du règlement intérieur (L.1321-1 et suivants) : consultation du CSE, transmission à l'inspection du travail, dépôt au greffe des prud'hommes. Sinon, ces règles risquent d'être inopposables.
C'est l'usage d'outils d'IA générative par les salariés sans autorisation ni encadrement. Selon le Verizon DBIR 2026, la part de salariés utilisant régulièrement l'IA au travail est passée de 15 % à 45 % en un an. Le risque n'est pas que technique : fuite de données personnelles, décisions RH non tracées et biaisées. La réponse passe par la charte, la liste d'outils autorisés et la formation, donc par les RH.
Si vous achetez une solution d'IA du commerce, vous êtes généralement déployeur. Le fournisseur (l'éditeur) porte la conformité technique. Vous, déployeur, avez des obligations d'usage : supervision humaine effective, information des salariés et de leurs représentants, information des candidats concernés, et usage conforme à la notice.
Oui. Depuis le 2 février 2025, l'inférence des émotions sur le lieu de travail est interdite (article 5), sauf raisons médicales ou de sécurité. Un outil d'entretien vidéo qui prétend mesurer la motivation ou la sincérité d'un candidat via sa voix ou ses expressions faciales entre dans ce champ interdit, sous peine de sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
L'IA Act n'est pas d'abord un sujet de machines, c'est un sujet de personnes. Et dans l'entreprise, les personnes, c'est le périmètre RH. Voilà pourquoi ce volet vous revient : parce que le recrutement, l'évaluation, la surveillance et la santé au travail sont précisément les usages que le règlement classe au plus haut niveau de vigilance, et parce qu'aucun autre service ne prendra la responsabilité de l'usage de l'IA sur vos salariés.
La bonne nouvelle, c'est que rien de tout cela n'exige de devenir data scientist. Cela exige de la méthode, de la rigueur juridique et une bonne connaissance du terrain humain. Cartographier, encadrer, consulter, prévenir, former. Cinq verbes, un ordre de priorité, et vous transformez un angle mort réglementaire en avantage : une organisation qui utilise l'IA sans mettre en danger ni ses salariés, ni sa responsabilité d'employeur.