IA et recrutement : ce qui est utile, ce qui est risqué et ce que la CNIL va contrôler
Depuis le 3 avril 2026, le recrutement figure parmi les thématiques prioritaires de contrôle de la CNIL. Concrètement, cela signifie que les entreprises qui utilisent un algorithme pour trier des CV, scorer des candidats ou présélectionner des profils peuvent désormais recevoir un contrôle sur la façon dont cet algorithme fonctionne, sur les biais qu'il pourrait reproduire, et sur la preuve qu'un humain reste décisionnaire. Ce n'est plus une hypothèse réglementaire lointaine : c'est une priorité active de l'année en cours.
Pour une PME de 10 à 200 salariés, ce changement de contexte est important parce qu'il arrive au moment où l'usage de l'IA en RH explose. La proportion d'organisations utilisant l'IA pour des tâches RH est passée de 26% en 2024 à 43% en 2025, selon les chiffres relayés dans la même enquête. Beaucoup de PME ont donc déjà commencé à automatiser leur recrutement sans forcément avoir structuré la partie conformité. Cet article distingue ce qui est utile et sans risque, ce qui exige des précautions, et ce qui est aujourd'hui interdit ou surveillé de près.
Ce que l'IA peut réellement automatiser dans un recrutement PME
Un processus de recrutement se découpe en une dizaine d'étapes, et toutes ne se prêtent pas de la même façon à l'automatisation. Les tâches purement logistiques — diffusion d'annonce, prise de rendez-vous, envoi d'accusés de réception — se prêtent bien à un agent IA, avec un risque réglementaire quasi nul puisqu'aucune décision sur le candidat n'y est prise.
La rédaction et diffusion des offres d'emploi. Un agent IA génère une fiche de poste optimisée à partir d'un brief de mission, et la diffuse simultanément sur les jobboards pertinents (France Travail, Indeed, Welcome to the Jungle, LinkedIn). Le gain de temps se compte en dizaines de minutes par offre, sans enjeu de conformité particulier puisqu'il ne s'agit pas d'évaluer un candidat.
La communication et le suivi des candidats. Accusé de réception automatique, relance en cas de non-réponse, notification de refus personnalisée : ces échanges peuvent être entièrement automatisés. C'est l'un des rares points où les trois grandes sources techniques du secteur (éditeurs SIRH, plateformes de recrutement, cabinets de conseil RH) s'accordent sans réserve — l'automatisation de la communication améliore l'expérience candidat sans risque légal, à condition que le contenu reste courtois et exact.
La planification des entretiens. Dès qu'un candidat est présélectionné par un humain, un lien de prise de rendez-vous automatique élimine les allers-retours d'emails. C'est un gain de temps direct, sans zone grise réglementaire.
Le pré-tri assisté des CV — avec une limite claire. Un algorithme peut analyser un CV par rapport à une fiche de poste et produire un score de correspondance. C'est l'usage le plus répandu et aussi le plus surveillé : l'AI Act européen classe ces systèmes de tri, de scoring et de présélection dans la catégorie des systèmes à haut risque, au même titre que le crédit ou la santé. Le tri par IA reste autorisé, mais uniquement comme aide à la décision — jamais comme décision finale.
Le cadre réglementaire que peu de PME ont anticipé
C'est le point que la majorité des guides généralistes sur l'IA en recrutement traitent de façon trop rapide, en une ligne sur le RGPD. Or deux textes distincts s'appliquent, avec des obligations concrètes et des échéances précises.
L'AI Act européen prévoit que les obligations complètes pour les systèmes à haut risque — dont fait partie tout outil de recrutement qui évalue, classe ou filtre des candidats — deviennent pleinement applicables au 2 août 2026. Concrètement, cela impose une évaluation des risques documentée, une supervision humaine effective et capable de corriger une décision, ainsi qu'un audit régulier pour détecter les biais discriminatoires. Une PME qui utilise un ATS avec module IA sans avoir formalisé cette supervision humaine n'est pas en conformité, même si l'outil lui-même est légal.
Le texte interdit par ailleurs, depuis février 2025, la reconnaissance des émotions sur le lieu de travail et la catégorisation biométrique des candidats. Un outil qui analyserait les expressions faciales ou le ton de voix pendant un entretien vidéo pour en déduire la motivation ou la sincérité d'un candidat entre dans cette zone interdite — un point que beaucoup de fournisseurs d'entretiens vidéo IA présentent encore comme une fonctionnalité, sans toujours préciser cette limite.
Le second texte, le RGPD, encadre le traitement des données personnelles des candidats : consentement explicite, information sur la durée de conservation, droit d'accès et de rectification. La nouveauté 2026 n'est pas le texte lui-même, mais son application concrète au recrutement par la CNIL, qui en a fait une priorité de contrôle. Les entreprises qui utilisent l'IA pour présélectionner, classer ou évaluer des candidats doivent pouvoir documenter le fonctionnement de leur outil et prouver, sur demande, qu'un contrôle humain reste possible à chaque étape.
Ce que nous observons chez les PME qui se lancent dans l'IA recrutement
Nous n'avons pas encore accompagné de PME sur un déploiement complet d'IA de recrutement chez Chappygo — notre activité sur ce silo porte pour l'instant sur l'automatisation des processus RH en amont (communication, planification, reporting), pas sur le tri de candidatures lui-même. Ce que nous observons dans les retours du marché et les études de cas publiques converge cependant sur un point : les PME qui adoptent un outil de tri de CV le font presque toujours pour gagner du temps sur le volume, rarement en ayant anticipé la partie documentation exigée par l'AI Act. Résultat, l'outil tourne, mais personne dans l'entreprise ne pourrait expliquer précisément à un contrôleur CNIL sur quels critères il pondère les candidatures.
C'est un déséquilibre récurrent dans l'adoption de l'IA en PME de façon générale : l'outil se déploie plus vite que le cadre de gouvernance qui devrait l'accompagner. Sur le recrutement spécifiquement, ce déséquilibre est plus coûteux qu'ailleurs parce que la sanction ne porte pas seulement sur une amende potentielle, mais sur un risque de discrimination avéré et documentable — l'historique des candidatures rejetées reste, par nature, une trace.
Les cas où l'IA en recrutement ne doit pas être utilisée
Trois situations où l'automatisation crée plus de risque que de bénéfice, ou est tout simplement écartée par la loi.
Quand la décision finale est déléguée entièrement à l'algorithme. Aucun système, même très perfectionné, ne peut légalement rejeter ou retenir un candidat sans validation humaine documentée. Un outil qui envoie un refus automatique généré uniquement par un score, sans qu'un recruteur ait revu le dossier, expose l'entreprise à un risque de non-conformité direct — et à un risque de discrimination si le score reproduit un biais historique.
Quand l'historique de recrutement de l'entreprise est déséquilibré. Un algorithme de scoring entraîné ou calibré sur les recrutements passés d'une entreprise reproduit la structure de ces recrutements. Si un poste a historiquement été occupé par un profil homogène, l'outil tend à favoriser des candidatures similaires — non par intention, mais parce qu'il optimise une ressemblance statistique avec ce qui a été considéré comme un succès dans le passé. C'est précisément ce que les tests de biais obligatoires sous l'AI Act sont censés détecter, mais peu de PME les réalisent en pratique faute d'expertise interne.
Quand l'entretien vidéo s'appuie sur une analyse comportementale ou émotionnelle. Certains outils promettent d'évaluer la confiance en soi, la sincérité ou l'adéquation culturelle d'un candidat à partir de son expression faciale ou de sa voix pendant un entretien enregistré. Cette catégorie de fonctionnalité est désormais interdite par l'AI Act pour les usages liés à l'emploi. Une PME qui utiliserait encore un tel outil aujourd'hui devrait vérifier avec son fournisseur si le module a été désactivé pour le marché européen.
Comment structurer un projet IA recrutement sans prendre de risque
Étape 1 — Cartographier les tâches qui ne touchent pas à l'évaluation du candidat. Diffusion d'annonces, planification d'entretiens, communication de suivi : ce sont les usages à automatiser en premier, parce qu'ils ne relèvent pas de la catégorie haut risque de l'AI Act et génèrent un gain de temps immédiat sans exposition réglementaire.
Étape 2 — Documenter tout outil qui touche au tri ou au scoring avant de le déployer. Si un module de présélection par IA est utilisé, il faut consigner par écrit les critères de pondération, désigner un humain responsable de la validation finale, et prévoir un test périodique pour détecter d'éventuels biais dans les résultats.
Étape 3 — Informer les candidats. La mention de l'usage d'un outil IA dans le processus de recrutement doit apparaître dans la politique de confidentialité candidats, et idéalement dans l'offre d'emploi elle-même. C'est à la fois une obligation et un signal de transparence apprécié par les candidats.
Étape 4 — Auditer une fois par an, ou dès qu'un changement de poids est fait sur l'algorithme. Un système qui n'a jamais été audité depuis sa mise en place ne peut pas prouver l'absence de dérive, même s'il a été correctement conçu au départ.
Tableau comparatif : usages IA recrutement par niveau de risque
| Usage IA | Automatisable sans réserve | Nécessite supervision documentée | Interdit ou fortement déconseillé |
|---|---|---|---|
| Diffusion d'offres d'emploi | Oui | — | — |
| Planification d'entretiens | Oui | — | — |
| Communication candidats (relances, accusés) | Oui | — | — |
| Pré-tri / scoring de CV | — | Oui (validation humaine obligatoire) | — |
| Reporting recrutement (KPI, délais, coûts) | Oui | — | — |
| Analyse émotionnelle en entretien vidéo | — | — | Oui (interdit AI Act) |
| Décision finale automatisée sans revue humaine | — | — | Oui (non conforme) |
Questions fréquentes
Une PME de 15 salariés est-elle concernée par l'AI Act sur le recrutement ?
Oui, la taille de l'entreprise n'entre pas en compte dans la classification du système comme à haut risque — seul compte l'usage fait de l'outil. Une PME qui utilise un module de tri de CV intégré à son ATS, même gratuit ou low-cost, est soumise aux mêmes obligations de supervision humaine et de documentation qu'une grande entreprise. En pratique, l'effort de mise en conformité est proportionnellement plus lourd pour une petite structure sans service juridique dédié, ce qui justifie d'anticiper le sujet dès le choix de l'outil plutôt qu'après son déploiement.
Le tri de CV par IA est-il interdit depuis les contrôles CNIL de 2026 ?
Non, il reste autorisé. Ce qui a changé, c'est que la CNIL a inscrit le recrutement parmi ses thématiques prioritaires de contrôle depuis avril 2026, ce qui signifie que les entreprises utilisant l'IA pour ce type de tâche ont désormais une probabilité concrète d'être contrôlées sur la façon dont l'outil fonctionne. Le tri automatisé de CV et la planification d'entretiens font partie des usages que la CNIL considère acceptables sous conditions — documentation, critères justifiables, supervision humaine réelle.
Faut-il un budget important pour automatiser un recrutement PME en conformité ?
Non, la partie la moins coûteuse à automatiser (communication candidats, planification, diffusion d'annonces) est aussi celle qui ne présente aucun risque réglementaire. La partie plus sensible — le tri et le scoring — nécessite en revanche un investissement en documentation et en supervision plutôt qu'en outillage : ce n'est pas l'algorithme qui coûte cher à sécuriser, c'est le temps humain de suivi et d'audit.
Comment savoir si mon outil de recrutement actuel respecte l'AI Act ?
Le point de départ est de demander à votre éditeur ou prestataire une documentation écrite sur les critères utilisés par l'algorithme, la possibilité d'intervention humaine à chaque étape, et l'absence de fonctionnalités de reconnaissance émotionnelle ou biométrique. Si le fournisseur ne peut pas répondre précisément à ces trois points d'ici l'échéance du 2 août 2026, l'outil expose l'entreprise à un risque de non-conformité qu'il vaut mieux traiter avant qu'un contrôle ne le révèle.
Ce pilier sert de référence au silo IA par Secteur : voir aussi comment trier les CV avec l'IA sans décision automatisée et comment rédiger des fiches de poste avec l'IA. Pour la partie automatisation des processus hors recrutement, notre guide de l'automatisation d'entreprise en Occitanie élargit le sujet.
Réservez votre diagnostic gratuit
Automatiser la partie logistique de votre recrutement sans vous exposer sur la partie réglementaire, c'est un équilibre qui se construit dès le choix des outils. Réservez votre diagnostic gratuit pour identifier ce qui peut être automatisé sans risque dans votre processus de recrutement, et le cadre à poser avant d'aller plus loin. Garantie ROI à 30 jours sur les déploiements que nous accompagnons. Voir aussi notre page service Agent IA pour PME.