« C’est l’outil du fournisseur, pas le nôtre » : l’erreur qui expose les déployeurs RH. C’est la phrase que j’entends le plus souvent quand j’aborde la conformité AI Act avec des équipes RH.
Les opinions exprimées dans ce texte n’engagent que leur auteur
Beaucoup d’organisations pensent être protégées parce qu’elles ont signé un contrat avec leur éditeur d’ATS. Le contrat prévoit des clauses de responsabilité, des garanties de sécurité, parfois une mention de conformité RGPD. Elles se sentent couvertes.
Elles ne le sont pas. Pas complètement. Et l’AI Act change la donne.
Fournisseur et déployeur : deux rôles, deux régimes
L’AI Act distingue clairement les deux à l’article 3.
Le fournisseur développe et met sur le marché le système d’IA. C’est l’éditeur de votre ATS ou de votre outil de scoring candidats.
Le déployeur, c’est vous. L’organisation RH qui utilise ce système pour recruter ou gérer ses salariés.
Ces deux rôles génèrent des obligations distinctes, indépendantes et non transférables. Ce que fait le fournisseur ne vous dispense de rien. L’article 26 de l’AI Act est limpide sur ce point. Pourtant, la confusion reste la norme : beaucoup d’organisations assimilent encore la conformité de l’éditeur à la leur.
Ce que l’article 26 impose au déployeur
Les obligations sont précises. En pratique, elles sont rarement appliquées.
L’utilisation conforme d’abord. Le déployeur doit utiliser le système selon les instructions du fournisseur. Un paramétrage incorrect ou un usage hors périmètre engage sa responsabilité directe, même si le contrat éditeur semble protecteur.
La qualité des données d’entrée ensuite. Si le déployeur contrôle les données injectées dans le système (CVthèque, critères de scoring, historiques de recrutement), il répond de leur pertinence et de leur représentativité. Si les données de départ sont biaisées, les décisions qui en sortent le seront aussi, et c’est le déployeur qui devra s’en expliquer.
Le monitoring continu. Le déployeur doit surveiller le fonctionnement réel du système en conditions opérationnelles. Pas le système tel qu’il est décrit dans la documentation technique : celui qui tourne réellement dans vos locaux, après la dernière mise à jour que personne n’a lue.
La conservation des logs, souvent la plus négligée. Les journaux d’activité doivent être conservés au moins six mois. Sans ces traces, aucune démonstration de conformité n’est possible en cas de contrôle ou de contentieux.
L’information, enfin. Les candidats doivent savoir qu’un système automatisé intervient dans leur processus de recrutement. Le CSE doit être consulté avant tout déploiement, sous peine de délit d’entrave.
Le contrat éditeur ne suffit pas
Un bon contrat avec votre éditeur est un prérequis. Il doit prévoir les clauses de responsabilité, les garanties de sécurité, les obligations de documentation technique et les droits d’audit.
Mais il ne peut pas assumer à votre place les obligations que l’AI Act vous impose directement.
Un exemple. Votre ATS reçoit une mise à jour automatique qui active un module de scoring comportemental. Vous ne l’avez pas demandé. Vous ne l’avez pas paramétré. Mais il est opérationnel. Si ce module classe les candidats de façon déterminante sans supervision humaine réelle, c’est vous qui serez exposé. Pas l’éditeur. Parce que c’est vous qui utilisez le système dans un contexte réel affectant l’accès à l’emploi.
Trois vérifications avant tout déploiement
Avez-vous réalisé votre propre DPIA, indépendamment de celle de l’éditeur ? L’article 35 du RGPD l’impose dès qu’il y a profilage automatisé en contexte RH.
Vos candidats sont-ils informés qu’un algorithme traite leur dossier ? L’article 13 du RGPD et l’article 26 de l’AI Act l’exigent.
Avez-vous documenté comment vos recruteurs supervisent réellement les recommandations de l’outil ? L’article 14 de l’AI Act impose une supervision humaine effective, pas simplement formelle.
Dans la plupart des organisations que j’accompagne, personne ne sait répondre à ces trois questions. Ce n’est pas une critique. C’est le point de départ du travail.
Ce qui change à partir d’août 2026
Les obligations de l’article 26 entreront pleinement en vigueur le 2 août 2026. Les sanctions peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial.
Les interdictions de l’article 5, notamment l’analyse des émotions en recrutement, sont déjà applicables depuis le 2 février 2025.
Le temps de la préparation, c’est maintenant. Pas après la première mise en demeure.
La conformité AI Act d’un déployeur RH ne se sous-traite pas à l’éditeur. Un contrat bien rédigé est un point de départ. Pas une ligne d’arrivée.
Contacter l’auteur pour plus d’informations.
