L'IA Act en RH : le véritable test de maturité numérique des entreprises

L'IA RH : un révélateur de gouvernance

L'intelligence artificielle transforme les processus RH — recrutement, évaluation, gestion des carrières. Mais cette transformation expose une réalité inconfortable : la gouvernance de la donnée reste un enjeu majeur pour la plupart des entreprises.

Derrière les promesses d'efficacité, des risques concrets émergent. Un algorithme de tri de CV reproduit des biais liés à la géographie ou aux parcours atypiques. Un outil de people analytics oriente des décisions sensibles sur la base de corrélations fragiles. La question n'est plus technique — elle devient juridique et managériale : qui est responsable ?

Le piège de la requalification : de déployeur à fournisseur

Le Règlement (UE) 2024/1689 classe explicitement les systèmes RH parmi les usages à haut risque. Beaucoup d'entreprises pensent limiter leur exposition en s'appuyant sur des solutions du marché. Cette lecture est incomplète.

L'Article 25 du texte contient un angle mort critique. Si les équipes techniques ou RH procèdent à une « modification substantielle » — le terme exact du règlement —, l'entreprise subit une requalification juridique immédiate. C'est le cas si elle pratique du fine-tuning agressif, si elle réentraîne le modèle sur des données internes non prévues à l'origine ou si elle détourne l'usage initial de l'outil.

Dès lors, l'entreprise bascule du statut de déployeur à celui de fournisseur. Cette requalification entraîne un basculement de responsabilité majeur : l'entreprise porte désormais les obligations structurelles lourdes (marquage CE, système de gestion des risques, documentation technique exhaustive).

En France, le droit du travail ne s'efface pas. L'article L.1132-1 sur la non-discrimination et l'article 22 du RGPD — qui prohibe les décisions exclusivement automatisées et impose une supervision humaine réelle — forment un bouclier juridique strict. Si un manager se contente d'une validation aveugle sur une recommandation de la machine, la décision sera requalifiée devant les prud'hommes.

Les leçons de la jurisprudence

La tendance à croire qu'un outil va régler un problème managérial profond se heurte aujourd'hui au droit européen. Les signaux faibles étaient pourtant là dès le début de la décennie :

• L'affaire Deliveroo à Bologne (2020) : L'algorithme « Frank » a pénalisé les livreurs absents sans intégrer la notion de droit de grève ou de maladie, produisant de la discrimination systémique.
• L'amende néerlandaise (2021) : 2,75 millions d'euros de sanction pour un système de profilage basé sur la double nationalité.
• Biais de recrutement : Les redressements récents intègrent les discriminations de genre et d'âge provoquées par des IA de pré-sélection ayant appris sur des historiques non nettoyés.

Ces affaires montrent que le risque algorithmique touche directement à l'obligation de sécurité de l'employeur. Un management dicté par des métriques opaques génère une charge mentale et des risques psychosociaux dont l'entreprise est légalement responsable. À l'ère des réseaux sociaux et des actions de groupe, le coût réputationnel peut s'avérer bien supérieur aux sanctions financières.

Les 7 chantiers de la conformité RH

1. Cartographier les usages IA RH

Identifier et recenser tous les systèmes utilisés dans les processus RH (recrutement, mobilité, évaluation, formation, planification des horaires). L'objectif est une vision exhaustive, incluant le Shadow AI — les outils gratuits ou informels utilisés par les équipes sans aval officiel.

2. Classifier les niveaux de risque

Qualifier chaque outil selon les critères de l'AI Act :

• Système à haut risque : Recrutement, gestion des contrats, évaluation des performances.
• Usage à transparence requise : Chatbots d'accueil des candidats.
• Usage à faible impact : Génération de trames de fiches de poste via IA générative.

3. Auditer les modifications et verrouiller l'architecture technique

La DSI doit mettre en place un garde-fou architectural strict. Séparez l'accès au modèle (l'inférence) de toute capacité de réentraînement. Bloquez les droits d'accès pour s'assurer qu'aucune donnée interne ne modifie les poids du modèle.

Privilégiez l'architecture RAG (Retrieval-Augmented Generation) plutôt que le fine-tuning. Le RAG fournit des documents de contexte à l'IA sans jamais modifier la structure de l'algorithme sous-jacent. Le RAG maintient votre statut de déployeur ; le fine-tuning vous fait basculer fournisseur.

4. Mettre en place une traçabilité décisionnelle

Formaliser une chaîne de responsabilité infalsifiable : données d'entrée → traitement algorithmique → arbitrage humain motivé.

Installez un système de logs centralisé qui enregistre l'ensemble des requêtes, des données d'entrée et des versions de modèles utilisées. Ce journal constitue votre preuve absolue face à la CNIL ou aux inspecteurs du travail que le système n'a pas été modifié.

Chaque décision RH sensible (refus de candidature, évaluation, sanction) doit faire l'objet d'un suivi traçable expliquant l'arbitrage final de l'intervenant humain.

5. Structurer une gouvernance tripartite

Aucun outil d'IA RH ne doit être déployé, mis à jour ou connecté à une nouvelle base de données sans le feu vert d'une cellule « AI Clearing » transverse réunissant :

• La DSI : Garant de la non-modification de l'architecture.
• Le Juridique / DPO : Garant du respect de l'Article 25 et de l'article 22 du RGPD.
• La DRH : Garant du respect du Code du travail.

Cette instance pilote également les analyses d'impact sur les droits fondamentaux. L'entreprise doit présenter au Comité Social et Économique une cartographie claire des systèmes utilisés, démontrant précisément comment l'humain garde le contrôle.

6. Refondre les contrats fournisseurs

Verrouiller juridiquement la frontière de votre usage. Les directions juridiques doivent négocier :

• L'annexe d'usage strict : Une annexe technique co-rédigée par la DSI et la DRH qui liste précisément l'usage de l'outil.
• La clause de responsabilité sur le fine-tuning : Interdisez aux équipes internes d'y toucher en autonomie. Contractualisez que tout entraînement complémentaire soit exécuté par l'éditeur lui-même.
• Les clauses d'audit et d'indemnisation : Exigez la mise à disposition de la documentation technique et une clause d'indemnisation totale si le système s'avère non conforme.

7. Former les managers au protocole « Zéro Boîte Noire »

La supervision humaine imposée par l'article 26 ne doit pas se résumer à une validation de pure forme. Les recruteurs et managers doivent comprendre les limites statistiques des modèles et détecter les biais potentiels.

Déployez une charte interne stipulant qu'une recommandation d'IA doit être systématiquement analysée et faire l'objet d'un arbitrage critique. Si l'IA propose un Top 3 de candidats, le recruteur doit consigner par écrit les raisons humaines pour lesquelles il valide ou invalide ce choix.

Vers une maturité numérique responsable

L'AI Act ne freine pas l'innovation. Il impose une montée en maturité. Les entreprises les plus performantes ne seront pas celles qui automatisent le plus, mais celles qui maîtriseront le mieux leurs processus décisionnels.

Pour les DRH, cela implique un changement de posture indispensable. Il ne s'agit plus d'adopter des outils de productivité, mais de piloter des systèmes à risque. La performance RH de demain reposera moins sur la puissance intrinsèque des algorithmes que sur la qualité, la rigueur et la responsabilité de leur supervision humaine.