Honoré CésaireNon, votre conformité RGPD ne vous protège pas de l'AI Act. Non, la responsabilité de la conformité n'appartient pas uniquement à votre fournisseur de logiciel RH. Et non, les PME ne seront pas épargnées. Les directions des ressources humaines françaises naviguent dans un brouillard de malentendus sur la réglementation IA — et certaines de ces idées reçues peuvent coûter jusqu'à 15 millions d'euros. Voici les cinq mythes les plus répandus et les faits juridiques qui les démontent.
Mythe #1 — "La conformité RGPD suffit pour être conforme à l'AI Act"
La réalité : Le RGPD (Règlement UE 2016/679) et l'AI Act (Règlement UE 2024/1689) sont deux règlements distincts, avec des logiques différentes et des obligations cumulatives. Être conforme au RGPD ne dispense pas de l'AI Act — pas plus qu'être conforme au Code du travail ne dispense d'appliquer les règles de sécurité au travail.
Le RGPD réglemente les données personnelles — comment elles sont collectées, traitées, conservées, et les droits des personnes concernées. L'AI Act réglemente les systèmes IA eux-mêmes — leur conception, leur documentation, leur supervision, leur explicabilité. Un outil IA qui ne traite aucune donnée personnelle (ce qui est théoriquement possible) peut rester soumis à l'AI Act. Inversement, un traitement de données personnelles parfaitement conforme au RGPD peut violer l'AI Act si le système IA sous-jacent ne respecte pas les exigences de surveillance humaine ou de documentation technique.
La différence pratique la plus importante : le RGPD se concentre sur la légitimité du traitement des données ; l'AI Act exige en plus que le système IA produise des résultats fiables, explicables et supervisables. Une AIPD (Analyse d'Impact sur la Protection des Données) au titre du RGPD ne remplace pas le système de gestion des risques exigé par l'Article 9 de l'AI Act.
Ce que les deux règlements exigent concrètement — tableau comparatif
Pour comprendre pourquoi les deux règlements sont nécessaires et distincts, voici les obligations spécifiques qu'ils imposent aux DRH de façon synthétique :
| Obligation | RGPD | AI Act |
|---|---|---|
| Base légale du traitement | Obligatoire (Art. 6 RGPD) | Non couverte (l'AI Act ne crée pas de base légale) |
| Analyse d'impact | AIPD si risque élevé (Art. 35 RGPD) | Évaluation de conformité (Art. 43 AI Act) |
| Documentation | Registre des traitements (Art. 30 RGPD) | Documentation technique (Art. 11 AI Act) |
| Transparence | Information des personnes (Art. 13-14 RGPD) | Notice déployeur + information candidats/salariés (Art. 13, 86 AI Act) |
| Décisions automatisées | Droit de ne pas y être soumis (Art. 22 RGPD) | Surveillance humaine effective obligatoire (Art. 14 AI Act) |
| Explication | Droit à l'explication (Art. 22(3) RGPD) | Droit à une explication significative (Art. 86 AI Act) |
| Durée de conservation | Limitée à la finalité (Art. 5(1)(e) RGPD) | Journal des événements conservé 10 ans (Art. 12 AI Act) |
| Contrôle | CNIL (France) | CNIL (France, en tant qu'autorité AI Act désignée) |
Point clé : Les deux règlements désignent la CNIL comme autorité compétente en France. Cela signifie qu'une procédure CNIL peut simultanément examiner les manquements RGPD et AI Act d'une même entreprise — avec des sanctions cumulables.
Mythe #2 — "La responsabilité est pour le fournisseur IA, pas pour le DRH déployeur"
La réalité : L'AI Act établit une chaîne de responsabilité bilatérale. Le fournisseur (l'éditeur du logiciel) est responsable de la conformité du système IA qu'il développe et commercialise. Le déployeur (l'entreprise qui utilise l'outil dans son processus RH) est responsable de la conformité de son déploiement — et ces deux responsabilités sont autonomes, pas subsidiaires.
L'Article 26 de l'AI Act liste les obligations spécifiques des déployeurs de systèmes à haut risque. Ces obligations ne peuvent pas être contractuellement transférées au fournisseur. Un DRH qui utilise un ATS avec scoring IA et qui se contente de dire "c'est la responsabilité de Workday ou de l'éditeur" est en infraction.
Concrètement, les obligations du déployeur incluent : vérifier que le fournisseur a bien rempli ses obligations (documentation technique disponible), désigner en interne un responsable de la surveillance du système, informer les candidats et salariés de l'utilisation d'un système IA à haut risque, et mettre en place la procédure de supervision humaine permettant d'outrepasser les décisions algorithmiques.
Maître Caroline Esnault, avocate au barreau de Paris spécialisée en droit du numérique et RGPD, précise : "La question que je pose systématiquement aux DRH que j'accompagne est simple : si la CNIL vous demande demain de lui montrer votre procédure de surveillance humaine de votre ATS, avez-vous un document à lui présenter ? Dans 80 % des cas en 2025, la réponse était non. C'est ce qui va changer de force à partir du 2 août 2026."
Mythe #3 — "Mon SIRH en SaaS n'est pas vraiment concerné — c'est juste un outil d'aide à la décision"
La réalité : La qualification d'un système comme "à haut risque" au sens de l'AI Act ne dépend pas de son positionnement commercial ("outil d'aide à la décision", "recommandation", "suggestion") mais de sa finalité réelle et de son impact sur des personnes physiques. Un système qui génère un score de performance servant à déclencher une procédure de licenciement est un système à haut risque — que l'éditeur l'appelle "recommandation" ou pas.
La distinction entre "aide à la décision" et "décision automatisée" est une des zones grises que les éditeurs de SIRH exploitent dans leur marketing. Mais l'Article 3(1) de l'AI Act définit un système d'IA de façon fonctionnelle, pas nominale. Si votre outil génère des évaluations, des classements ou des recommandations sur des individus dans un contexte d'emploi, il entre dans la catégorie haut risque.
La conformité à l'AI Act des systèmes de réglementation IA européenne pour les entreprises n'est pas négociable par voie contractuelle. Un contrat de licence SaaS qui transfère la responsabilité de conformité au client est sans valeur face à l'AI Act — car le règlement européen prime sur le contrat de droit privé.
À retenir : Demandez à votre éditeur de SIRH deux documents précis : (1) la classification de son produit selon l'AI Act (catégorie de risque), et (2) la documentation technique de conformité. Si l'éditeur ne peut pas produire ces documents, votre déploiement est non conforme.
Mythe #4 — "L'AI Act n'entrera pas vraiment en vigueur — les délais vont être repoussés"
La réalité : L'AI Act est un règlement européen adopté et publié au Journal officiel de l'UE le 12 juillet 2024 (JOUE L 2024/1689). Il est entré en vigueur le 1er août 2024. Les interdictions absolues (Article 5) s'appliquent depuis le 2 février 2025. Les obligations pour les systèmes à haut risque s'appliquent à compter du 2 août 2026. Ces dates ne seront pas repoussées.
L'AI Act n'est pas une directive (qui nécessite une transposition nationale susceptible de délais) — c'est un règlement, directement applicable dans tous les États membres sans transposition. La France n'a pas à légiférer séparément pour le rendre contraignant.
La seule incertitude concerne les lignes directrices d'application et les normes techniques (European Harmonized Standards), dont certaines sont encore en cours d'élaboration par les organismes de normalisation européens (CEN/CENELEC). Mais ces lignes directrices précisent les modalités d'application — elles ne conditionnent pas l'entrée en vigueur du règlement lui-même.
Les risques liés à l'intelligence artificielle sur les données personnelles font depuis 2024 l'objet d'une attention croissante de la CNIL, qui a renforcé son département IA en anticipation des contrôles de 2026.
Mythe #5 — "Les PME et TPE ne seront pas contrôlées — on peut attendre de voir"
La réalité : Si l'AI Act prévoit un régime allégé pour le calcul des sanctions des PME (Article 99(6)), il ne prévoit pas d'exemption de contrôle. La CNIL peut contrôler une PME de 20 salariés qui utilise un ATS avec scoring IA tout autant qu'un groupe du CAC40.
La vérité pratique est différente : la CNIL n'aura pas la capacité d'inspecter toutes les entreprises simultanément. Ses premières procédures post-août 2026 se concentreront probablement sur les secteurs à fort impact (recrutement à grande échelle, scoring de crédit) et les plaintes individuelles. Mais précisément — les plaintes individuelles peuvent venir de n'importe quel candidat ou salarié, quelle que soit la taille de son employeur.
Une PME qui reçoit une plainte d'un candidat estimant avoir été discriminé par un algorithme de tri se retrouvera exactement dans la même position juridique qu'un grand groupe. L'argument "on est une PME" n'est pas une défense valable sous l'AI Act pour une infraction avérée.
Ce que les DRH doivent faire dès maintenant — les 4 actions prioritaires
Voici le plan d'action minimal pour une direction RH d'une entreprise française utilisant des outils IA dans son processus de recrutement ou de gestion des performances :
1. Inventaire et classification (dans les 30 jours) — Listez tous les outils RH avec des fonctions automatisées (ATS, plateformes d'entretien vidéo, outils de scoring de performance, systèmes de monitoring des collaborateurs en télétravail). Pour chacun, demandez à l'éditeur deux documents précis : sa classification AI Act du produit (catégorie de risque selon l'Annexe III) et la documentation technique de conformité (Article 11 AI Act). Un éditeur qui ne peut pas produire ces documents en 2026 n'est pas conforme — et vous non plus par extension.
2. Vérification contractuelle (dans les 60 jours) — Passez en revue vos contrats de licence SaaS RH. Si le contrat ne mentionne pas l'AI Act et ne définit pas les responsabilités respectives fournisseur/déployeur, il doit être amendé. Votre service juridique ou un avocat spécialisé peut rédiger un avenant.
3. Procédure de surveillance humaine (avant le 2 août 2026) — Pour chaque outil à haut risque identifié, rédigez la procédure formalisée permettant à un responsable humain d'examiner et d'outrepasser la décision algorithmique. Cette procédure doit être écrite, accessible, et les personnes concernées doivent être formées à l'utiliser.
4. Information des candidats et salariés (avant le 2 août 2026) — Mettez à jour vos mentions d'information RGPD (politique de confidentialité du processus de recrutement, charte d'utilisation des outils de management) pour inclure la mention de l'utilisation de systèmes IA à haut risque et les droits associés.
Avertissement : Les informations présentées dans cet article sont fournies à titre informatif uniquement et ne constituent pas un conseil juridique. Pour une analyse personnalisée de votre situation et la mise en conformité AI Act de votre entreprise, consultez un avocat spécialisé en droit du numérique ou votre Délégué à la Protection des Données (DPD).
