À retenir : Le 2 août 2026, les entreprises françaises utilisant des systèmes d'intelligence artificielle dans le recrutement, la notation de crédit ou la vidéo-surveillance entrent dans une nouvelle ère réglementaire. L'AI Act (Règlement UE 2024/1689) impose des obligations de conformité strictes aux outils dits "à haut risque". Les sanctions atteignent jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. Pourtant, selon une enquête de la Commission européenne publiée début 2026, près de deux tiers des PME de l'Union n'ont pas encore réalisé d'inventaire de leurs systèmes IA. Ce dossier décrypte les obligations concrètes, vos droits en tant que salarié ou candidat, et les risques juridiques à anticiper dès maintenant.
Le 2 août 2026 : la date pivot de la réglementation européenne sur l'IA
Le Règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689), adopté le 13 juin 2024 et entré en vigueur le 1er août 2024, suit un calendrier d'application progressif. La date du 2 août 2026 marque la fin de la période transitoire pour les systèmes d'IA à haut risque définis à l'Annexe III du règlement — c'est-à-dire les outils IA utilisés dans des domaines sensibles comme l'emploi, le crédit, la santé ou la sécurité publique.
Concrètement, à partir du 2 août 2026, toute entreprise qui déploie un système IA classé à haut risque doit pouvoir justifier d'une conformité complète : documentation technique, évaluation de conformité, système de gestion des risques, mécanismes de surveillance humaine et, selon les cas, enregistrement dans la base de données européenne EU AI Act Database gérée par la Commission.
Pour les entreprises françaises, la Commission nationale de l'informatique et des libertés (CNIL) a été désignée autorité nationale de surveillance du marché pour les systèmes IA. Elle peut ouvrir des procédures d'enquête, ordonner la suspension d'un système non conforme et transmettre des dossiers à la Commission européenne pour les infractions les plus graves. La France a par ailleurs intégré ces dispositions dans la réglementation IA européenne applicable aux entreprises dès 2025, ce qui explique l'urgence pour les acteurs non encore préparés.
Les systèmes déjà en service avant le 2 août 2026 bénéficient d'un régime transitoire limité : ils doivent néanmoins être mis en conformité avant le 2 août 2027 au plus tard (pour les systèmes relevant de l'Annexe III, points 1 à 7 hors banques de données biométriques). Au-delà, aucune tolérance n'est prévue.
Quels systèmes IA sont "à haut risque" dans votre entreprise ?
L'Annexe III de l'AI Act liste huit domaines dans lesquels les systèmes d'IA sont automatiquement qualifiés de "à haut risque". Pour les entreprises françaises, trois catégories concentrent l'essentiel des enjeux pratiques.
Les outils RH et de recrutement arrivent en tête. Tout logiciel utilisant l'IA pour trier des candidatures, classer des candidats, décider d'un entretien ou évaluer les performances d'un salarié est concerné (Annexe III, point 4). Cela inclut les Applicant Tracking Systems (ATS) dotés de fonctions de scoring, les outils de recrutement vidéo avec analyse comportementale (comme ceux basés sur l'analyse de micro-expressions faciales), et les plateformes RH qui notent automatiquement les performances individuelles pour déclencher des alertes managériales.
Le scoring de crédit et l'évaluation de la solvabilité constituent la deuxième catégorie majeure (Annexe III, point 5b). Les établissements financiers, mais aussi les entreprises qui accordent des délais de paiement ou des facilités commerciales via des algorithmes de scoring, sont dans le champ de l'AI Act.
La vidéo-surveillance avec analyse biométrique (Annexe III, point 1) forme la troisième catégorie critique. Les systèmes qui identifient des personnes en temps réel par leur démarche, leur visage ou leurs caractéristiques biophysiques dans des espaces accessibles au public sont dans la catégorie maximale — certains sont même interdits depuis le 2 février 2025.
Un point souvent ignoré : l'AI Act ne concerne pas uniquement les fournisseurs de logiciels IA — il s'applique aussi aux déployeurs, c'est-à-dire aux entreprises qui utilisent ces outils dans leur activité. Un groupe industriel de Lyon qui achète un logiciel de scoring RH à un éditeur américain est co-responsable de la conformité de ce système au regard de l'AI Act. La chaîne de responsabilité est bilatérale : le fournisseur fournit la documentation technique, le déployeur met en place la surveillance humaine et les procédures internes.
Recrutement par IA et licenciement algorithmique : vos droits concrets
L'AI Act crée des droits substantiels pour les personnes soumises à des décisions prises ou influencées par des systèmes IA à haut risque. Ces droits s'appliquent dès le 2 août 2026 — et viennent s'ajouter, non remplacer, les protections déjà existantes sous le Règlement général sur la protection des données (RGPD, Règlement UE 2016/679).
En matière de recrutement, un candidat écarté par un algorithme de tri a désormais le droit d'exiger une explication sur les critères utilisés par le système IA (Article 86 de l'AI Act). L'employeur — ou l'entreprise utilisatrice du logiciel — doit être en mesure de fournir des "explications significatives" sur la logique du système, ses principaux paramètres et l'impact de ces paramètres sur la décision. Ce n'est pas un simple droit à l'information : c'est une obligation active d'explicabilité qui doit être préparée en amont.
En matière de licenciement, la situation est plus complexe. Si une décision de rupture de contrat est prise ou significativement influencée par un système IA (évaluation des performances, monitoring comportemental, score de productivité), le salarié peut contester cette décision en invoquant l'absence de surveillance humaine réelle, condition impérative posée par l'Article 14 de l'AI Act. Le Conseil de prud'hommes peut examiner si l'employeur disposait effectivement d'un mécanisme permettant à un humain d'outrepasser ou de corriger la décision algorithmique.
IA et recrutement : vos droits à chaque étape du processus de sélection
9 minMaître Sophie Garnier, avocate au barreau de Paris spécialisée en droit du travail numérique, souligne : "L'AI Act inverse la charge de la preuve dans un sens favorable au salarié. Ce n'est plus à lui de démontrer que l'algorithme était biaisé — c'est à l'employeur de prouver qu'il a respecté les obligations de surveillance humaine et de transparence. Les prud'hommes vont devoir monter en compétence sur ces questions dès 2026."
Cette évolution s'inscrit dans le prolongement de la jurisprudence française sur les décisions automatisées, déjà encadrée par l'Article 22 du RGPD. L'AI Act renforce et précise ces protections, créant un double filet réglementaire que les DRH et les directions juridiques ne peuvent plus ignorer.
RGPD et AI Act : le double verrou juridique que les DRH ignorent encore
La confusion la plus fréquente dans les directions des ressources humaines consiste à traiter l'AI Act comme une simple extension du RGPD — ou pire, à croire que la conformité RGPD suffit. En réalité, les deux règlements fonctionnent sur des logiques distinctes et cumulatives. Être conforme au RGPD ne dispense pas de respecter l'AI Act, et vice versa.
Ce que le RGPD exige : une base légale pour le traitement des données personnelles, une information des personnes concernées, un droit à l'effacement, une analyse d'impact sur la protection des données (AIPD) pour les traitements à risque élevé, et une limitation de la prise de décision automatisée affectant significativement les personnes (Article 22 RGPD).
Ce que l'AI Act ajoute : des obligations sur le système IA lui-même, indépendamment du traitement de données. Même si le système IA ne traite aucune donnée personnelle (ce qui est rare), il peut rester soumis à l'AI Act s'il entre dans les catégories à haut risque. L'AI Act impose une gestion des risques documentée (Article 9), des tests de robustesse et d'exactitude (Article 15), un registre automatique des événements (logs) permettant la traçabilité des décisions (Article 12), et une notice d'information destinée aux déployeurs (Article 13).
En pratique, un DRH qui déploie un outil de scoring de CV doit donc : (1) conduire une AIPD au titre du RGPD si le traitement est susceptible d'engendrer un risque élevé, (2) vérifier que le fournisseur de l'outil dispose de la documentation de conformité AI Act et d'un système de gestion des risques opérationnel, (3) mettre en place en interne une procédure de surveillance humaine permettant de corriger les décisions algorithmiques, et (4) informer les candidats de l'utilisation d'un système IA à haut risque et de leur droit à une explication. Ces quatre obligations relèvent de deux règlements distincts — elles sont toutes obligatoires à compter du 2 août 2026.
La CNIL a publié en janvier 2026 des lignes directrices pratiques pour les responsables de traitement RH, disponibles sur son site officiel cnil.fr. Ces lignes directrices détaillent les modalités d'articulation entre les deux cadres réglementaires et proposent un modèle de registre de conformité AI Act adapté aux entreprises françaises de toute taille. Les enjeux vont au-delà de la simple conformité bureaucratique : comme le soulignent les risques de l'intelligence artificielle sur les données personnelles et la vie privée, la question touche aux droits fondamentaux des salariés et des candidats.
Ce que risque une entreprise non conforme après le 2 août 2026
Le régime de sanctions de l'AI Act est proportionné à la gravité de la violation, mais les montants maximaux sont sans précédent dans l'histoire de la réglementation européenne du numérique — supérieurs même au RGPD pour les infractions les plus graves.
Trois niveaux de sanctions sont prévus par l'Article 99 :
Violation des interdictions (Article 5) — systèmes de notation sociale par autorités publiques, manipulation comportementale subluminale, exploitation des vulnérabilités, reconnaissance biométrique en temps réel dans les espaces publics sauf exceptions limitées : amende jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.
Non-conformité d'un système à haut risque — manquements aux obligations de l'Annexe III (documentation, surveillance humaine, registre, notice) : amende jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.
Informations inexactes ou incomplètes fournies aux autorités de surveillance : amende jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires mondial annuel.
Pour les PME et start-ups, l'AI Act prévoit un régime allégé de calcul des sanctions (Article 99(6)) — les autorités doivent tenir compte de la taille de l'entreprise et de sa capacité financière. Mais cette atténuation n'est pas automatique : elle s'applique à la discrétion de l'autorité nationale, et uniquement pour les violations de l'Annexe III, pas pour les violations des interdictions absolues de l'Article 5.
Au-delà des sanctions financières, l'Article 79 permet à toute personne physique de saisir une juridiction nationale pour obtenir réparation d'un préjudice causé par un système IA non conforme. Cette voie d'action civile, cumulable avec les sanctions administratives de la CNIL, représente le risque juridique le plus immédiat pour les entreprises françaises : un candidat écarté par un algorithme non conforme pourrait obtenir des dommages-intérêts devant le tribunal judiciaire, indépendamment de toute procédure réglementaire.
À retenir : La non-conformité AI Act n'est pas seulement un risque réglementaire — c'est un risque de contentieux civil direct. Les cabinets d'avocats spécialisés en droit du travail numérique et en droit des données personnelles anticipent une vague de litiges dès le second semestre 2026.
Questions fréquentes sur l'AI Act et son application aux entreprises
L'AI Act s'applique-t-il aux entreprises basées hors de l'UE ? Oui. L'AI Act a une portée extraterritoriale : tout fournisseur ou déployeur dont le système IA produit des effets sur des personnes situées dans l'Union européenne est soumis au règlement, qu'il soit établi en France, aux États-Unis ou en Asie. Un éditeur de logiciel américain qui vend un ATS à une entreprise française est tenu de fournir la documentation de conformité AI Act.
Mon entreprise utilise ChatGPT ou un modèle d'IA générale — est-ce concerné par le 2 août 2026 ? Les modèles d'IA à usage général (General Purpose AI, ou GPAI) comme les grands modèles de langage sont soumis à des obligations spécifiques depuis le 2 août 2025 (un an avant les systèmes à haut risque). Si votre entreprise intègre un GPAI dans un système à haut risque (par exemple, un outil de tri de CV basé sur GPT-4), c'est le système final qui est classé à haut risque — pas le modèle sous-jacent seul.
La CNIL peut-elle contrôler mon entreprise avant le 2 août 2026 ? Pour les systèmes à haut risque, les premières procédures de contrôle actif sont attendues à partir du 2 août 2026. Mais la CNIL peut déjà, dans le cadre de ses pouvoirs RGPD, contrôler les traitements de données liés à ces systèmes IA — et constater des manquements qui anticipent une non-conformité AI Act.
Existe-t-il une certification obligatoire pour les systèmes IA à haut risque ? Pour certaines catégories (notamment les systèmes listés à l'Annexe II, liés à des produits réglementés comme les dispositifs médicaux), une certification tierce par un organisme notifié est obligatoire. Pour les autres catégories de l'Annexe III — dont les outils RH — une auto-évaluation de conformité est possible, à condition d'être rigoureusement documentée. Un avocat spécialisé peut sécuriser cette démarche.
Avertissement : Les informations présentées dans ce dossier sont fournies à titre informatif uniquement et ne constituent pas un conseil juridique. L'AI Act est un texte récent dont l'interprétation évolue. Pour votre situation spécifique, consultez un avocat spécialisé en droit du numérique ou en droit des données personnelles.
