Recrutement & IA

RGPD et IA dans le recrutement : ce que vous devez absolument savoir

Utiliser l'IA pour présélectionner, conduire ou analyser des entretiens n'est ni interdit ni « zone grise » par défaut. En revanche, le recrutement traite des données personnelles sensibles au regard du RGPD — et certains usages d'IA entrent dans le champ du règlement européen sur l'IA (IA Act). La bonne nouvelle : avec un cadrage clair, la conformité devient un avantage concurrentiel, pas un frein.

Cet article synthétise ce que les équipes RH et les directions juridiques doivent absolument savoir : quelles obligations s'appliquent, ce que la CNIL surveille, comment l'IA Act classe les outils de recrutement, et comment déployer une solution comme HiLucy sans prendre de risques inutiles.

Illustration conformité RGPD et IA Act appliquée au recrutement : bouclier de protection des données et checklist.
RGPD et IA Act : la conformité rassure les candidats et sécurise les décisions de recrutement.

L'essentiel en 30 secondes

  • Le RGPD s'applique à toutes les données candidats (CV, audio, transcript, scores).
  • L'IA Act qualifie certains systèmes de recrutement comme à haut risque : exigences renforcées de transparence, supervision humaine et documentation.
  • La conformité repose sur l'information des candidats, la minimisation des données, la traçabilité des décisions et le contrôle humain final.
  • Un outil bien conçu — critères explicites, pas de « boîte noire » émotionnelle — réduit à la fois les risques juridiques et les biais.

Pourquoi le sujet explose en 2025–2026

Entre sanctions RGPD, recommandations CNIL et entrée en vigueur progressive de l'IA Act, le recrutement algorithmique est sous les projecteurs.

Les autorités européennes rappellent régulièrement que le recrutement combine deux risques : traitement massif de données personnelles et impact direct sur l'accès à l'emploi. La CNIL a publié des guides sur les systèmes de recrutement et l'usage de l'IA ; l'EDPB a travaillé sur les décisions automatisées ; l'IA Act impose des obligations spécifiques aux systèmes utilisés pour filtrer ou classer des candidats.

Résultat : les recherches « RGPD recrutement IA », « CNIL entretien automatisé » ou « IA Act emploi » explosent — et les candidats posent elles aussi la question. Une politique claire rassure les deux côtés de la table.

Quelles données sont concernées ?

Dès qu'un candidat passe par un parcours digital, vous traitez des données personnelles au sens du RGPD :

  • identité et coordonnées (nom, e-mail, téléphone) ;
  • données professionnelles (CV, parcours, compétences déclarées) ;
  • contenus d'entretien (transcripts texte ou audio, réponses aux questions) ;
  • évaluations et scores (compatibilité, soft skills, signaux comportementaux) ;
  • métadonnées techniques (horodatage, logs, identifiants de session).

Selon les cas, des catégories plus sensibles peuvent entrer en jeu (origine, handicap apparent dans un enregistrement vocal, etc.). Le principe de minimisation : ne collecter que ce qui sert réellement à évaluer le poste.

RGPD : les fondations à respecter

1. Base légale et finalité

Chaque traitement doit reposer sur une base légale (exécution de mesures précontractuelles, intérêt légitime du recruteur, parfois consentement pour des traitements optionnels) et une finalité déterminée : évaluer l'adéquation au poste, pas « profiler à des fins générales ».

2. Information des candidats

Avant ou au moment de la collecte, le candidat doit savoir qui traite ses données, pourquoi, combien de temps elles sont conservées, si une IA intervient, et quels droits il peut exercer. Une politique de confidentialité accessible et un parcours candidat explicite ne sont pas optionnels.

3. Sécurité et sous-traitance

Chiffrement, contrôle d'accès, hébergement UE lorsque possible, contrat de sous-traitance (article 28 RGPD) avec votre fournisseur d'IA : ce sont des exigences standard, pas des détails techniques réservés à l'IT.

4. Durées de conservation

Ne gardez pas indéfiniment les enregistrements d'entretien ou les profils des candidats non retenus. Définissez des durées alignées sur vos obligations légales et votre politique RH.

Décisions automatisées : l'article 22 RGPD

L'article 22 encadre les décisions « uniquement fondées sur un traitement automatisé » produisant des effets juridiques ou une incidence significative. En recrutement, un rejet automatique sans aucune relecture humaine est le scénario à risque.

Bonne pratique — et position de la plupart des solutions sérieuses :

  • l'IA assiste la décision (scoring, synthèse, signaux à creuser) ;
  • un recruteur ou manager valide ou infirme la recommandation ;
  • le candidat peut demander une intervention humaine, exprimer son point de vue et contester le résultat.

IA Act : ce qui change pour le recrutement

Le règlement européen sur l'IA classe certains systèmes utilisés en ressources humaines comme à haut risque (Annexe III).

Sont typiquement visés les systèmes qui filtrent, classent ou priorisent des candidats à partir de données personnelles — par exemple un moteur qui score automatiquement des CV ou des entretiens pour décider qui passe à l'étape suivante. Les obligations incluent notamment :

  • système de gestion des risques et documentation technique ;
  • jeu de données d'entraînement pertinent et représentatif ;
  • transparence envers les utilisateurs (recruteurs) et les personnes concernées (candidats) ;
  • supervision humaine effective ;
  • précision, robustesse et cybersécurité ;
  • enregistrement dans la base EU pour certains systèmes.

L'IA Act ne interdit pas l'IA en recrutement : il impose de la rigueur. C'est précisément ce que recherchent les entreprises matures — et ce que redoutent les candidats quand l'outil est opaque.

Ce que la CNIL et l'EDPB rappellent souvent

Pas de traitement « boîte noire » sans explication. Pas de catégories biométriques ou émotionnelles invasives sans justification solide. Pas de décision définitive sans regard humain. Et surtout : testez vos outils sur la diversité des profils pour éviter les discriminations indirectes — un sujet proche des biais cognitifs en recrutement.

Checklist conformité pour les équipes RH

  • Rédiger ou mettre à jour la politique de confidentialité candidats et l'afficher avant l'entretien IA.
  • Documenter la finalité, la base légale et les durées de conservation pour chaque type de donnée (audio, transcript, score).
  • Vérifier le contrat de sous-traitance avec votre fournisseur (DPA / article 28) et l'emplacement des données.
  • S'assurer qu'aucun rejet définitif n'est automatisé sans revue humaine contestable.
  • Expliquer au candidat comment l'IA est utilisée — pas seulement qu'elle l'est.
  • Prévoir un canal pour exercer les droits RGPD (accès, rectification, effacement, opposition).
  • Réaliser une analyse d'impact (AIPD / DPIA) si le traitement est à risque élevé — fréquent en recrutement algorithmique.
  • Auditer régulièrement les critères et les résultats pour détecter des effets discriminatoires.

Comment HiLucy s'inscrit dans ce cadre

HiLucy est conçu pour structurer la présélection et l'entretien — pas pour remplacer le jugement humain ni lire des « émotions cachées ». Concrètement :

  • entretiens guidés sur des critères métier définis par le recruteur ;
  • restitutions explicables (synthèse, scores, extraits de réponses) ;
  • décision finale côté humain sur chaque candidature ;
  • parcours candidat transparent et droits RGPD opérationnels (voir notre politique de confidentialité) ;
  • hébergement et traitement encadrés contractuellement pour les clients européens.

Pour aller plus loin sur ce qu'une IA peut — et ne peut pas — mesurer en entretien, lisez notre article sur l'analyse comportementale : mythe ou réalité. Pour déployer un parcours conforme dès la préqualification, consultez le guide d'automatisation des entretiens de préqualification.

FAQ express

L'IA en recrutement est-elle interdite en Europe ?

Non. Elle est encadrée par le RGPD et, pour certains systèmes, par l'IA Act. Un déploiement documenté et transparent est tout à fait possible.

Faut-il le consentement du candidat ?

Pas systématiquement. Souvent, la base repose sur les mesures précontractuelles ou l'intérêt légitime du recruteur. Le consentement reste nécessaire pour des traitements optionnels ou sans lien direct avec la candidature.

Qui est responsable de traitement : l'entreprise ou HiLucy ?

L'entreprise qui recrute est en principe responsable de traitement pour les données candidats. HiLucy intervient en qualité de sous-traitant pour les traitements réalisés pour son compte, dans le cadre contractuel prévu.

Un enregistrement vocal d'entretien est-il problématique ?

Il est licite si le candidat est informé, la finalité est claire, la durée de conservation est limitée et les mesures de sécurité sont en place. L'audio doit servir l'évaluation du poste — pas un profilage généralisé.

Que faire en cas de plainte CNIL ?

Montrez votre registre des traitements, vos bases légales, vos contrats sous-traitants, vos procédures de réponse aux droits et la traçabilité des décisions. Un outil structuré facilite grandement cette démonstration.

Conclusion : la conformité comme signal de confiance

Le RGPD et l'IA Act ne sont pas des obstacles à l'innovation en recrutement : ils fixent le plancher de qualité en dessous duquel les candidats et les régulateurs ne veulent plus descendre. Les entreprises qui documentent, expliquent et gardent l'humain dans la boucle transforment la conformité en argument commercial.

Si vous évaluez une plateforme d'entretiens IA, posez ces questions avant le pilote — puis comparez avec ce que propose HiLucy: transparence, critères métier, supervision humaine et respect des droits des candidats.

Vous souhaitez passer du contenu à l'action ? Découvrez comment Hi Lucy automatise vos entretien IA vocale et vos processus d'entretien via intelligence artificielle.

Articles