AI Act RH : ce que chaque DRH doit savoir

L'AI Act est déjà en vigueur. Si vous avez des salariés ou des prestataires basés dans l'Union européenne, il s'applique à vos opérations RH, quel que soit le pays où votre entreprise est incorporée.

Pour beaucoup de DRH, la conversation sur la conformité se passe encore dans les couloirs du juridique ou de l'IT. C'est compréhensible, mais c'est passer à côté de l'essentiel : les usages les plus encadrés par le texte sont au cœur du quotidien RH. Recrutement et présélection de candidats, évaluation de la performance, attribution des tâches, surveillance des collaborateurs. Des processus que les équipes RH pilotent chaque jour, et qui sont désormais régulés.

Le risque est concret. La plupart des organisations ont accumulé leurs outils progressivement, sans cartographier lesquels influencent des décisions qui touchent les personnes, ni si ces outils répondent aux exigences du règlement. Or, la responsabilité de la conformité ne se transfère pas à votre fournisseur de logiciel. Si un outil concerne vos collaborateurs, la responsabilité vous appartient.

Ce guide présente ce que les DRH qui gèrent des équipes internationales doivent comprendre sur l'AI Act, et ce qu'il faut faire dès maintenant.

Pourquoi l'AI Act concerne vos équipes RH en priorité

Le règlement (UE) 2024/1689 classe les systèmes d'intelligence artificielle selon leur niveau de risque. Au sommet de cette hiérarchie : les usages dits à haut risque, soumis aux obligations les plus strictes, avant et pendant leur déploiement.

La fonction RH est l'une des plus exposées. Le texte couvre explicitement les outils d'IA utilisés dans le recrutement et la sélection de candidats, l'évaluation de la performance, l'attribution de tâches et la surveillance des collaborateurs. Pour une organisation qui gère une équipe internationale, c'est une large portion du stack RH qui entre dans le périmètre.

Ce que beaucoup d'organisations ratent, c'est le point sur l'extraterritorialité. Le règlement s'applique en fonction du lieu où se trouvent vos collaborateurs, pas du pays où votre entreprise est enregistrée. Si vous avez des salariés ou des prestataires basés dans l'UE, les obligations du texte s'appliquent à la façon dont vos outils d'IA interagissent avec eux, même si vos systèmes RH ont été achetés, configurés et sont gérés entièrement hors d'Europe.

Ce n'est pas une échéance future. Les dispositions à haut risque sont en cours de déploiement. Les organisations qui attendent une implémentation complète avant d'évaluer leur exposition sont déjà en retard. Un vote du Parlement européen du 26 mars 2026 propose de reporter l'échéance principale à décembre 2027, mais ce report n'est pas encore formellement adopté : le 2 août 2026 reste la date légalement contraignante.

La méprise la plus courante est de considérer que le sujet appartient au service juridique ou à l'IT. Ces fonctions ont un rôle, mais les obligations que le règlement crée autour de la transparence envers les salariés, du contrôle humain et de la responsabilité des décisions demandent que les RH portent le modèle de gouvernance. Aucune autre fonction n'a ni le mandat ni le contexte pour le faire.

Ce que la classification « haut risque » impose concrètement aux RH

Haut risque ne signifie pas interdit. Cela signifie réglementé, documenté et gouverné selon un standard précis. Pour les DRH, comprendre ce que ce standard exige en pratique est plus utile que de maîtriser le cadre réglementaire dans l'abstrait.

Trois obligations reposent directement sur la fonction RH.

Les collaborateurs doivent être informés lorsqu'une IA est utilisée dans des décisions qui les concernent. Recrutement, évaluation de la performance, promotion, scoring de risque de départ : l'obligation d'information n'est pas une mention dans un règlement intérieur. Elle doit être une étape délibérée et documentée dans vos processus RH.

Les salariés ont le droit de contester une décision automatisée. Cela signifie que votre organisation doit disposer d'un processus pour recevoir, examiner et traiter ces contestations. La plupart des entreprises n'en ont pas aujourd'hui, tout simplement parce qu'elles n'en avaient pas besoin jusqu'ici. Construire ce processus oblige les RH à définir ce que signifie concrètement un examen humain d'une décision influencée par l'IA : qui le réalise, quelle autorité cette personne a pour passer outre le système, et comment cet examen est documenté.

Les organisations doivent démontrer un contrôle humain réel sur les systèmes d'IA à haut risque. Le mot-clé est « démontrer ». Une politique interne qui affirme que le contrôle humain existe ne suffit pas. Les régulateurs cherchent la preuve qu'il s'applique de façon constante, qu'il est intégré dans le flux de travail et qu'il peut être audité.

Le tableau ci-dessous résume ce qui change concrètement pour les équipes RH.

Prises ensemble, ces obligations demandent aux équipes RH de faire quelque chose que la plupart n'ont pas encore fait : dresser un tableau complet de là où l'IA touche les décisions RH, et construire une infrastructure de gouvernance autour de chacun de ces points de contact. Ce travail commence par savoir exactement ce qui est dans votre stack.

La responsabilité fournisseur : un angle mort pour beaucoup d'entreprises

La plupart des fonctions RH n'ont pas construit une stratégie IA délibérée. Elles ont construit un stack RH, et l'IA est venue avec. Un ATS a amélioré son algorithme de matching, une plateforme de performance a ajouté des analytics prédictifs, un outil de planification a commencé à formuler des recommandations à partir de données comportementales. Chaque décision avait du sens prise isolément. Collectivement, elles ont créé une empreinte IA que beaucoup de DRH n'ont pas encore cartographiée.

L'AI Act crée un problème immédiat pour les organisations qui gèrent des paysages de fournisseurs complexes. Les questions à poser sont simples sur le papier, mais y répondre demande un travail que la plupart des organisations n'ont pas encore fait.

Sur vos systèmes internes :

1. Quels outils de notre stack RH utilisent de l'IA, et dans quelle mesure ?
2. Lesquels influencent directement des décisions qui concernent les collaborateurs ?
3. Disposons-nous d'une documentation du contrôle humain sur les décisions influencées par l'IA, et sur quelle profondeur historique ?
4. Si un régulateur nous demandait de retracer une décision de recrutement ou d'évaluation prise il y a six mois, pourrions-nous le faire ?

Sur vos fournisseurs :

1. Chaque fournisseur peut-il confirmer si son outil entre dans la classification haut risque de l'AI Act, et fournir une documentation à l'appui ?
2. Utilise-t-il des sous-traitants ou des modèles d'IA tiers dont la conformité au règlement n'est pas établie ?
3. Quelles données de vos collaborateurs sont utilisées pour entraîner ou améliorer ses modèles ?

Sur vos collaborateurs extérieurs :

1. Vos outils d'IA interagissent-ils avec des prestataires, des intérimaires ou d'autres travailleurs non permanents de façon à les faire entrer dans le périmètre ?
2. Vos processus de gestion de la workforce étendue sont-ils couverts par votre bilan de conformité ?

Pour beaucoup d'organisations, ce travail fera remonter des lacunes : non pas parce que le contrôle n'existait pas, mais parce que l'infrastructure pour le documenter n'existe pas encore. L'inventaire ci-dessus est le point de départ. Pour mieux comprendre les risques liés aux systèmes d'IA autonomes dans ce contexte, consultez notre article sur les risques de l'IA agentique (EN).

Le plan d'action du DRH

Les obligations pour les systèmes d'IA à haut risque s'appliquent à partir du 2 août 2026, certaines étant déjà en vigueur. Le délai est plus court qu'il n'y paraît : inventorier les outils, engager les fournisseurs, construire les processus de gouvernance et former les équipes prend du temps. Voici par où commencer.

Construire l'inventaire des usages IA

Avant de mettre en place un cadre de gouvernance, il faut une vision complète et honnête de là où l'IA touche vos processus RH. Cela va au-delà des outils achetés directement par les RH. Tout système qui influence une décision concernant la workforce entre dans l'inventaire : sourcing de candidats, présélection, évaluations, gestion de la performance, planification, rémunération. Cela inclut d'identifier si les outputs de ces systèmes concernent des candidats, salariés ou prestataires basés dans l'UE.

Pour chaque outil dans le périmètre, l'inventaire doit couvrir :

1. Ce que l'outil fait et quelles capacités IA il utilise.
2. Quelles populations de collaborateurs il concerne, prestataires et travailleurs non permanents inclus.
3. Quelles décisions il influence, directement ou indirectement.
4. Si ces décisions font l'objet d'un contrôle humain documenté.
5. Si l'outil entre dans la classification haut risque du règlement.

Un point exige une attention immédiate, quel que soit l'avancement de votre calendrier de conformité : certaines pratiques d'IA au travail ont été interdites dès février 2025. Les systèmes de reconnaissance des émotions qui tentent d'inférer l'état émotionnel d'un candidat ou d'un salarié lors d'entretiens ou d'évaluations sont proscrits. L'IA qui note des individus sur la base de comportements sociaux ou de caractéristiques personnelles prédites est interdite. Si un outil de votre stack dispose de ces fonctionnalités, il faut agir maintenant.

L'inventaire est aussi l'étape où l'alignement RGPD devient central. L'AI Act se superpose au RGPD sans le remplacer. Si votre système d'IA prend ou influence fortement des décisions ayant des effets juridiques ou substantiels sur des personnes, l'article 22 du RGPD (EN) impose des restrictions supplémentaires qui demandent une implication humaine réelle. Votre stratégie de gouvernance des données doit tenir compte des deux cadres simultanément.

Tester la solidité de vos relations fournisseurs

Mieux vaut ne pas s'en remettre aux assurances de conformité des fournisseurs sans validation indépendante. La plupart vous diront qu'ils sont conformes. Le travail de vérification indépendante consiste à vérifier cette affirmation par vous-même, et à savoir quoi chercher quand les réponses ne tiennent pas.

Commencez par des demandes de documentation plutôt que par des conversations. Un fournisseur qui peut démontrer sa conformité aura des preuves écrites : documentation technique sur la façon dont ses modèles sont entraînés et validés, résultats de tests de biais qu'il accepte de partager, capacités de journalisation configurables et exportables.

Soyez particulièrement attentif à ces signaux d'alerte :

1. Le fournisseur confirme la conformité de son outil, mais ne peut pas préciser quelles dispositions il respecte, ni fournir de documentation à l'appui.
2. Les assurances de conformité sont enfouies dans les conditions générales plutôt que portées proactivement dans la relation.
3. Le fournisseur utilise des modèles d'IA tiers ou des sous-traitants, mais ne peut pas confirmer si ces composants ont été évalués au titre du règlement.
4. Le contrôle humain est décrit comme une fonctionnalité de l'outil plutôt que comme un workflow configurable que votre équipe contrôle réellement.
5. La conformité est décrite au présent, mais renvoie à une roadmap de documentation et de capacités d'audit qui n'existent pas encore.

Lors de l'évaluation des outils, privilégiez les fournisseurs qui peuvent documenter la façon dont leurs modèles sont entraînés et validés, démontrer leurs processus de test de biais et en partager les résultats, proposer des workflows avec validation humaine intégrée, et assurer nativement la journalisation, les pistes d'audit et l'explicabilité. Ce sont les nouvelles exigences de base pour tout système d'IA à haut risque dans votre fonction RH.

Construire l'infrastructure de gouvernance avant qu'elle soit obligatoire

L'AI Act exige que les systèmes d'IA à haut risque permettent un contrôle humain effectif. Les personnes qui l'exercent doivent être formées, et avoir la capacité réelle d'intervenir sur les décisions du système.

Concrètement, construire cette infrastructure signifie rendre quatre éléments opérationnels avant l'échéance du 2 août 2026 :

1. Les processus d'information des collaborateurs. L'article 26(7) de l'AI Act impose déjà aux employeurs d'informer les représentants du personnel avant le déploiement de systèmes d'IA à haut risque, indépendamment de tout report des échéances plus larges. Définissez comment votre organisation communiquera l'usage de l'IA aux collaborateurs, ce que cette information couvre et qui en est responsable.
2. Les protocoles de contrôle humain. Définissez ce que signifie concrètement une revue humaine d'une décision influencée par l'IA dans votre organisation. Qui la réalise, quelle autorité cette personne a pour passer outre l'output du système, et comment la revue est documentée ? Une politique qui affirme que le contrôle existe n'est pas un processus qui le fait se produire de façon constante.
3. Les pistes d'audit et la conservation des logs. Les journaux générés par les systèmes d'IA doivent être conservés au moins six mois, ou plus longtemps si d'autres lois européennes ou nationales l'exigent. Si cette infrastructure de journalisation n'existe pas aujourd'hui dans vos outils, c'est une lacune à combler avec vos fournisseurs.
4. La culture IA au sein des RH. À partir d'août 2026, les employeurs devront conduire des Analyses d'impact sur la protection des données (EN), maintenir une documentation technique et assurer un contrôle humain des décisions pilotées par l'IA. Les équipes responsables de ces processus doivent comprendre ce que font les outils et les obligations légales qui les entourent, bien avant cette échéance.

Équipes internationales : appliquer un standard mondial ou gérer deux régimes ?

Pour les DRH qui gèrent des équipes dans plusieurs régions, l'AI Act pose une question qui mérite une réponse délibérée plutôt qu'une réponse par défaut : appliquer les standards européens à l'ensemble de la workforce, ou gérer un modèle de conformité à deux vitesses où les salariés basés dans l'UE sont gouvernés différemment des autres.

Les modèles de gouvernance à deux vitesses, c'est exactement le type de fragmentation que les équipes RH cherchent à éliminer (EN). Des processus d'information différents selon la région, des protocoles de contrôle distincts selon le type de contrat, des standards de documentation qui varient selon le pays d'emploi. Cette complexité est difficile à auditer, difficile à maintenir dans le temps, et difficile à défendre si une décision est contestée.

La posture la plus solide consiste à traiter les exigences de l'AI Act comme une base de référence mondiale pour la gouvernance IA, appliquée à l'ensemble de la workforce. Les organisations qui font ce choix maintenant, et construisent vers cet objectif de façon méthodique, seront bien mieux positionnées à mesure que d'autres juridictions développeront leurs propres cadres. L'AI Act est la première réglementation complète de ce type. Ce ne sera pas la dernière.

Le DRH qui prend les devants transforme la contrainte en avantage

L'AI Act est un signal : l'IA en entreprise a dépassé la phase expérimentale. Les régulateurs ont tracé une ligne. Les salariés sont de plus en plus conscients que des algorithmes influencent leur carrière, et les directions commencent à poser sur la gouvernance IA des questions auxquelles les fonctions RH ne sont pas toujours prêtes à répondre.

Ce que le travail de mise en conformité révèle rapidement, c'est qu'une infrastructure RH fragmentée crée un passif de gouvernance. Les organisations qui ont accumulé leur stack fournisseur par fournisseur, région par région, découvrent que bâtir un contrôle IA cohérent sur ce paysage est bien plus difficile que ça ne devrait l'être. Les pistes d'audit ne se connectent pas, la documentation varie selon les pays. Le travail de conformité expose la fragmentation, et la fragmentation complique le travail de conformité.

Les organisations les mieux positionnées pour répondre aux exigences du règlement sont celles qui ont déjà fait le travail de consolidation. Une couche de visibilité mondiale unifiée sur les opérations workforce, une infrastructure en propre plutôt qu'une agrégation de tiers, et une expertise conformité internalisée plutôt qu'une chaîne de sous-traitants : c'est cette fondation qui rend une gouvernance cohérente réalisable à l'échelle.

Les réglementations comme l'AI Act traduisent une direction plus large : davantage de responsabilité sur la façon dont la technologie influence la vie professionnelle des personnes. Les entreprises qui répondent à cette évolution en consolidant leur infrastructure workforce seront mieux armées pour ce qui vient ensuite. Parce qu'elles ont construit le type de fondation qui rend la conformité atteignable, plutôt que chaotique.

Deel accompagne les entreprises dans plus de 150 pays dans la gestion de leurs opérations workforce via des entités en propre et une expertise conformité internalisée. Si vous cartographiez l'exposition de votre organisation au titre de l'AI Act, nous pouvons vous aider à réfléchir à ce que cela implique pour votre workforce internationale.

Contactez notre équipe et commencez à explorer les bénéfices d'un système consolidé.