Comme l’écrit Cathy O’Neil, « Algorithms are opinions embedded in code » (Cathy O’Neil, Weapons of Math Destruction, Crown Publishing, 2016). Cette formule illustre le paradoxe contemporain de l’intelligence artificielle (IA) appliquée aux ressources humaines (RH). Conçue pour rationaliser les décisions et réduire les biais, l’IA risque paradoxalement de reproduire ou d’amplifier les discriminations préexistantes, notamment dans les processus de recrutement.
Selon l’article 3 §1 du Règlement (UE) 2024/1689 sur l’intelligence artificielle (AI Act), l’IA désigne tout système « conçu pour fonctionner avec un certain degré d’autonomie » et capable de produire des résultats influençant des environnements réels. Appliquée à la gestion du personnel, elle se manifeste par des outils de tri automatisé de CV, d’évaluation prédictive ou d’entretien virtuel. Ces technologies constituent une innovation managériale majeure, promettant gain de temps, objectivité et efficacité. Mais cette automatisation de la décision soulève de fortes inquiétudes juridiques et éthiques. En effet l’IA peut introduire des biais invisibles, réduire la transparence des processus RH et fragiliser la protection des données personnelles. Depuis l’adoption de l’AI Act en 2024 et sous le contrôle du RGPD, les entreprises européennes sont désormais tenues d’assurer la non-discrimination, la traçabilité et la supervision humaine de leurs systèmes RH automatisés.
Dans ce contexte, comment concilier l’utilisation croissante de l’intelligence artificielle dans le recrutement et la gestion des talents avec les exigences de non-discrimination, de transparence et de protection des données personnelles ?
L’analyse portera sur l’usage de l’IA dans le recrutement et la gestion de carrière, en se fondant sur le cadre juridique en droit interne et en droit européen et sur les mécanismes internes de gouvernance éthique.
Il s’agit ici d’analyser le renforcement de l’encadrement juridique de l’intelligence artificielle dans ce domaine, mais également d’analyser l’émergence et le renforcement d’une gouvernance éthique des organisations dans l’utilisation de l’IA dans le domaine des ressources humaines.
I. Un encadrement juridique renforcé allant de la conformité technique à la responsabilité de l’employeur.
A. Le double socle normatif du RGPD et de l’AI Act.
Le RGPD (Règlement (UE) 2016/679) demeure la base de toute régulation des traitements automatisés. Son article 22 interdit, sauf exceptions, les décisions produisant des effets juridiques fondées exclusivement sur un traitement automatisé.
Ainsi, un refus d’embauche ou une évaluation fondée uniquement sur un algorithme est illicite sans intervention humaine. La Cour de justice de l’Union européenne a par ailleurs eu l’occasion de confirmer ce principe dans l’arrêt Schufa Holding AG [1]. La cour se posant la question de savoir si le calcul automatisé d’un score de solvabilité constituait une décision automatisée produisant des effets juridiques significatifs au sens du RGPD. Elle a considéré ici que « Lorsqu’un traitement automatisé, tel qu’un calcul de score, détermine ou influence de manière décisive l’accès d’une personne à un service (crédit, emploi, logement, etc.), il doit être considéré comme une décision fondée exclusivement sur un traitement automatisé au sens de l’article 22 §1 du RGPD ». Raisonnant par analogie, il est possible de considérer que toute décision automatisée influençant de manière significative l’emploi ou la carrière d’un individu est soumise aux exigences de l’article 22 RGPD.
Pour ce qui est de L’AI Act, adopté en 2024, il vient compléter ce dispositif en instaurant une logique de régulation par le risque. Les systèmes utilisés pour le recrutement, la sélection ou l’évaluation des salariés sont classés parmi les systèmes à haut risque [2]. Ils doivent satisfaire à des obligations de conformité technique, de traçabilité des données, de supervision humaine et d’auditabilité. Cette régulation promeut, sur le papier, une « IA digne de confiance » fondée sur la transparence, la robustesse et la responsabilité.
B. La responsabilité en cas de discrimination algorithmique.
L’employeur demeure responsable de la décision finale, au regard de l’article L1132-1 du Code du travail, il engagerait alors sa responsabilité en cas de discrimination dans le cadre du process de recrutement réalisé par l’IA à laquelle il aurait recours. En effet, si l’outil de recrutement aboutit à une exclusion indirecte d’une catégorie protégée comme par exemple, par le genre ou l’origine étrangère, la discrimination indirecte peut être reconnue, même en l’absence d’intention. Le RGPD et l’AI Act imposent en ce sens la réalisation d’une analyse d’impact relative à la protection des données (DPAI) pour évaluer les risques de biais et les mesures correctrices [3].
Les autorités de contrôle, notamment la CNIL, insistent sur la nécessité de documenter la chaîne de décision et d’assurer un contrôle humain effectif [4].
L’efficacité du dispositif repose sur la capacité de l’entreprise à comprendre et auditer les modèles d’IA. Or, la majorité des employeurs ne disposent ni des compétences techniques ni des moyens d’expertise nécessaires. De plus, le partage de responsabilité entre fournisseur et utilisateur reste incertain. Qui doit répondre du biais issu des données d’entraînement ? Enfin, la transparence juridique se heurte à la protection du secret industriel des concepteurs d’algorithmes, limitant la vérifiabilité des critères de sélection. Ainsi, le cadre normatif demeure plus déclaratif qu’opérationnel, en décalage avec la réalité technologique.
II. Vers une gouvernance éthique de l’IA en RH par la transparence, la supervision humaine et la culture de conformité.
A. La transparence et la supervision humaine comme garde-fous essentiels.
L’IA ne peut être déployée sans information claire et loyale à destination des personnes concernées et cela en application des articles 13 et 14 du RGPD, et de l’article 13 de l’AI Act. Les candidats à un emploi doivent connaître les finalités, les critères et la nature de l’intervention de l’IA dans le processus. La transparence algorithmique, au cœur des recommandations de la CNIL par le biais de son « Guide de l’IA responsable », permet d’éviter une rupture de confiance. La supervision humaine constitue le second pilier. L’article 14 de l’AI Act exige que les systèmes à haut risque soient conçus pour garantir une intervention humaine significative capable de détecter et de corriger les erreurs. Cette exigence consacre une approche « human-in-the-loop », essentielle pour préserver la responsabilité et la dignité de la décision managériale.
Malgré leur statut de garde-fous juridiques et éthiques, la transparence et la supervision humaine restent souvent symboliques compte tenu de la complexité des algorithmes qui limite la compréhension réelle. L’intervention humaine est rarement effective, et la charge organisationnelle élevée freine leur application, surtout dans les PME. Sans mesures concrètes d’audit, de formation et de documentation, ces principes risquent de demeurer théoriques, fragilisant la protection des candidats et salariés.
B. Vers une IA responsable et auditée.
Les entreprises développent et doivent poursuivre le renforcement des structures de gouvernance adaptées. Cela passe par une charte éthique IA-RH, précisant les finalités, les valeurs et les limites d’usage mais aussi par la création de comités de gouvernance IA, réunissant juristes, data scientists et représentants du personnel dans un soucis de regard croisés technique, stratégique et opérationnel. Sur le terrain elle doit aussi passer par la mise en place d’audits d’équité périodiques, incluant la détection de biais indirects. Enfin, il apparait nécessaire que soit mis en place des formations pour les recruteurs et managers à la lecture critique des résultats algorithmiques. Ces démarches visent à faire de la conformité un outil de pilotage stratégique et non une contrainte. Elles s’inscrivent dans la lignée des recommandations de la Commission européenne [5] et de l’EDPB [6].
Malgré ces avancées, la gouvernance éthique reste très hétérogène selon la taille et la maturité numérique des entreprises. Les grandes structures peuvent internaliser ces dispositifs, tandis que les PME restent dépendantes de prestataires parfois opaques. La transparence promise se heurte à la complexité technique des modèles et à la réticence des fournisseurs à ouvrir leurs algorithmes. Enfin, la « supervision humaine » reste souvent symbolique, les décisions automatisées étant rarement remises en cause. Sans une acculturation numérique et juridique des acteurs RH, la conformité risque de demeurer superficielle.
