IA et RGPD : nos conseils pour réaliser un recrutement éthique 

L’intelligence artificielle s’impose désormais dans les pratiques RH. Selon une étude de Gartner, plus de 35 % des entreprises européennes utilisent déjà des outils intégrant de l’’IA dans leurs processus de recrutement. Tri automatique des CV, scoring des candidats, matching de compétences, chatbots RH… Les cas d’usage se multiplient.

Mais cette automatisation soulève une question centrale pour les recruteurs : comment concilier IA et RGPD recrutement sans mettre en danger les droits des candidats ni la conformité légale de l’entreprise ? Aujourd’hui, toutes les entreprises utilisent un logiciel de recrutement, ils ont donc tous un ATS IA compatible. L’enjeu est majeur ! La protection des données des candidats est une donnée sensible qu’il faut protéger. 

IA et RGPD : que dit la loi ? 

L’utilisation de l’intelligence artificielle dans le recrutement n’est pas interdite. Elle est cependant strictement encadrée par le RGPD (Règlement Général sur la Protection des Données) et par des textes complémentaires européens. La protection des données est majeure et elle est très réglementée pour les entreprises. 

Le principe fondamental est simple : toute donnée personnelle traitée via un outil d’IA doit respecter les règles de protection, de transparence et de proportionnalité. Toute entreprise qui ne respecte pas cela peut être confronté à de fortes amendes.

Les principes RGPD applicables au recrutement

Dans un contexte de candidature, les données traitées peuvent être nombreuses :

• CV
• lettres de motivation
• résultats de tests
• données comportementales
• historiques d’échanges
• parfois données sensibles (indirectes)

Le RGPD impose plusieurs principes clés :

Principe de finalité : un usage strictement limité au recrutement

Le principe de finalité impose que les données des candidats soient collectées et utilisées uniquement pour un objectif clairement défini, légitime et explicite. Dans un contexte de recrutement avec IA, cela signifie que :

• les données servent exclusivement à l’évaluation des candidatures,
• les informations collectées ne peuvent pas être réutilisées à d’autres fins (marketing RH, prospection, formation interne…) sans base légale distincte,
• les finalités doivent être documentées dans le registre des traitements.

👉 Exemple courant de non-conformité : utiliser les données issues d’un outil d’analyse de CV pour alimenter un autre système interne sans en informer le candidat.

Principe de minimisation : limiter les données traitées par l’IA

Le RGPD impose de ne collecter que les données strictement nécessaires au processus de recrutement.

Avec l’IA, le risque est de multiplier les points d’analyse : données comportementales ; scores prédictifs ; métadonnées ; informations issues de tests ou de questionnaires automatisés.

Les recruteurs doivent donc se poser une question clé : cette donnée est-elle réellement utile à la décision de recrutement ?

Base légale du traitement : intérêt légitime ou consentement ?

Tout traitement de données personnelles doit reposer sur une base légale clairement identifiée. Dans le recrutement, deux bases sont principalement utilisées :

• l’intérêt légitime de l’entreprise à évaluer des candidatures, à condition de ne pas porter atteinte aux droits et libertés des personnes,
• le consentement, notamment lorsque des traitements spécifiques sont mis en œuvre (tests automatisés, analyse vidéo, scoring avancé).

⚠️ Attention : Le consentement doit être libre, éclairé et spécifique. Un simple dépôt de CV ne suffit pas toujours, surtout lorsque l’IA influence fortement la décision.

Durée de conservation limitée : ne pas stocker indéfiniment

Le principe de limitation de la durée de conservation est souvent mal appliqué en pratique. En règle générale :

• une candidature non retenue ne doit pas être conservée au-delà de 2 ans,
• sauf accord explicite du candidat pour une conservation plus longue.

Avec l’IA, ce point est critique, car : 

• les données peuvent être réutilisées pour entraîner des modèles,
• les historiques sont parfois conservés automatiquement par les outils.

Sécurité et confidentialité des données personnelles

Le RGPD impose aux entreprises de garantir la sécurité et la confidentialité des données. Dans un contexte d’IA recrutement, cela implique :  un hébergement sécurisé des données (idéalement dans l’UE); des accès limités aux seules personnes habilitées ; un chiffrement des données sensibles; une traçabilité des accès et des traitements.

La responsabilité ne repose pas uniquement sur l’éditeur de l’outil : le recruteur et l’entreprise restent responsables du traitement.

Principe de transparence : informer clairement les candidats

La transparence est un pilier central du RGPD dans le recrutement. Les candidats doivent être informés :

• de l’existence d’un traitement automatisé,
• du rôle joué par l’IA dans l’analyse de leur candidature,
• des critères généraux utilisés,
• de leurs droits (accès, rectification, opposition, effacement).

Cette information doit être : claire ; accessible ;compréhensible; fournie dès la collecte des données.

IA Act

L’IA Act, règlement européen sur l’intelligence artificielle, vient compléter le RGPD. Son objectif : classifier les systèmes d’IA selon leur niveau de risque. Les outils d’IA utilisés dans le recrutement, autrement dit les ATS sont classés comme des systèmes à haut risque. 

Cela implique pour les entreprises et les éditeurs de logiciels : 

• une documentation complète du modèle
• une traçabilité des décisions
• un contrôle humain obligatoire
• des tests de biais et de discrimination
• une information claire des utilisateurs

Pour les RH, cela signifie une responsabilité accrue dans le choix de la solution utilisée. Il faut donc évidemment vérifier que le logiciel de recrutement en question respecte les lois en matière de traitement des données. 

Que dit la CNIL ?

La CNIL (Commission Nationale de l’Informatique et des Libertés) est très claire sur le sujet. La protection des données en matière de recrutement est une donnée sensible que l’on doit protéger. 

Elle rappelle que :

• une décision automatisée ne peut pas être entièrement déléguée à une IA
• le recruteur doit garder un rôle actif
• le candidat doit être informé de l’usage de l’IA
• un droit d’opposition doit être possible

La CNIL insiste également sur la nécessité d’un contrôle humain effectif, notamment lorsque l’IA influence fortement la sélection ou l’élimination d’une candidature. Le recruteur doit donc garder la prise de décision et ne peut pas la déléguer à une IA. En plus de pouvoir provoquer des discriminations, cela peut empêcher l’entreprise de recruter le meilleur candidat. 

Des nouvelles lois bientôt en mesure ?

Oui, et c’est un point clé pour les DRH et RRH. En plus du RGPD et de l’IA Act, plusieurs textes sont en discussion ou en cours de mise en application : 

• Des normes européennes sur la transparence algorithmique
• Des obligations renforcées sur le choix de la décision prise par le recruteur
• L’ encadrement des modèles prédictifs RH 

L’objectif est clair : éviter les dérives liées à des systèmes IA qui pourraient produire des décisions discriminatoires ou injustifiables. Les entreprises doivent donc anticiper ces évolutions dès maintenant, notamment dans leurs processus de recrutement. Les services RH doivent garder un rôle de décision et surtout un aspect critique envers l’IA. C’est notamment pour cela que à l’heure actuelle deux types de profils ce dégagent : Ceux qui font déjà confiance à l’IA dans le recrutement et ceux qui ne l’utilisent pas du tout par peur des effets néfastes. 

Quels risquent encours les RH en cas de non-respect des lois ?

Le non-respect du RGPD et des règles liées à l’IA dans le recrutement expose l’entreprise à plusieurs risques majeurs. On peut en répertorier trois pour l’instant : 

 Les risques juridiques : 

Directement en lien avec les lois en vigueur, les entreprises qui ne respectent pas ces lois peuvent être juger et risques différentes sanctions : 

• Les sanctions financières (jusqu’à 20 millions d’euros ou 4 % du CA mondial)
• Une ou des mises en demeure de la CNIL
• Avoir des contentieux avec des candidats sur le traitement de leur donnée ou un jugement en raison d’une discrimination avérée 

Les risques humains 

Ce sont des risques liés aux candidats et au processus de recrutement. 

• Une perte de confiance des candidats
• Atteinte à la marque employeur : votre entreprise perd en attractivité auprès des candidats et vous êtes catalogués comme une entreprise qui ne respecte pas les candidats. 
• Sentiment d’injustice ou de discrimination : Une décision prise que par l’IA peut provoquer un rejet de l’entreprise voir des scandales liés aux traitements des données 

Les risques organisationnels

Ce sont des risques liés directement au cœur de l’entreprise.

• Blocage de certains outils
• Obligation de revoir tout le système de recrutement
• Perte de performance RH : moins de bons candidats, dépenses dans le recrutement… 

Les inconvénients de l’intelligence artificielle dans le recrutement

 Le risque de biais algorithmiques et de discrimination

L’intelligence artificielle repose sur des données historiques pour apprendre et produire des résultats. Si ces données sont biaisées, incomplètes ou peu représentatives, le modèle d’IA reproduira mécaniquement ces biais. Dans le recrutement, cela peut conduire à des discriminations indirectes, par exemple en défavorisant certains parcours, écoles, âges ou profils atypiques. Contrairement à un recruteur humain, un algorithme applique ses règles à grande échelle, ce qui amplifie les effets négatifs en cas d’erreur. Ce risque est particulièrement sensible au regard du cadre légal, car toute décision discriminatoire expose l’entreprise à des sanctions juridiques et à une atteinte à sa marque employeur.

Le manque de transparence des décisions prises par l’IA

De nombreux logiciels de recrutement avec IA, fonctionnent comme des « boîtes noires ». Le recruteur ne sait pas toujours sur quels critères précis l’algorithme s’appuie pour analyser une candidature ou attribuer un score à un candidat. Or, le RGPD impose une obligation de transparence et de capacité à expliquer les grandes logiques d’un traitement automatisé. En cas de contestation, l’entreprise doit être en mesure de justifier ses choix. Un manque d’explicabilité fragilise donc la conformité juridique et complique la gestion des droits des candidats.

Une dépendance excessive à l’outil au détriment du jugement humain

L’un des problèmes majeurs de l’utilisation de l’IA dans le processus de recrutement est la tentation de déléguer entièrement la décision à l’outil. En s’appuyant trop fortement sur des scores ou des recommandations automatisées, le recruteur peut perdre son esprit critique et son rôle d’évaluateur humain. Or, le principe même du recrutement repose sur l’analyse globale d’un profil, incluant la motivation, le potentiel et la compatibilité culturelle, éléments difficilement mesurables par une intelligence artificielle. Le RGPD et la CNIL rappellent d’ailleurs qu’une décision ayant un impact significatif ne peut pas être entièrement automatisée.

Une possible déshumanisation de l’expérience candidat

L’automatisation excessive du recrutement peut nuire à l’expérience vécue par les candidats. Réponses standardisées, interactions limitées, absence de feedback personnalisé : autant de pratiques qui peuvent générer frustration et sentiment d’exclusion. Dans un marché de l’emploi tendu, cette déshumanisation impacte directement l’image de l’entreprise. Or, l’IA doit rester un outil au service de l’humain, et non l’inverse. Un usage mal maîtrisé peut donc détériorer la relation candidat et affaiblir l’attractivité RH.

Des risques accrus en matière de protection des données personnelles

L’IA nécessite souvent le traitement de volumes importants de données personnelles, parfois sensibles ou indirectement identifiantes. Plus le système est complexe, plus les risques de faille de sécurité, de mauvaise configuration ou de non-respect des durées de conservation augmentent. En cas de manquement aux règles de protection des données, la responsabilité de l’entreprise est directement engagée, même si l’outil est fourni par un prestataire externe. La maîtrise des flux de données, des accès et de l’hébergement est donc un enjeu critique pour toute organisation utilisant l’IA dans le recrutement.

Les bonnes pratiques pour recruter avec l’IA de manière éthique 

Recruter avec l’IA n’est pas vraiment un problème. Il est normal d’évoluer avec son temps et de modifier les processus de recrutement d’une entreprise. Le problème réside plus dans la manière de faire. Voici quelques bonnes pratiques à suivre : 

1. Sélectionner un outil ATS qui est conforme aux normes françaises 

La base ! Beaucoup d’entreprises font confiance à des entreprises qui ne sont pas française et qui n’hébergent pas ces données en France. C’est un problème pour les différentes lois mises en vigueur mais également pour la confiance des entreprises qui confit leur données candidats. Les ATS français vont souvent avoir tendance à créer/gérer leur outil en fonction des lois européennes et françaises, il est donc normal de plus leurs faire confiance. Par exemple, chez Softy, la souveraineté des données est un point majeur. Les données sont hébergés en France dans des serveurs dédiés et l’IA est interne. 

2. La transparence des données : informer vos candidats ! 

Les candidats doivent être informés :

• de l’existence d’un traitement automatisé
• du rôle de l’intelligence artificielle dans l’analyse de leur candidature
• des grandes logiques utilisées
• de leurs droits (accès, rectification, opposition, effacement)

Cette information doit être claire, compréhensible et accessible dès la collecte des données.

Un candidat qui découvre après coup qu’une IA a influencé la décision peut contester la procédure. L’anticipation est donc essentielle.

3. Garder un contrôle humain 

Maintenir un contrôle humain réel et documenté est une exigence centrale du RGPD dans tout dispositif d’IA et RGPD recrutement. Une décision d’écarter un candidat ayant un impact significatif sur son accès à l’emploi ne peut pas être fondée exclusivement sur un traitement automatisé. Concrètement, l’intelligence artificielle doit servir d’outil d’aide à l’analyse, jamais de décideur autonome. Le recruteur doit comprendre les critères utilisés par le système, exercer un regard critique sur les résultats, pouvoir ajuster ou contester les recommandations du modèle artificiel, et assumer la décision finale. Ce contrôle doit être traçable et démontrable en cas de contrôle de la CNIL ou de contentieux. En combinant technologie et discernement humain, l’entreprise sécurise sa conformité, protège les droits des personnes et renforce la qualité de son processus de recrutement.

4. Former les recruteurs à une utilisation responsable de l’IA 

Former les recruteurs à l’utilisation responsable de l’IA est une condition indispensable pour garantir un recrutement éthique et conforme au RGPD. Un outil d’intelligence artificielle, aussi performant soit-il, ne remplace ni l’expertise métier ni le discernement humain. Les équipes RH doivent comprendre le fonctionnement général du système, les types de données personnelles traitées, les limites du modèle, ainsi que les risques de biais ou de décisions automatisées. Cette montée en compétence permet d’exercer un regard critique sur les analyses produites, d’éviter une confiance aveugle dans les scores algorithmiques et de préserver la qualité de la décision finale. Former les recruteurs, c’est aussi les sensibiliser aux enjeux de protection des données, de transparence vis-à-vis des candidats et de conformité juridique. En investissant dans l’accompagnement des équipes, l’entreprise sécurise son processus de recrutement et renforce la dimension humaine au cœur de sa stratégie RH.

Les avantages d’utiliser un logiciel de recrutement avec une IA éthique ? 

Voici les différents avantages d’utiliser un logiciel de recrutement avec de l’IA : 

• Un logiciel de recrutement intégrant une intelligence artificielle éthique permet de gagner du temps en automatisant le tri des candidatures sans supprimer le contrôle humain.
• Il structure le processus de recrutement grâce à des critères d’analyse formalisés et homogènes pour tous les candidats.
• Il renforce la conformité RGPD en assurant la traçabilité des traitements de données personnelles et des décisions prises.
• Il réduit certains biais humains en s’appuyant sur des critères objectifs définis en amont.
• Il améliore l’expérience candidat grâce à des délais de réponse plus courts et une communication plus fluide.
• Il sécurise l’entreprise face aux exigences de la CNIL et du cadre légal européen, notamment avec l’IA Act.
• Il facilite l’exercice des droits des candidats (accès, rectification, opposition) via un système centralisé et documenté.
• Il permet un pilotage RH basé sur la donnée, avec des indicateurs fiables pour orienter la décision stratégique.
• Il garantit un équilibre entre performance technologique et responsabilité humaine dans le recrutement.

FAQ : IA et RGPD

Est-ce que l’IA doit aider à la sélection d’un candidat ? 

Oui, l’intelligence artificielle peut et doit aider à la sélection d’un candidat, à condition qu’elle reste un outil d’aide à la décision et non un décideur autonome. Dans une logique IA et RGPD recrutement, son rôle est d’analyser des données objectives, des compétences, des expériences, correspondance avec les critères du poste, afin de structurer le processus et d’optimiser le travail du recruteur.

Cependant, le RGPD encadre strictement les décisions fondées exclusivement sur un traitement automatisé produisant un effet significatif, comme un refus de candidature. L’IA ne peut donc pas éliminer automatiquement un profil sans intervention humaine réelle. Le recruteur doit comprendre les critères utilisés par le modèle artificiel, pouvoir ajuster les recommandations et assumer la décision finale. Utilisée correctement, l’IA améliore l’objectivité et la rapidité du recrutement tout en renforçant la transparence et la conformité juridique. Utilisée sans contrôle, elle expose l’entreprise à des risques de discrimination, de non-respect des droits des candidats et de sanctions par la CNIL.

La bonne approche consiste donc à positionner l’IA comme un levier d’analyse et de priorisation, au service d’un recrutement plus structuré, plus équitable et toujours profondément humain.

IA et RGPD : Est-il important d’avoir des datas hébergés en France ?

Oui ! C’est un point assez essentiel quand on parle de recrutement et d’IA. Si vous choisissez un ATS pour recruter vos candidats, il est important de bien vérifier comment l’entreprise traite ses données et si l’IA est bien fermée.

Par exemple, le logiciel de recrutement Softy protège toutes ses données dans des serveurs fermés, gérés par les équipes techniques.