AI Act ATS : la check-list CNIL avant août 2026
AI Act applicable le 2 août 2026. La check-list en 7 points alignée sur le Q&R CNIL pour auditer votre ATS avant l'échéance.
2 août 2026. Dans un peu plus de trois mois, l'AI Act devient pleinement applicable aux systèmes d'IA utilisés dans le recrutement. Votre ATS est concerné, y compris si vous ne l'avez jamais considéré comme un outil d'IA. Le tri automatique de candidatures, la note d'appariement, le scoring de pertinence : tout cela rentre dans le périmètre. La CNIL vient de publier son premier Q&R sur le règlement. C'est court, dense, et ça fixe le cadre pratique.
Pourquoi la CNIL publie maintenant
Le Q&R CNIL arrive à trois mois de l'échéance. Ce n'est pas un hasard. L'autorité prépare ses contrôles et veut que les entreprises aient eu le temps de se mettre en conformité. Côté signal, la sanction de 5 millions d'euros infligée à France Travail en janvier 2026 pour défaut de sécurité a rappelé que la CNIL sanctionne désormais le secteur public aussi lourdement que le privé. L'idée d'une tolérance asymétrique a vécu.
L'AI Act ne remplace pas le RGPD. La CNIL le martèle : les deux règlements se cumulent. Un ATS qui traite des candidatures doit être conforme aux deux. Le DPIA reste obligatoire quand les conditions de l'article 35 RGPD sont réunies, l'AI Act ajoute son propre cadre par-dessus.
Annexe III : votre ATS est haut risque
Le règlement classe les systèmes d'IA selon quatre niveaux de risque. L'annexe III liste les usages à haut risque, et le point 4 cible directement l'emploi : recrutement, sélection, évaluation, diffusion d'annonces ciblées. Un ATS qui trie ou qui classe des candidats tombe dedans sans débat.
Dans le vocabulaire du texte, deux rôles se distinguent : le fournisseur (celui qui conçoit et met sur le marché) et le déployeur (celui qui utilise en production). Votre éditeur ATS est fournisseur. Vous, recruteur, êtes déployeur. Chacun a sa pile d'obligations. C'est comme un constructeur automobile et un conducteur : les deux répondent, chacun pour sa part.
La check-list en 7 points
Chaque point se vérifie auprès de votre éditeur. Demandez la preuve écrite, pas la promesse commerciale.
1. Classification haut risque assumée (annexe III, point 4) L'éditeur doit reconnaître explicitement que son système tombe dans le point 4 de l'annexe III. Si son argumentaire consiste à dire "notre IA n'est pas concernée", fuyez. Le texte ne laisse pas de marge interprétative sur le tri de candidatures.
2. Notice d'utilisation conforme (article 13) Le fournisseur doit livrer une notice claire : capacités, limites, types de données d'entrée attendues, niveau d'exactitude, interprétation des sorties. Pas un PDF marketing : un document technique lisible. Sans cette notice, vous ne pouvez pas exercer votre supervision humaine.
3. Supervision humaine opérationnelle (article 14) Vous devez pouvoir comprendre la sortie, la remettre en cause, l'ignorer, arrêter le système. L'éditeur doit documenter comment son interface permet cette supervision. Le biais d'automatisation est nommé dans le texte : un recruteur qui valide systématiquement ce que l'IA propose ne supervise pas.
4. Données d'entrée sous contrôle (article 26, paragraphe 4) Le déployeur garantit que les données d'entrée sont pertinentes et représentatives au regard de la finalité. Si votre ATS apprend sur vos historiques biaisés, vous devez le documenter et le corriger. Cela devient votre responsabilité, pas uniquement celle de l'éditeur.
5. Logs conservés six mois minimum (article 26, paragraphe 6) Les journaux d'activité générés automatiquement doivent être conservés au moins six mois, sauf obligation plus stricte. Vérifiez que votre éditeur produit ces logs, qu'ils vous sont accessibles, et que votre politique interne couvre leur conservation. C'est ce qui permettra de documenter une décision contestée.
6. Marquage CE et documentation technique (articles 16, 47, 48) Le fournisseur doit apposer le marquage CE et maintenir la documentation technique. Demandez la déclaration UE de conformité. Sans marquage CE, le système n'a pas le droit d'être mis sur le marché européen après le 2 août 2026 pour les usages de l'annexe III.
7. Information candidat et représentants du personnel (article 26, paragraphes 7 et 11) Deux obligations distinctes. Côté candidat, l'information que sa candidature passe par un système d'IA à haut risque doit être donnée avant traitement. Côté interne, les représentants du personnel et les salariés concernés doivent être informés avant la mise en service du système au travail. Ces deux mentions s'ajoutent aux obligations RGPD classiques, elles ne les remplacent pas.
Ce que le Q&R CNIL ne règle pas
Le Q&R pose le cadre, il ne détaille pas tout. La FRIA, analyse d'impact sur les droits fondamentaux prévue par l'article 27, n'est pas obligatoire pour le recrutement privé. Elle l'est pour les organismes publics et les services publics délégués. Si vous êtes une collectivité, un établissement public, ou un OPCO, vous y êtes. Le modèle officiel du Bureau IA européen est attendu avant l'échéance.
Côté RGPD, les obligations CNIL existantes restent en place : données adéquates, pertinentes, strictement nécessaires, rétention deux ans maximum en base active après dernier contact, information du candidat. L'AI Act ne supprime rien, il empile.
Ce qu'on vous conseille de faire cette semaine
Reprenez les 7 points ci-dessus, copiez-les dans un e-mail, et envoyez-les à votre éditeur ATS. Donnez-vous un délai de réponse à trois semaines. Ce qui ne reviendra pas écrit n'est pas acquis.
Chez JobAffinity, nous sommes éditeur français d'ATS, nous documentons notre conformité sur les 7 points. Nous hébergeons en France, notre IA tourne sur nos serveurs, et notre notice d'utilisation est accessible. Nous publierons d'ici juin notre fiche de conformité AI Act à destination de nos clients, pour que la case 2 de la check-list soit cochée sans délai. Si votre éditeur actuel vous oppose le silence ou le flou sur ces points, c'est probablement le bon moment pour comparer.
