Guide7 min de lecture

Peut-on utiliser l'IA pour recruter sans risque ?

Oui, si vous cadrez deux risques : le RGPD (les candidats sont des personnes concernées) et le biais. Coller un CV brut dans une IA grand public vous expose.

Par Pierre de ONYRI

Oui, on peut recruter avec l'IA, mais pas n'importe comment. Deux risques pèsent sur l'employeur. D'abord le RGPD : un candidat est une personne concernée, et son CV est plein de données personnelles. Ensuite le biais : le tri automatisé de candidatures peut reproduire des discriminations. L'EU AI Act classe même ce tri « à haut risque ». Coller des candidatures brutes dans une IA grand public vous expose sur les deux fronts. La parade tient en une règle : anonymisez les données candidats avant tout tri par l'IA.

Deux risques distincts pour l'employeur

Utiliser l'IA pour trier des CV n'est pas dangereux en soi. Mais deux risques se cumulent, et ils sont différents.

Le premier est le RGPD. Un CV contient un nom, un email, une adresse, un parcours. Ce sont des données personnelles. Le candidat est une personne concernée. Vous devez donc une base légale, de la transparence et une durée de conservation limitée. Coller une candidature dans un outil grand public envoie ces données hors de votre contrôle.

Le second est la discrimination. Un outil de tri apprend sur des données passées. Si ces données sont biaisées, l'outil reproduit le biais. C'est pourquoi le tri de candidatures est encadré de près.

L'EU AI Act classe le recrutement « à haut risque »

L'EU AI Act range l'IA de recrutement et de sélection dans la catégorie « haut risque ». C'est écrit noir sur blanc à l'Annexe III, point 4(a). Le texte vise les systèmes qui servent à publier des annonces ciblées, à analyser et filtrer des candidatures, et à évaluer les candidats. La gestion des salariés est aussi visée : promotion, licenciement, attribution des tâches, suivi de performance.

Ce statut « haut risque » déclenche des obligations. Analyse de risque, documentation technique, supervision humaine, transparence, et journalisation des logs. Ces obligations liées à l'emploi deviennent applicables le 2 août 2026 selon le calendrier de l'EU AI Act.

La supervision humaine est exigée. Une IA de recrutement ne doit pas décider seule d'un rejet ou d'une évaluation, sans qu'un humain qualifié soit dans la boucle. Attention : un recruteur qui relit la sortie de l'IA ne fait pas disparaître le statut « haut risque ». Si l'IA pèse vraiment sur l'accès au poste, le classement tient. Le RGPD ajoute un garde-fou. Son article 22 encadre les décisions fondées uniquement sur un traitement automatisé. Un rejet automatique de candidature entre en général dans ce cadre.

Ce n'est pas une crainte théorique

Le cas le plus connu vient d'Amazon. L'entreprise a construit un outil expérimental de tri de CV, dont le développement a démarré vers 2014. L'outil a appris à pénaliser les candidates. Pourquoi ? Il avait été entraîné sur une décennie de CV, largement dominée par des hommes.

Résultat concret : l'outil dévalorisait les CV contenant le mot « women's » et favorisait un langage masculin. Amazon n'a pas pu garantir que le système serait neutre. L'entreprise a abandonné le projet. C'est un exemple réel et documenté d'une IA de recrutement qui recopie le biais des données passées.

Les régulateurs ont pris le sujet en main. En novembre 2024, l'ICO britannique a publié les résultats d'audits d'outils d'IA de recrutement, menés entre août 2023 et mai 2024. Le régulateur a formulé près de 300 recommandations. Il a trouvé des outils qui collectaient bien plus de données que nécessaire et les gardaient sans limite. Certains déduisaient le genre ou l'origine à partir du nom d'un candidat. D'autres laissaient filtrer des candidats sur des caractéristiques protégées.

Schéma en deux temps : en haut, une candidature avec nom, email et adresse (ambre) entre brute dans un outil de tri IA, exposée ; en bas, la même candidature anonymisée n'envoie que des jetons (cobalt) au tri, validée par une coche.
D'après l'EU AI Act (Annexe III, point 4(a)) et l'ICO (« AI Tools in Recruitment: Audit Outcomes Report », novembre 2024). Cas Amazon rapporté par Reuters (Jeffrey Dastin, 2018) et MIT Technology Review.

La parade : anonymiser avant de trier

La règle est simple. Retirez les identifiants avant de coller une candidature dans une IA pour la résumer ou faire une présélection. Nom, coordonnées, adresse, et autres identifiants : tout ça sort du texte d'abord.

Cette étape sert deux fois. D'un côté, elle réduit les données personnelles qui quittent votre contrôle. De l'autre, elle enlève les signaux basés sur le nom. Or ce sont justement ces signaux que des outils utilisent pour deviner le genre ou l'origine, comme l'a montré l'ICO.

Sous le RGPD, l'employeur doit une base légale claire, comme l'intérêt légitime ou le consentement. Il doit être transparent sur le rôle de l'IA. Il doit appliquer la minimisation des données et des durées de conservation définies. Anonymiser ne remplace pas ces obligations, mais réduit fortement l'exposition.

  • Retirez nom, email, adresse et identifiants avant tout envoi à une IA de tri.
  • Gardez un humain qualifié qui décide vraiment du rejet ou de la présélection.
  • Fixez une base légale, une durée de conservation et une information claire du candidat.

Voici un ordre de marche simple pour cadrer le tri IA :

  1. 1Vérifiez que votre usage relève bien du « haut risque » (tri, filtrage ou évaluation de candidatures).
  2. 2Menez une analyse d'impact (DPIA) avant de démarrer le traitement.
  3. 3Anonymisez les candidatures avant de les envoyer à l'IA.
  4. 4Faites relire chaque décision majeure par un recruteur, et gardez les logs.
Vous pensezLa réalité
« Trier des CV avec l'IA, c'est un simple gain de temps »L'EU AI Act le classe « à haut risque » et impose des obligations
« Un recruteur relit, donc c'est couvert »La relecture n'enlève pas le statut « haut risque » si l'IA pèse sur l'accès au poste
« L'outil est neutre, c'est une machine »L'IA d'Amazon a pénalisé les candidates ; l'ICO a trouvé des déductions par le nom
« Le fournisseur gère la conformité »L'employeur reste responsable de traitement des données candidats
Les idées reçues côté recruteur, corrigées.

C'est précisément le rôle d'ONYRI Sanitize : le moteur remplace les données candidats par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur, et seul un texte anonymisé atteint le modèle. L'IA ne voit qu'un profil sans nom ni coordonnées — pas les informations réelles de vos candidats.

Questions fréquentes

Peut-on utiliser l'IA pour recruter sans risque ?
Oui, à condition de cadrer deux risques. Le RGPD d'abord : les candidats sont des personnes concernées, il faut une base légale, de la transparence et une durée de conservation. Le biais ensuite : le tri automatisé est classé « à haut risque » par l'EU AI Act. La parade est d'anonymiser les données candidats avant tout tri par l'IA.
Le tri de CV par l'IA est-il vraiment « à haut risque » ?
Oui. L'EU AI Act classe l'IA de recrutement et de sélection en « haut risque » à l'Annexe III, point 4(a). Sont visés : publication d'annonces ciblées, analyse et filtrage des candidatures, évaluation des candidats. Cela déclenche des obligations (analyse de risque, supervision humaine, transparence, logs) applicables le 2 août 2026.
Anonymiser les CV suffit-il pour être conforme ?
Non, mais cela réduit fortement l'exposition. Anonymiser retire les données personnelles qui quittent votre contrôle et supprime les signaux liés au nom utilisés pour déduire genre ou origine. Vous devez toujours une base légale, une supervision humaine, une information des candidats et une analyse d'impact avant un traitement à haut risque.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi