IA et recrutement : ce que le RGPD impose vraiment aux recruteurs
L'IA trie les CV et classe les candidats, mais le RGPD encadre tout : minimisation, revue humaine (art. 22), IA Act haut risque. Le guide recruteur.
La réponse courte : oui, l'IA peut vous aider à recruter, mais le RGPD encadre chaque étape. Un CV est une donnée personnelle. Certaines infos sont même sensibles, comme la santé ou l'origine. Le RGPD impose la minimisation des données (article 5). Ne donnez à l'IA que le strict nécessaire. L'article 22 encadre les décisions 100 % automatisées. Un rejet décidé par la seule machine peut être illégal sans revue humaine. L'EU AI Act classe le recrutement par IA en « haut risque ». Et coller un CV dans une IA grand public ajoute un risque de rétention. La parade tient en trois mots : minimiser, anonymiser, garder un humain dans la boucle.
Un CV est une donnée personnelle (et parfois sensible)
Un CV concentre des données personnelles. Nom, coordonnées, parcours, parfois une photo. Certaines informations vont plus loin. La santé, l'origine ethnique déduite d'un suivi diversité, les opinions. Le RGPD les qualifie de « catégories particulières » (article 9). Elles exigent une condition légale renforcée. Le RGPD pose aussi la minimisation des données (article 5, alinéa 1c). Vous ne traitez que les données adéquates, pertinentes et limitées au besoin réel du poste. Cette règle vaut pour vous. Elle vaut aussi pour toute IA que vous utilisez.
Concrètement, plusieurs devoirs du RGPD se cumulent dès la première candidature reçue.
- Une base légale pour traiter les candidatures (article 6).
- Une condition supplémentaire pour les données sensibles (article 9).
- La minimisation : seulement les données utiles au poste (article 5).
- La transparence : dire au candidat que l'IA intervient (articles 13 et 14).
Décision automatisée : ce qu'exige l'article 22
L'article 22 du RGPD vise un cas précis. Les décisions fondées uniquement sur un traitement automatisé. Et qui produisent un effet juridique ou important. Un rejet ou un classement qui scelle une candidature peut entrer dans ce cadre. Quand il s'applique, le candidat a des droits. Être informé. Obtenir une intervention humaine réelle. Donner son point de vue. Contester la décision.
La portée de l'article 22 reste étroite et discutée. Si un recruteur relit vraiment le résultat et peut le corriger, la décision sort souvent du champ. Mais l'humain dans la boucle doit être réel. Pas un simple tampon. La justice européenne et les régulateurs lisent l'article 22 largement. Un rejet 100 % automatique, sans revue, peut donc être illégal.
L'EU AI Act classe le recrutement en haut risque
L'EU AI Act, le règlement européen sur l'intelligence artificielle, va dans le même sens. Il classe les systèmes d'IA de recrutement et de sélection en « haut risque » (annexe III). Cela couvre le ciblage d'offres, le filtrage des candidatures et l'évaluation des candidats. Le haut risque déclenche des obligations. Gestion des risques, gouvernance des données, supervision humaine, transparence, traçabilité. Ces obligations montent en charge par étapes, autour de 2026-2027.
Un point de périmètre s'impose. L'EU AI Act s'applique dans l'UE et l'EEE. Il ne s'applique pas directement au Royaume-Uni. Là-bas, c'est le UK GDPR et le Data Protection Act 2018 qui régissent le sujet, sous le contrôle de l'ICO. Côté français, la CNIL est l'autorité de référence sur l'emploi et le recrutement.
| Obligation | Ce que ça implique concrètement |
|---|---|
| Minimisation (RGPD art. 5) | Ne donner à l'IA que les données utiles au poste |
| Base légale (RGPD art. 6 et 9) | Justifier le traitement, condition renforcée pour le sensible |
| Décision automatisée (RGPD art. 22) | Revue humaine réelle avant tout rejet important |
| Transparence (RGPD art. 13 et 14) | Dire au candidat que l'IA intervient dans le tri |
| Haut risque (EU AI Act, annexe III) | Gestion des risques, supervision, traçabilité |
Ce que l'ICO a trouvé en auditant les outils
En novembre 2024, l'ICO a publié le bilan d'audits volontaires d'outils d'IA de recrutement. Il a émis près de 300 recommandations. Le constat est parlant. Certains outils collectaient bien plus de données que nécessaire. D'autres les gardaient sans limite de durée. Certains permettaient de filtrer les candidats selon des caractéristiques protégées. D'autres déduisaient le genre ou l'origine à partir du nom, au lieu de demander.
Les recommandations clés de l'ICO tiennent en quelques lignes. Équité, transparence et explicabilité. Une revue humaine réelle des sorties de l'IA, pour rattraper biais et erreurs. Minimiser et traiter les données légalement. Et réaliser une analyse d'impact (une DPIA, Data Protection Impact Assessment) avant de déployer l'outil, pas après.
Le piège de l'IA grand public
Coller un CV dans une IA grand public ajoute un second risque. Au-delà de la décision de tri elle-même. Les données du candidat peuvent être retenues. Relues par du personnel. Ou utilisées pour entraîner les modèles du fournisseur, selon les réglages par défaut. C'est un traitement que le recruteur n'a souvent pas déclaré au candidat. Et pour lequel il n'a pas de base légale.
Un dossier récent illustre ce risque. En 2024, l'autorité italienne (le Garante) a infligé 15 millions d'euros à OpenAI, sur l'entraînement et la transparence de ChatGPT. En mars 2026, un tribunal de Rome a annulé l'amende. Mais sur un motif de compétence, pas sur le fond. La question de fond reste ouverte. Le cas vise l'entraînement des modèles, pas le recrutement. Il rappelle simplement pourquoi les données candidats ne doivent pas partir en clair.
La parade : minimiser, anonymiser, garder l'humain
La bonne nouvelle : l'IA reste un outil utile pour recruter. Elle peut rédiger une offre. Résumer une lettre de motivation. Comparer des compétences. Pour cela, elle n'a pas besoin de l'identité du candidat. Retirez les identifiants directs avant le prompt. Donnez au modèle la seule matière utile à la tâche.
Quand vous devez traiter un vrai CV, anonymisez d'abord. Remplacez le nom, les coordonnées et les identifiants par des jetons. L'IA raisonne alors sur les compétences, jamais sur l'identité. Vous restaurez les vraies valeurs ensuite, en local. Et vous gardez un humain pour la décision finale.
- 1Minimisez : ne traitez que les données utiles au poste.
- 2Anonymisez les identifiants directs avant tout prompt.
- 3Gardez un humain qui peut relire et renverser le tri.
- 4Dites au candidat que l'IA intervient dans le processus.
- 5Réalisez une analyse d'impact (DPIA) avant de déployer.
- 6Vérifiez que l'outil n'entraîne pas ses modèles sur vos données.
C'est le rôle d'ONYRI Sanitize. Le moteur repère les données sensibles d'un CV — nom, coordonnées, identifiants — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA n'y voit que des jetons, jamais l'identité réelle du candidat. Vous tenez la minimisation exigée par le RGPD, et vous gardez un humain pour la décision finale.
Questions fréquentes
- L'IA de recrutement est-elle conforme au RGPD ?
- Elle peut l'être, sous conditions. Un CV est une donnée personnelle. Le RGPD impose la minimisation (article 5), une base légale et la transparence. L'article 22 exige une revue humaine réelle avant un rejet automatisé important. L'EU AI Act classe le recrutement par IA en haut risque. La bonne pratique : minimiser, anonymiser les identifiants, garder un humain dans la boucle et réaliser une DPIA.
- Un rejet de candidature décidé par une IA est-il légal ?
- Pas s'il est 100 % automatique et sans garde-fou. L'article 22 du RGPD encadre les décisions fondées uniquement sur un traitement automatisé avec effet important. Un rejet de candidature peut entrer dans ce cadre. Le candidat a droit à une intervention humaine, à donner son avis et à contester. Une revue humaine réelle — pas un simple tampon — est le garde-fou.
- Peut-on coller un CV dans ChatGPT pour le trier ?
- Mieux vaut l'éviter en clair. Les données du candidat peuvent être retenues, relues ou utilisées pour l'entraînement, selon les réglages par défaut. C'est un traitement souvent non déclaré au candidat. L'ICO a d'ailleurs pointé la sur-collecte et la rétention sans limite. Anonymisez les identifiants avant l'envoi, et utilisez des outils aux conditions adaptées.
Sources et références
- Règlement général sur la protection des données (UE 2016/679) — minimisation (art. 5) et décision individuelle automatisée (art. 22) — EUR-Lex (Office des publications de l'Union européenne)
- Règlement (UE) 2024/1689 sur l'intelligence artificielle — l'annexe III classe l'IA de recrutement et de sélection en haut risque — EUR-Lex (Office des publications de l'Union européenne)
- L'intervention de l'ICO sur les outils d'IA de recrutement améliore la protection des candidats (bilan d'audits, novembre 2024) — Information Commissioner's Office (ICO)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt