IA en RH et AI Act août 2026 : guide PME et ETI
En 2026, l'intelligence artificielle n'est plus une option dans les processus RH : 52 % des DRH se déclarent en retard sur le sujet (WTW 2025). Pour les PME et ETI françaises, le déploiement d'outils IA RH — tri de CV, scoring de candidats, évaluation de performances, mesure de l'engagement — bascule en 2026 dans un cadre juridique strict : l'AI Act. Cet article fait le point — sources légales à l'appui — sur le calendrier, les obligations, les sanctions et le plan de conformité applicable.
Qu'est-ce que l'AI Act et pourquoi l'IA RH est-elle concernée ?
L'Artificial Intelligence Act (règlement UE 2024/1689) est le premier cadre juridique horizontal européen sur l'IA. Il s'applique à toutes les entreprises qui développent ou utilisent des systèmes d'IA sur le marché européen, quelle que soit leur taille.
En matière RH, le règlement vise spécifiquement les systèmes utilisés pour le recrutement et la sélection, l'évaluation des performances, la répartition des tâches, la surveillance et le contrôle des salariés.
Quelle est la situation réglementaire au 15 mai 2026 ?
Deux scénarios à anticiper
| Date | Statut | Source |
|---|---|---|
| 2 août 2026 | Date légale officielle, en vigueur | Art. 113 règlement UE 2024/1689 |
| 2 décembre 2027 | Report proposé par le Digital Omnibus — non publié au JO UE | Accord politique provisoire Conseil/Parlement du 7 mai 2026 |
Quel est le calendrier officiel d'application de l'AI Act ?
Calendrier officiel AI Act — Règlement UE 2024/1689
| Date | Étape | Concerne |
|---|---|---|
| 1ᵉʳ août 2024 | Entrée en vigueur du règlement | Toutes entreprises UE |
| 2 février 2025 | Pratiques interdites + formation art. 4 | Tous déployeurs et fournisseurs |
| 2 août 2025 | Obligations modèles GPAI (ChatGPT, Claude, Gemini, Mistral) | Fournisseurs GPAI |
| 2 août 2026 | Obligations systèmes haut risque (Annexe III) | Déployeurs IA RH, scoring… |
| 2 août 2027 | Modèles GPAI antérieurs à août 2025 | Fournisseurs antérieurs |
Pourquoi l'IA RH est-elle classée à haut risque (Annexe III) ?
Selon l'Annexe III du règlement UE 2024/1689, les 8 domaines à haut risque sont :
- Biométrie
- Infrastructures critiques
- Éducation et formation professionnelle
- Emploi, gestion des travailleurs, accès à l'emploi non-salarié
- Accès aux services privés essentiels et aux services publics essentiels
- Répression
- Migration, asile, contrôle aux frontières
- Administration de la justice et processus démocratiques
En RH, sont concernés les systèmes d'IA utilisés pour : recrutement et sélection, évaluation des performances, décisions de promotion ou de licenciement, répartition des tâches, surveillance et contrôle des salariés.
Quelles sont les obligations du déployeur PME et ETI ?
L'AI Act distingue deux rôles principaux : le fournisseur (qui développe et met sur le marché le système d'IA) et le déployeur (qui l'utilise dans le cadre d'une activité professionnelle). La grande majorité des PME sont déployeurs — elles intègrent un SaaS, une API ou un module IA, sans développer le modèle.
Les 6 obligations principales du déployeur (Art. 26 du règlement)
- Supervision humaine effective : un humain doit pouvoir intervenir, ignorer, contredire ou écraser la décision automatisée
- Conservation des logs automatiquement générés par le système, pendant la durée appropriée
- Information des personnes concernées (salariés, candidats) sur l'usage, la finalité et les traitements automatisés
- Information du CSE et représentants du personnel en cas de modification des conditions de travail (Art. L.2312-38 du Code du travail)
- Évaluation d'impact sur les droits fondamentaux (FRIA) — obligatoire pour le secteur public, recommandée dans le secteur privé
- Surveillance post-déploiement et signalement des incidents graves au fournisseur
La formation à l'IA est-elle déjà obligatoire en 2026 ?
La formation doit être proportionnée aux fonctions des collaborateurs et à l'usage des systèmes d'IA. Pour une PME ou ETI utilisant un outil IA en RH, cela implique de former : les DRH et RRH, les managers utilisateurs, les recruteurs et plus largement toute personne susceptible d'interpréter ou d'agir sur la base d'une sortie produite par l'IA.
Comment articuler AI Act, RGPD et Code du travail ?
Trois cadres juridiques à articuler
| Cadre | Objet | Référence |
|---|---|---|
| RGPD | Protection des données personnelles, registre, PIA, minimisation | Règlement UE 2016/679 |
| AI Act | Encadrement des systèmes d'IA selon 4 niveaux de risque | Règlement UE 2024/1689 |
| Code du travail FR | Consultation CSE, santé physique et mentale, dialogue social | Art. L.2312-38 · L.4121-1 |
Pour aller plus loin
DUERP 2026 — RPS et automatisation IA Sécurité et conformité RGPD ANI QVCT 2023 — obligations légalesQuelles sanctions en cas de non-conformité ?
Sanctions AI Act — Article 99 du règlement UE 2024/1689
| Manquement | Sanction maximale | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 · §3 |
| Non-conformité système haut risque (Art. 16, 22-27) | 15 M€ ou 3 % du CA mondial | Art. 99 · §4 |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 · §5 |
Comment se mettre en conformité en 6 étapes ?
Étape 1 — Inventaire des systèmes IA utilisés en RH
Recenser tous les outils utilisant de l'IA : tri de CV, scoring, chatbot RH, mesure d'engagement, détection de signaux faibles, planification automatique. Inclure SaaS, modules IA intégrés au SIRH, API.
Étape 2 — Classification selon les 4 niveaux de risque
Confronter chaque outil à l'Annexe III du règlement. Les outils d'évaluation, de sélection ou de surveillance des salariés relèvent du haut risque par défaut.
Étape 3 — Documentation DPIA RGPD et FRIA AI Act
S'appuyer sur la PIA RGPD existante (CNIL) et la compléter par une évaluation d'impact sur les droits fondamentaux (FRIA) — obligatoire dans le secteur public, fortement recommandée dans le privé.
Étape 4 — Supervision humaine et conservation des logs
Mettre en place une supervision humaine effective (un humain peut écraser la décision IA) et conserver les logs automatiquement générés par le système (Art. 26 du règlement).
Étape 5 — Information du CSE et des salariés
Consulter le CSE en amont du déploiement (Art. L.2312-38 du Code du travail), informer les salariés et candidats sur l'usage de l'IA, la finalité et les traitements automatisés.
Étape 6 — Surveillance post-déploiement et signalement
Mettre en place un suivi continu du système, identifier les biais et incidents, signaler les incidents graves au fournisseur et, le cas échéant, à l'autorité nationale compétente (en France : CNIL).
Comment Humans Board aide-t-il les PME et ETI à se conformer ?
Pourquoi Humans Board limite le niveau de risque AI Act
- Analyse agrégée uniquement : aucun scoring individuel exposé, l'IA n'évalue pas un salarié nommément
- Anonymat techniquement non contournable : les managers ne reçoivent que des tendances d'équipe
- IA souveraine française hébergée en France, aucun transfert hors UE
- Supervision humaine native : chaque alerte est revue par le manager, jamais automatisée seule
- Logs accessibles : journalisation conforme aux exigences de l'Art. 26 du règlement
Pour aller plus loin
Sécurité et conformité RGPD complète Détection des signaux faibles RH par IA souveraine Devenir entreprise pilote Humans BoardQuestions fréquentes
L'AI Act s'applique-t-il aux PME françaises qui utilisent simplement un logiciel RH avec IA ?
Oui. Une PME qui utilise un logiciel RH alimenté par l'IA — tri de CV, scoring, évaluation — est un déployeur au sens du règlement. Les obligations s'appliquent, même si la PME n'a pas développé le modèle. La conformité RGPD existante est une base utile.
Que se passe-t-il si le Digital Omnibus reporte les obligations haut risque au 2 décembre 2027 ?
L'accord politique provisoire du 7 mai 2026 propose ce report. Tant qu'il n'est pas publié au Journal officiel de l'Union européenne, la date légale de référence reste le 2 août 2026. Les entreprises prudentes se préparent sur cette base, sans attendre.
Quelle est la différence entre un fournisseur et un déployeur ?
Le fournisseur développe et met sur le marché le système d'IA. Le déployeur l'utilise dans le cadre d'une activité professionnelle. La grande majorité des PME et ETI sont déployeurs : elles intègrent un SaaS ou une API sans développer le modèle.
L'obligation de formation à l'IA (Art. 4) est-elle applicable même sans système haut risque ?
Oui. L'article 4 du règlement impose une obligation générale de formation à l'IA pour le personnel des entreprises déployant ou fournissant des systèmes d'IA, quelle que soit la catégorie de risque. Cette obligation est entrée en vigueur le 2 février 2025.
Faut-il consulter le CSE avant de déployer un outil IA RH ?
Oui pour les entreprises de 50 salariés et plus. L'article L.2312-38 du Code du travail impose la consultation préalable du CSE pour tout projet modifiant l'organisation, les conditions de travail ou les méthodes d'évaluation des salariés.
Quelles sanctions risque une ETI en cas de non-conformité haut risque ?
Selon l'article 99 §4 du règlement, jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les PME et startups, le montant le plus faible peut être retenu (Art. 99 §6).
Humans Board est-il conforme AI Act ?
Humans Board est conçu compatible AI Act par défaut : analyse agrégée uniquement (pas de scoring individuel), anonymat technique, IA souveraine française hébergée en France, supervision humaine native, logs accessibles. Conforme RGPD et ANI QVCT 2023.
Diagnostic gratuit en 30 minutes avec le fondateur — sans engagement
🚀 Devenir entreprise pilote Humans Board
Vous préférez démarrer par l'audit absentéisme ?
📊 Calculer le coût de mon absentéisme
Sources primaires : EUR-Lex — Règlement UE 2024/1689 (AI Act) · Service-Public.gouv.fr — AI Act : quels changements pour les entreprises · CNIL — IA et RGPD · Légifrance — Code du travail Art. L.2312-38 et L.4121-1 · Article 113 du règlement UE 2024/1689 (calendrier) · Article 99 (sanctions) · Article 26 (obligations déployeur) · Article 4 (formation) · Annexe III (8 domaines haut risque) · Accord politique provisoire Conseil/Parlement UE du 7 mai 2026 (paquet Digital Omnibus, non publié au JO UE au 15 mai 2026)