L'intelligence artificielle appliquée aux ressources humaines promet de raccourcir les processus de sélection, d'anticiper les départs volontaires et de personnaliser le développement professionnel. Mais c'est aussi l'un des domaines où la réglementation européenne est la plus stricte : le Règlement européen sur l'IA classe comme systèmes à haut risque ceux utilisés pour recruter, filtrer des candidatures, décider de promotions ou évaluer les performances. Tout projet d'IA en RH qui ignore ce cadre légal n'est pas seulement un risque éthique, mais une infraction susceptible de lourdes sanctions financières. Cet article explique ce que l'on peut faire aujourd'hui avec rigueur et quelles obligations l'accompagnent.
Analyse et présélection des candidatures
Le cas d'usage le plus répandu est le parsing et la classification de CV. Un système de traitement du langage naturel extrait de façon structurée l'expérience, la formation, les compétences et les langues, puis les évalue par rapport aux exigences du poste. Bien conçu, il économise des heures de lecture manuelle et permet à l'équipe de recrutement de consacrer son temps aux entretiens plutôt qu'à la présélection initiale. Mal conçu, il reproduit et amplifie les biais historiques.
L'exemple classique est celui d'un système entraîné sur les embauches passées d'une entreprise : si historiquement on a recruté surtout des hommes pour des profils techniques, le modèle apprend à pénaliser les signaux associés aux femmes (associations, universités féminines, certains mots-clés) même si le genre n'est pas une variable explicite. La leçon est claire : l'absence de la variable protégée ne garantit pas l'absence de discrimination, car le modèle peut l'inférer par corrélation. C'est pourquoi la présélection automatisée exige un audit des biais avant et pendant son utilisation, pas seulement au moment du déploiement.
Prédiction du turnover : utilité et limites
Les modèles de prédiction du turnover estiment la probabilité qu'une personne quitte l'entreprise dans un horizon donné, en combinant des signaux tels que l'ancienneté, l'évolution salariale, les résultats d'enquêtes de satisfaction ou les changements d'équipe. Leur valeur réside dans l'agrégé : détecter qu'un département particulier présente un risque élevé permet d'agir sur les causes (charge de travail, promotion, leadership) avant de perdre des talents. Leur limite réside dans l'individuel : utiliser un score de « risque de départ » pour prendre des décisions concernant une personne précise est délicat tant sur le plan éthique que légal, et peut devenir une prophétie autoréalisatrice.
Il convient par ailleurs de rappeler que ces modèles prédisent une corrélation, non une cause. Qu'une variable soit associée au turnover ne signifie pas qu'en agissant sur elle on réduira les départs ; elle peut n'être qu'un symptôme. C'est pourquoi un usage responsable de la prédiction du turnover est diagnostique : orienter les investigations sur les causes réelles via des entretiens, des analyses de satisfaction et la revue des politiques de promotion et de rémunération, sans substituer ce travail par un score automatique appliqué aux personnes.
Développement et formation personnalisée des talents
Au-delà du recrutement et de la fidélisation, l'IA apporte de la valeur dans le développement professionnel avec une moindre exposition réglementaire, car son objectif est d'élargir les opportunités plutôt que de filtrer les personnes. Les systèmes de recommandation de parcours de formation suggèrent des cours et des expériences en fonction des compétences actuelles et de celles requises pour un poste cible, aidant à combler les lacunes de manière individualisée. La cartographie des compétences internes permet à l'organisation de connaître ce que ses employés savent réellement faire et de localiser des talents pour des projets sans toujours recourir au recrutement externe. Et la mobilité interne bénéficie de moteurs qui connectent les employés avec des postes internes adaptés à leur profil, conservant ainsi les connaissances dans la maison. Même s'il s'agit d'un domaine moins sensible que le recrutement, il exige toujours de la transparence : la personne doit comprendre pourquoi une recommandation lui est faite et conserver la liberté de décider de sa propre trajectoire.
Le cadre légal : AI Act et RGPD
Deux règlements européens gouvernent ces systèmes et doivent être lus conjointement :
- Règlement sur l'IA (AI Act, Règlement UE 2024/1689) : classe les systèmes de sélection et de gestion du personnel comme étant à haut risque. Cela impose une gestion des risques documentée, une gouvernance des données d'entraînement, un registre d'activité (traçabilité), de la transparence vis-à-vis des personnes concernées, une supervision humaine effective et des niveaux adéquats de précision et de robustesse.
- RGPD (Règlement UE 2016/679) : son article 22 reconnaît le droit de ne pas faire l'objet de décisions basées uniquement sur des traitements automatisés produisant des effets juridiques ou significatifs, sauf exceptions encadrées et avec des garanties. Il exige en outre une base légale pour le traitement, la minimisation des données, une analyse d'impact (AIPD) lorsque le risque est élevé, et des droits d'information, d'accès et d'opposition.
En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) a publié des orientations spécifiques sur l'utilisation de l'IA et la prise de décision automatisée qu'il convient de suivre. La conséquence pratique est qu'un processus de recrutement avec IA doit pouvoir être expliqué, audité et, surtout, maintenir une intervention humaine qui ne soit pas un simple contrôle formel de ce que l'algorithme a déjà décidé.
À ce cadre s'ajoute la norme de gestion ISO/IEC 42001, premier standard international de système de management de l'intelligence artificielle, qui offre une structure pour gouverner le cycle de vie de ces systèmes avec des politiques, une évaluation des risques, un contrôle des fournisseurs et un audit. Elle ne remplace pas la conformité légale, mais fournit l'échafaudage organisationnel qui démontre la diligence : elle définit les rôles, la documentation et les révisions périodiques qui s'alignent avec les exigences de l'AI Act. Pour un département RH, l'adopter revient à traiter l'IA avec le même sérieux de processus que celui déjà appliqué à la sécurité de l'information.
Biais algorithmique : comment le détecter et le réduire
L'équité d'un système ne se déclare pas, elle se mesure. Il existe des métriques formelles qui quantifient le traitement des différents groupes : la parité démographique compare le taux de sélection entre les groupes protégés ; l'égalité des chances compare le taux de réussite entre candidats également qualifiés ; et l'impact disparate alerte quand le taux de sélection d'un groupe tombe en dessous d'un seuil par rapport au groupe favorisé. Ces métriques peuvent entrer en conflit entre elles, de sorte que l'organisation doit choisir et justifier laquelle elle priorise selon le contexte. La réduction des biais intervient à trois moments : avant l'entraînement (en rééquilibrant les données et en éliminant les variables proxy des caractéristiques protégées), pendant (avec des contraintes d'équité dans l'algorithme lui-même) et après (en ajustant les seuils par groupe ou en réordonnant les résultats). Rien de tout cela n'est un contrôle ponctuel : le biais peut réapparaître lorsque les caractéristiques des candidats changent ou que le modèle est réentraîné, l'audit doit donc être périodique et documenté.
Comparatif : sélection manuelle face à sélection assistée par IA
| Dimension | Processus manuel | Processus assisté par IA (bien gouverné) |
|---|---|---|
| Temps de présélection initiale | Élevé, dépend du volume | Réduit lors de la phase de filtrage |
| Cohérence des critères | Variable selon les évaluateurs | Homogène, critères explicites |
| Risque de biais | Biais humain difficile à mesurer | Biais mesurable et auditable, mais amplifiable |
| Traçabilité de la décision | Faible, dépend des notes | Élevée si chaque étape est enregistrée |
| Exigence réglementaire | Générale (RGPD) | Élevée (RGPD + AI Act, AIPD, supervision humaine) |
Mise en œuvre responsable étape par étape
Un déploiement défendable suit une séquence : (1) définir l'objectif et vérifier si le système entre dans la catégorie à haut risque de l'AI Act ; (2) réaliser l'analyse d'impact sur la protection des données (AIPD) avant de traiter des données réelles ; (3) gouverner les données d'entraînement, en documentant leur origine, leur représentativité et l'élimination des variables proxy des caractéristiques protégées ; (4) auditer les biais avec des métriques d'équité par groupes avant de mettre le modèle en production et de façon périodique ensuite ; (5) garantir une supervision humaine réelle, où le recruteur puisse annuler et justifier la recommandation ; (6) informer les candidats qu'il existe un traitement automatisé et de sa logique générale ; et (7) enregistrer et surveiller chaque décision pour pouvoir l'auditer.
Erreurs courantes
La première est d'acheter un outil « de sélection avec IA » en boîte noire sans exiger de documentation sur la façon dont il a été entraîné ni de preuve d'audit de biais : la responsabilité légale incombe à l'entreprise qui l'utilise, pas uniquement au fournisseur. La deuxième est de confondre « supprimer le genre de la donnée » avec « éliminer le biais », en ignorant les variables proxy. La troisième est de présenter comme « supervision humaine » un processus où la personne se contente d'accepter le classement de l'algorithme sans capacité ni temps réel de le remettre en question. La quatrième est d'utiliser la prédiction du turnover pour pénaliser des employés individuels. Et la cinquième, d'omettre l'AIPD en la considérant comme une formalité administrative, alors qu'elle est précisément ce qui démontre la diligence face à l'autorité de contrôle.
Questions fréquentes
L'IA peut-elle décider seule qui embaucher ? Non de façon licite en pratique. L'article 22 du RGPD restreint les décisions basées uniquement sur un traitement automatisé avec des effets significatifs, et l'AI Act exige une supervision humaine effective. L'IA recommande et assiste ; la décision reste à la charge d'une personne.
Que signifie que ces systèmes soient « à haut risque » ? Que l'AI Act leur impose des obligations renforcées : gestion des risques, qualité des données, documentation technique, traçabilité, transparence, supervision humaine et robustesse, soumises à une évaluation de conformité.
Ai-je besoin d'une analyse d'impact ? Oui, lorsque le traitement comporte un risque élevé pour les droits des personnes, comme c'est souvent le cas lors du profilage de candidats à grande échelle. L'AIPD doit être réalisée avant de commencer le traitement.
Comment démontrer que mon système ne discrimine pas ? En documentant les données d'entraînement, en mesurant des métriques d'équité par groupes protégés de façon périodique, en conservant le registre des décisions et en maintenant une voie de révision humaine avec la capacité réelle de corriger le résultat.
Conclusion
L'IA en ressources humaines n'est pas une question de capacité technique, mais de gouvernance. La technologie pour lire des CV, structurer des compétences ou estimer des risques de turnover est mature ; ce qui sépare un projet solide d'un problème juridique, c'est la conception autour de trois piliers : une supervision humaine qui décide véritablement, un audit continu des biais et une traçabilité permettant d'expliquer chaque décision à un candidat ou à l'autorité de contrôle. Dans le cadre de l'AI Act et du RGPD, la bonne question n'est pas « que peut faire le modèle ? », mais « puis-je justifier, à qui me le demanderait, chaque recommandation qu'il a produite ? ». Chez Summum Inteligencia Artificial, nous concevons ces systèmes en partant de cette obligation, et non en l'ajoutant à la fin.