L'IA s'invite dans le tri des candidatures, la notation des entretiens ou le suivi de la performance. Le règlement européen sur l'IA (AI Act) considère la plupart de ces usages RH comme « à haut risque » — et fait peser des obligations spécifiques sur l'employeur qui les déploie, en plus de celles qui pèsent sur l'éditeur du logiciel. Cet article donne des repères ; il ne remplace pas l'avis de votre DPO ou de votre conseil juridique.

Pourquoi les RH sont en plein dans le périmètre

L'AI Act classe les systèmes d'IA par niveau de risque. La catégorie « haut risque » vise notamment les décisions qui affectent directement les droits des personnes — et l'emploi y figure explicitement. Or les RH sont précisément le domaine où l'IA touche à l'accès à un poste, à la rémunération et au parcours professionnel d'un individu.

Autrement dit, il ne s'agit pas d'un cas marginal réservé aux grands groupes technologiques. Dès qu'un employeur utilise un outil qui filtre des CV, classe des candidats ou score la performance, il entre dans le champ, quelle que soit sa taille. La question n'est plus « suis-je concerné ? » mais « comment je documente que l'usage est maîtrisé ? ». C'est la même logique de preuve que celle du RGPD, que nous détaillons dans notre guide sur le logiciel RH conforme au Luxembourg.

Un piège fréquent : croire qu'un outil échappe à l'AI Act parce qu'il ne s'affiche pas comme « intelligence artificielle ». Un module de tri de candidatures présenté comme une simple fonction de « matching » relève tout autant du texte s'il oriente une décision d'embauche. À l'inverse, un employeur peut être déployeur sans le savoir : c'est le cas quand une brique d'IA est enfouie dans une suite RH généraliste. Cartographier les usages réels de l'IA dans vos processus RH est donc le premier réflexe utile, avant même de parler de conformité.

L'IA à haut risque dans l'emploi

L'annexe qui liste les systèmes à haut risque inclut, pour le domaine emploi et gestion des travailleurs, les usages destinés à :

  • Recrutement et sélection. Publication ciblée d'offres, filtrage ou tri de candidatures, évaluation des candidats lors d'entretiens ou de tests.
  • Décisions sur la relation de travail. Attribution des tâches, promotion, cessation de la relation, sur la base de données personnelles.
  • Évaluation et suivi. Notation de la performance, du comportement ou des caractéristiques individuelles, y compris le monitoring.

Le point commun : dans tous ces cas, la sortie du système influence une décision humaine importante pour le salarié. C'est ce qui justifie un niveau d'exigence élevé. À l'inverse, un usage purement bureautique — un assistant qui reformule une offre déjà rédigée, sans décider de rien — n'a pas la même portée. La qualification dépend de la finalité réelle, pas du nom commercial de l'outil.

« Un système d'IA n'est pas “à haut risque” par sa technologie, mais par ce qu'il décide. En RH, la sortie de l'algorithme pèse sur la carrière d'une personne — c'est ce qui déclenche les obligations. »

Équipe produit Luxapps

Les obligations de l'employeur (déployeur)

L'AI Act distingue le fournisseur (qui conçoit le système) et le déployeur (qui l'utilise). L'employeur est généralement un déployeur. À ce titre, plusieurs obligations lui incombent — en plus, et non à la place, de celles de l'éditeur :

  1. Supervision humaine effective. Le système doit rester sous contrôle humain. Une décision RH importante ne peut pas être laissée à l'algorithme seul : une personne compétente doit pouvoir comprendre, contester et écarter la recommandation.
  2. Transparence envers les candidats et salariés. Les personnes concernées doivent être informées lorsqu'un système d'IA est utilisé dans une décision qui les concerne. L'information doit être claire et accessible, pas noyée dans des conditions générales.
  3. Information des représentants du personnel. Le déploiement d'un tel système sur le lieu de travail suppose, en règle générale, d'informer les représentants du personnel et les travailleurs concernés. Au Luxembourg, cela s'articule avec les obligations existantes de dialogue social ; vérifiez le calendrier applicable avec votre conseil.
  4. Données d'entrée pertinentes et représentatives. Le déployeur doit veiller, dans la mesure de son contrôle, à ce que les données qu'il fournit au système soient adaptées et représentatives de la finalité visée, afin de limiter les biais.

À cela s'ajoute une brique que beaucoup oublient : la protection des données. Un outil RH à base d'IA traite des données personnelles sensibles et doit donc figurer dans votre registre des traitements (RGPD, article 30), avec finalité, base légale et durée de conservation. La CNPD reste l'autorité compétente au Luxembourg. Nous avons détaillé cette exigence dans notre article sur le SIRH conforme au Luxembourg.

Ces obligations ne se cumulent pas au hasard : elles se recoupent. La supervision humaine n'a de valeur que si l'action est journalisée — sinon, impossible de prouver après coup qu'un humain a bien tranché. La transparence envers un candidat suppose de savoir précisément quelles données ont nourri la recommandation, ce qui renvoie à la qualité des données d'entrée. En pratique, un outil bien conçu traite ces exigences comme un tout : contrôle d'accès, traçabilité et information des personnes forment un même socle, plutôt que quatre chantiers séparés menés après la mise en production.

Le calendrier — ce qui s'applique quand

L'AI Act s'applique par étapes, plutôt qu'en une seule date. Les interdictions visant les usages jugés inacceptables et certaines obligations générales entrent en vigueur les premières. Les obligations propres aux systèmes à haut risque — dont ceux liés à l'emploi — sont déployées plus tardivement, avec une application attendue autour de la fin 2027. Certaines obligations d'information et de transparence peuvent s'appliquer plus tôt.

Ces échéances peuvent encore être précisées : traitez ces repères comme une orientation, et confirmez les dates exactes applicables à votre situation avec votre DPO ou votre conseil. Le message pratique, lui, est stable : un système que vous mettez en place aujourd'hui devra respecter ces règles à terme. Mieux vaut choisir un outil conçu pour, plutôt que de le rattraper dans l'urgence.

Ce qu'il faut demander à un éditeur d'IA RH

Avant de déployer un outil RH doté d'IA, quelques questions permettent de séparer le marketing de la conformité réelle :

  • Où sont hébergées et traitées les données ? Restent-elles dans l'UE ? Un traitement hors UE crée des obligations supplémentaires.
  • Comment la supervision humaine est-elle rendue possible ? Peut-on voir, comprendre et écarter une recommandation, et cela est-il tracé ?
  • Quelle documentation l'éditeur fournit-il ? Notice d'utilisation, description de la finalité, limites connues, éléments sur les données d'entraînement.
  • Le système est-il journalisé ? Peut-on reconstituer qui a décidé quoi, et sur quelle base ?
  • Comment s'informent les candidats et salariés ? L'outil facilite-t-il la transparence, ou la laisse-t-il entièrement à votre charge ?

Comment Luxapps aborde l'IA en RH

Notre principe est simple : l'IA assiste, elle ne décide pas seule. Chaque usage de l'IA dans nos modules RH est conçu avec un humain dans la boucle — la recommandation est visible, explicable et peut être écartée, et l'action est journalisée. La transparence envers les personnes concernées est prévue dans le produit, pas laissée en dehors.

Nous hébergeons les données au Luxembourg, sans sortie de l'Union européenne et sans dépendance à un fournisseur cloud non européen. Cette souveraineté simplifie la gouvernance des données d'un système d'IA RH. Et parce que Luxapps avance avec Luxgap, l'accompagnement DPO et sécurité permet de traiter la mise en conformité de l'organisation au-delà de l'outil lui-même.

Enfin, notre modèle de construction sur mesure aide sur un point précis de l'AI Act : la maîtrise de la finalité. Comme chaque module est développé pour un usage défini avec le client, la finalité du système d'IA est claire, documentée et traçable dès l'origine — là où un outil générique impose de deviner comment son IA a été entraînée. Cette clarté n'exonère pas l'employeur de ses obligations de déployeur, mais elle rend nettement plus simple de les démontrer le jour d'un contrôle.

L'AI Act ne rend pas l'IA impossible en RH : il exige de la maîtrise et de la preuve. Pour comprendre comment un outil peut être conforme par conception, découvrez notre approche du logiciel RH conforme au Luxembourg — ou parlons de votre projet directement.

Discuter de votre projet RH Demander une démonstration →