IAActs

250 000 € d'amende CNIL : quand un algorithme de recrutement discrimine sans que personne ne s'en rende compte

Publié le 2026-04-21 | Mots-clés : [, ", c, n, i, l, , a, m, e, n, d, e, , i, a, ", ,, , ", i, a, , a, c, t, , f, r, a, n, c, e, , 2, 0, 2, 6, ", ,, , ", p, r, o, f, i, l, a, g, e, , i, a, , r, e, c, r, u, t, e, m, e, n, t, ", ,, , ", r, g, p, d, , c, h, a, t, b, o, t, , o, b, l, i, g, a, t, i, o, n, s, ", ,, , ", d, i, s, c, r, i, m, i, n, a, t, i, o, n, , a, l, g, o, r, i, t, h, m, e, , r, e, c, r, u, t, e, m, e, n, t, ", ]

Un mardi matin, un courrier recommandé

Mars 2026. Le DRH d'une entreprise de taille intermédiaire — appelons-la « Company Z » selon les termes de la délibération CNIL — ouvre un recommandé. Deux cent cinquante mille euros d'amende. Motif : profilage automatisé discriminatoire dans le processus de recrutement.

Le truc, c'est que personne dans la boîte ne pensait utiliser de l'IA « à risque ». Leur outil de présélection des CV ? Un SaaS acheté deux ans plus tôt, intégré au SIRH, dont l'équipe RH ne connaissait même pas le fonctionnement interne. Un stagiaire l'avait surnommé « le tri magique ». Tout le monde trouvait ça pratique.

Sauf la CNIL.

Ce qui s'est passé, concrètement

Company Z utilisait un logiciel de scoring de candidatures. Chaque CV passait dans un algorithme qui attribuait une note de 0 à 100. Les candidats sous 40 étaient éliminés automatiquement — sans réexamen humain. Ceux au-dessus recevaient un appel.

Le problème tenait à l'entraînement du modèle. L'algorithme avait appris à partir des profils d'employés « performants » des cinq dernières années. Or ces profils reflétaient des biais structurels : majorité masculine, diplômés de certaines écoles, tranches d'âge concentrées entre 28 et 42 ans. Le modèle reproduisait ces biais. Il les amplifiait, même.

Une candidate a déposé plainte auprès de la CNIL en septembre 2025. Quinze ans d'expérience pertinente, mais issue d'une université jugée « moins cotée » par le scoring. Sa note : 22 sur 100.

L'enquête a mis en évidence trois manquements.

Les trois infractions retenues par la CNIL

Manquement Base légale Ce que Company Z aurait dû faire Part dans l'amende
Absence d'évaluation d'impact (AIPD) Art. 35 RGPD Réaliser une AIPD avant déploiement du scoring 100 000 €
Profilage automatisé sans intervention humaine Art. 22 RGPD Prévoir un réexamen humain des candidatures recalées 100 000 €
Défaut d'information des candidats Art. 13-14 RGPD + Art. 52 IA Act Mentionner clairement la participation de l'IA à la sélection 50 000 €

Total : 250 000 €. La plus grosse amende CNIL liée à l'IA au premier trimestre 2026. Sur la même période — décembre 2025 à mars 2026 —, quatre entreprises ont été sanctionnées pour un cumul de 550 000 €.

Pourquoi cette affaire est un cas d'école

J'ai échangé avec une consultante RGPD la semaine dernière à propos de ce dossier. Sa réaction m'a frappé : « Le plus effrayant, c'est que Company Z cochait presque toutes les cases classiques. DPO nommé, registre des traitements à jour, clauses contractuelles signées avec le sous-traitant. Ce qui manquait, c'était la couche IA. »

Voilà le piège de 2026. Le RGPD, les organisations le connaissent — ou croient le connaître. Mais l'IA Act ajoute une strate que les équipes juridiques n'ont pas encore digérée. Et cette strate ne pardonne pas, parce qu'elle s'applique indépendamment de la bonne volonté de l'entreprise.

Le recrutement figure explicitement dans l'annexe III du règlement européen, catégorie « systèmes d'IA à risque élevé ». Depuis les lignes directrices publiées par l'AI Office de la Commission européenne le 1er avril 2026, les exigences de documentation se sont précisées : journalisation des décisions automatisées, tests de biais réguliers, explicabilité des scores attribués. Le règlement délégué du 10 mars 2026 sur les modèles d'IA à usage général renforce encore cette logique de traçabilité.

Ce qui rend le cas Company Z particulièrement instructif, c'est que l'entreprise ne niait pas utiliser un outil automatisé. Elle n'avait simplement pas fait le lien entre « outil de tri des CV » et « système d'IA à risque élevé ». Cette confusion sémantique — qui est loin d'être isolée — explique pourquoi tant d'ETI se retrouvent exposées sans en avoir conscience.

Company Z n'avait rien de tout ça. Zéro.

Le plan correctif mis en place

D'après la délibération publique, l'entreprise a engagé quatre chantiers :

Audit du modèle de scoring. Un cabinet externe a disséqué l'algorithme et identifié les variables discriminantes — âge, genre (corrélé via le prénom), établissement d'origine. Durée : trois semaines. Coût estimé : 15 000 à 25 000 €.

Supervision humaine obligatoire. Le seuil d'élimination automatique a été supprimé. Désormais, chaque candidature recalée par l'algorithme passe par un recruteur. Le score n'est plus qu'un outil de priorisation, pas un couperet. Contrepartie assumée : le processus de recrutement a ralenti d'environ 30 %.

Rédaction d'une AIPD dédiée. Un document de 47 pages distinct de l'évaluation d'impact « recrutement classique », couvrant les risques spécifiques au traitement IA, les mesures d'atténuation et les mécanismes de suivi continu.

Refonte de l'information candidat. Les offres d'emploi mentionnent désormais explicitement l'usage d'un outil d'aide à la présélection par intelligence artificielle, avec un lien vers une page d'explication. Conformément à l'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes IA à risque élevé, le système a aussi été enregistré dans la base européenne.

Les leçons — sans langue de bois

Acheter un SaaS ne vous exonère pas. Company Z était convaincue que la conformité incombait à l'éditeur du logiciel. Non. En tant que responsable de traitement, c'est à l'entreprise de vérifier que l'outil respecte le RGPD et l'IA Act. L'avis du CEPD du 15 février 2026 sur l'articulation entre les deux textes le dit sans ambiguïté.

« On ne savait pas que c'était de l'IA » ne tient pas. L'argument a été avancé lors de la procédure. La CNIL l'a écarté. Le scoring automatisé de candidatures constitue un profilage au sens de l'article 4(4) du RGPD. Que l'entreprise appelle ça de l'IA, un algorithme ou « le tri magique » n'y change rien.

Le coût de la non-conformité dépasse l'amende. Au-delà des 250 000 €, il faut compter l'audit externe, la refonte des processus, la formation des équipes. Facture totale estimée : entre 300 000 et 350 000 €. Sans parler de la réputation — plusieurs candidats ont depuis décliné des offres en citant l'affaire.

Petite parenthèse qui vaut le détour : j'ai estimé le coût d'une mise en conformité préventive pour une entreprise de taille comparable. Résultat : entre 8 000 et 20 000 €, AIPD incluse.

Soit dix à quarante fois moins que la facture finale.

Parfois, les maths suffisent.

L'affaire Company Z dans son contexte

Pour mesurer l'accélération, voici les trois autres sanctions CNIL liées à l'IA sur la même période :

  • Company W (décembre 2025) : 100 000 € pour scoring crédit déployé sans évaluation d'impact — un parallèle frappant avec Company Z, mais dans le secteur financier
  • Company Y (février 2026) : 150 000 € pour un chatbot mis en service sans informer les utilisateurs qu'ils échangeaient avec une IA — un sujet que nous avions détaillé dans notre classement des 7 obligations RGPD pour chatbots
  • Company X (mars 2026) : 50 000 € pour reconnaissance faciale sans base légale

La tendance est nette. La CNIL cible l'IA de manière systématique et les montants grimpent. Pour comprendre le cadre réglementaire global, notre décryptage de l'IA Act en France détaille les obligations selon le niveau de risque de chaque système.

Que faire si vous utilisez de l'IA en recrutement ?

Pas de panique. Mais ne traînez pas non plus.

Commencez par vérifier si votre outil de recrutement utilise du scoring, du classement automatisé ou du filtrage algorithmique. Beaucoup de logiciels ATS intègrent désormais ces fonctions sans les mettre en avant dans leur marketing. Si c'est le cas, vous êtes concerné par l'article 22 du RGPD et très probablement par l'annexe III de l'IA Act.

Demandez ensuite à votre éditeur sa documentation technique : méthode d'entraînement du modèle, variables prises en compte, tests de biais effectués et leur fréquence. Un éditeur qui refuse de répondre ou qui botte en touche ? Signal d'alerte. Un bon fournisseur est capable de vous fournir ces éléments en moins d'une semaine.

Enfin, réalisez ou mettez à jour votre AIPD pour ce traitement spécifique. L'erreur classique consiste à intégrer l'IA dans une AIPD « recrutement » générique — comme Company Z l'a appris, la CNIL attend un document dédié. Notre checklist conformité IA Act gratuite couvre les 14 points essentiels et inclut un template d'AIPD — comptez une trentaine de minutes pour un premier diagnostic.

Sources : CNIL, délibérations publiques décembre 2025 – mars 2026 ; AI Office, lignes directrices du 1er avril 2026 ; CEPD, avis du 15 février 2026 ; Legifrance, arrêté du 28 février 2026.