250 000 € pour un algorithme de tri de CV : autopsie d'une sanction CNIL qui interroge la conformité IA en France
250 000 € pour un algorithme de tri de CV : autopsie d'une sanction CNIL qui interroge la conformité IA en France
Janvier 2026. La CNIL publie une décision de sanction contre une entreprise désignée « Company Z ». Le montant : 250 000 euros. Le motif : profilage automatisé discriminatoire dans un processus de recrutement piloté par intelligence artificielle.
Sur les quatre décisions CNIL ciblant des systèmes d'IA depuis le début de l'année — 550 000 euros cumulés d'après notre base de suivi —, celle-ci est la plus lourde. Elle représente à elle seule 45,5 % du montant total des sanctions. Ce n'est pas anodin.
Mais au-delà du chiffre, cette affaire soulève une série de questions que beaucoup de DPO, de CTO et de fondateurs préfèrent esquiver. Est-ce que la sanction aurait été différente si l'IA Act avait été pleinement applicable ? Le montant est-il proportionné, ou s'agit-il d'un signal politique ? Et surtout : combien d'entreprises françaises exploitent en ce moment même un outil similaire sans le savoir ?
Un collègue DPO m'a glissé en off, lors d'un événement compliance en mars, que « la moitié des boîtes qui utilisent un ATS avec scoring n'ont aucune idée de ce que fait le modèle derrière ». Je ne sais pas si c'est la moitié. Mais le problème que pointe cette décision est systémique, pas anecdotique.
Le contexte : un outil de recrutement « standard », des biais pas du tout standard
Company Z n'est pas une startup IA. D'après les éléments publics, c'est une entreprise de taille intermédiaire qui a intégré un module de scoring automatisé dans son processus de recrutement courant 2024. Le principe est classique : les candidatures entrantes sont analysées par un algorithme qui attribue un score de compatibilité avec le poste. Les recruteurs ne voient que les candidats au-dessus d'un certain seuil.
Rien de révolutionnaire en apparence. Des dizaines de logiciels RH proposent cette fonctionnalité. Le marché du recrutement automatisé en France pesait déjà plusieurs centaines de millions d'euros en 2025.
Le problème se situe dans les variables alimentant le modèle. Au-delà des compétences et de l'expérience — ce qu'on attend —, l'algorithme intégrait des signaux corrélés à l'âge, au lieu de résidence et, indirectement, à l'origine ethnique des candidats. Pas de variable « origine » explicite, bien sûr. Mais des proxies : code postal, établissement de formation, ancienneté dans le premier emploi.
Cela pose une question que les juristes spécialisés connaissent bien et que la tech ignore souvent : la discrimination indirecte est-elle moins grave parce qu'elle est involontaire ?
La réponse de la CNIL est non. Catégoriquement.
Ce que la CNIL a constaté : quatre failles, pas une
La décision identifie quatre manquements distincts. Les voici, avec ce que chacun implique concrètement.
1. Absence de base légale pour le profilage (RGPD, art. 6 et 22)
Company Z s'appuyait sur le consentement comme base légale. Problème : les candidats à un recrutement ne sont pas en position de consentir librement. Il y a un déséquilibre de pouvoir manifeste. La CNIL a requalifié le traitement et constaté l'absence de base légale valide.
L'article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques ou significatifs, sauf exceptions encadrées. Ici, le scoring déterminait directement quels candidats seraient reçus en entretien. La CNIL a estimé qu'il s'agissait bien d'une décision « produisant des effets significatifs ».
Est-ce que l'intérêt légitime aurait mieux tenu ? Peut-être, mais il aurait exigé une balance des intérêts documentée et une transparence que Company Z n'avait pas mise en place. On voit d'ailleurs dans nos analyses que l'intérêt légitime est la base légale la plus fragile dans le contexte IA — la CNIL la conteste quasi systématiquement quand un profilage est en jeu.
2. Absence d'AIPD (analyse d'impact sur la protection des données)
Pas d'AIPD. Pour un système de profilage automatisé dans le recrutement.
Il faut mesurer ce que cela signifie. Le RGPD impose une AIPD dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits des personnes. La liste de la CNIL des traitements nécessitant une AIPD inclut explicitement le scoring et le profilage. L'EDPB (Comité européen de la protection des données), qui a publié 91 documents de guidance dans notre base de veille, a lui aussi des lignes directrices spécifiques sur l'évaluation d'impact — les « Guidelines on Data Protection Impact Assessment ».
Company Z n'avait réalisé aucune évaluation. Ni interne, ni accompagnée, ni même esquissée dans un document de projet. L'AIPD était la pièce la plus élémentaire qui manquait, et paradoxalement la plus simple à produire.
Un point que je trouve révélateur : sur les 4 sanctions CNIL IA de 2026, deux mentionnent l'absence d'AIPD (Company Z ici, et Company W pour le scoring crédit à 100 000 €). Cela représente 63,6 % du montant total des sanctions. L'AIPD n'est pas un bonus. C'est un prérequis.
3. Défaut d'information des candidats (RGPD, art. 13 et 14)
Les candidats n'étaient pas informés que leurs CV étaient analysés par un algorithme. La mention RGPD sur le site de recrutement de Company Z se limitait à un lien vers une politique de confidentialité générique qui ne mentionnait ni le scoring, ni le profilage, ni l'existence d'un traitement automatisé.
L'article 13(2)(f) du RGPD exige une information spécifique en cas de décision automatisée : l'existence de la logique sous-jacente et les conséquences prévues. Ce n'est pas une recommandation. C'est une obligation textuellement inscrite dans le règlement.
4. Discrimination indirecte par les variables du modèle
La CNIL a fait appel à des experts techniques pour auditer le modèle. Les résultats ont montré des disparités statistiquement significatives dans les scores attribués en fonction du code postal et de l'établissement d'origine. Les candidats de certaines zones géographiques recevaient systématiquement des scores plus bas, indépendamment de leurs compétences.
C'est le point le plus délicat. Et le plus intéressant.
La CNIL sanctionne ici sur le terrain de la non-conformité RGPD (traitement déloyal au sens de l'article 5). Pas sur la base d'une loi anti-discrimination. L'arsenal juridique utilisé est purement « données personnelles ». Mais le message envoyé dépasse le cadre du RGPD : les régulateurs commencent à utiliser la protection des données comme levier contre la discrimination algorithmique.
La question qui fâche : 250 000 €, est-ce proportionné ?
Mettons les choses en perspective.
| Décision CNIL IA 2026 | Montant | Motif principal | % du total |
|---|---|---|---|
| Company Z — Recrutement | 250 000 € | Profilage discriminatoire, absence AIPD | 45,5 % |
| Company Y — Chatbot | 150 000 € | Transparence, défaut d'information IA | 27,3 % |
| Company W — Scoring crédit | 100 000 € | Scoring sans évaluation d'impact | 18,2 % |
| Company X — Reconnaissance faciale | 50 000 € | Base légale absente | 9,1 % |
| Total | 550 000 € | 100 % |
250 000 euros. Pour une entreprise de taille intermédiaire, c'est significatif mais pas existentiel. Pour une startup de 15 personnes, ce serait une sentence de mort. Le RGPD permet des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. Ici, on est très en dessous du plafond.
Faut-il en conclure que la CNIL est « gentille » ? Pas exactement. Je pense que le régulateur calibre ses premières sanctions IA pour envoyer un signal sans déclencher une levée de boucliers politique. C'est de la stratégie réglementaire. Pas de la mansuétude.
Comparons avec France Travail : 5 millions d'euros pour une violation de données en janvier 2026. L'échelle est radicalement différente. Mais France Travail est un organisme public, et le volume de données concerné était massif. Les cas IA restent dans une gamme de 50 000 à 250 000 euros pour l'instant.
La vraie question est : cette gamme va-t-elle tenir une fois l'IA Act pleinement applicable ?
Ce que l'IA Act change — et ce qu'il ne change pas
Le Règlement (UE) 2024/1689 — l'IA Act, adopté en juin 2024 et dont les obligations entrent en vigueur progressivement — classe explicitement les systèmes d'IA utilisés pour le recrutement comme « à haut risque » (Annexe III, point 4). Cela signifie, à terme, des obligations supplémentaires :
- Système de gestion de la qualité des données
- Documentation technique détaillée
- Logs d'utilisation conservés
- Contrôle humain effectif (pas une case à cocher en bas d'écran)
- Évaluation de conformité avant mise sur le marché
Company Z aurait été doublement sanctionnable sous le régime complet de l'IA Act. Le RGPD couvre la protection des données. L'IA Act couvre le système lui-même. Deux régimes, deux sanctions potentielles, deux régulateurs possibles (CNIL + l'autorité nationale IA Act, qui n'est toujours pas formellement désignée en France — un point que notre veille sur les 9 textes Legifrance pertinents ne résout pas à ce jour).
Ceci dit, ne soyons pas naïfs. L'IA Act ne résout pas tout. Il impose des processus, pas des résultats. Un modèle peut passer une évaluation de conformité et rester discriminatoire si les données d'entraînement sont biaisées. L'IA Act exige une « qualité des données » mais ne définit pas précisément ce que signifie « absence de biais » dans un jeu de données.
C'est une limitation que le texte européen assume — peut-être parce que la définir rigoureusement est un problème ouvert en recherche.
Les leçons : cinq choses que cette affaire enseigne concrètement
Leçon 1 — L'AIPD est la ligne de défense la plus rentable
Réaliser une analyse d'impact coûte entre 3 000 et 15 000 euros en accompagnement externe. Company Z a payé 250 000 euros pour ne pas l'avoir fait. Le retour sur investissement d'une AIPD est arithmétiquement évident.
Au-delà du calcul, l'AIPD force à se poser les bonnes questions en amont. Quelles données entre dans le modèle ? Y a-t-il des proxies discriminatoires ? Le traitement est-il proportionné ? Si Company Z avait mené cette analyse, elle aurait probablement identifié les variables problématiques avant le déploiement.
Leçon 2 — Le consentement ne fonctionne pas en contexte de recrutement
C'est un point que l'EDPB a martelé dans ses guidelines. Le consentement exige une liberté de choix réelle. Un candidat qui refuse le traitement de ses données ne sera tout simplement pas recruté. Ce n'est pas un choix libre.
Les bases légales viables pour le recrutement IA sont l'intérêt légitime (si bien documenté, avec balance des intérêts) ou l'exécution de mesures précontractuelles. Mais chacune impose des garde-fous spécifiques que Company Z n'avait pas implémentés.
Leçon 3 — La discrimination indirecte est un risque technique, pas seulement juridique
Les équipes data de Company Z n'avaient probablement pas l'intention de discriminer. Mais les proxies — code postal, établissement — sont des vecteurs de biais bien documentés en machine learning. Le fait que le biais soit « involontaire » ne change rien à la qualification juridique.
Concrètement, cela signifie qu'un audit de biais devrait être systématique avant toute mise en production d'un modèle RH. Pas un audit cosmétique. Un audit avec des métriques de fairness (disparate impact, equal opportunity, predictive parity) appliquées aux données réelles.
Leçon 4 — L'information des personnes doit être spécifique, pas générique
Lien « Politique de confidentialité » en pied de page ? Insuffisant. La CNIL attend une information proactive, claire, au moment de la collecte des données. Pour un système de recrutement IA, cela implique :
- Dire explicitement qu'un algorithme analyse le CV
- Expliquer la logique du scoring (pas le code source, mais le principe)
- Indiquer les conséquences (exclusion des candidats sous un certain score)
- Offrir un droit d'opposition et d'intervention humaine
C'est contraignant. C'est aussi le prix d'un recrutement assisté par IA.
Leçon 5 — Le régime IA Act va amplifier ces exigences, pas les remplacer
Certains acteurs espéraient que l'IA Act « absorberait » le RGPD pour les systèmes d'IA. Non. Les deux régimes coexistent. L'article 2(7) de l'IA Act le dit clairement : le règlement est « sans préjudice » du RGPD. Double contrainte, double vigilance, double documentation.
Notre veille sur les 55 avis EDPB et les 64 documents CNIL montre que les deux régulateurs construisent leurs doctrines en parallèle, avec des zones de chevauchement et quelques contradictions latentes. La gestion de la conformité IA en 2026 exige de lire les deux corpus. Pas l'un ou l'autre.
Ce que j'aurais aimé voir dans cette décision
Trois lacunes me frappent dans la décision publiée.
Premièrement, la CNIL ne publie pas les métriques d'audit du modèle. On sait que des « disparités statistiquement significatives » ont été constatées, mais pas leur ampleur. Un taux de disparate impact de 0.75 et un de 0.3, ce n'est pas la même chose. Cette opacité dans la communication de la décision est paradoxale pour un régulateur qui exige de la transparence.
Deuxièmement, aucune mention du fournisseur du logiciel de scoring. Company Z a peut-être développé son modèle en interne, ou acheté une solution SaaS. Dans le second cas, la responsabilité du sous-traitant (au sens RGPD) ou du fournisseur du système d'IA (au sens IA Act) mériterait d'être discutée. Le silence sur ce point laisse un angle mort pratique pour toutes les entreprises qui achètent des solutions clés en main.
Troisièmement, le montant de 250 000 euros n'est pas détaillé. Combien pour l'absence d'AIPD ? Combien pour la discrimination ? Combien pour le défaut d'information ? Cette granularité aiderait les entreprises à prioriser leurs investissements de conformité.
Ces critiques ne retirent rien à la légitimité de la sanction. Mais elles illustrent un problème plus large : les décisions de la CNIL restent souvent trop peu détaillées pour servir de véritable guide de conformité.
Ce cas est-il un précédent ou une exception ?
J'aimerais dire « un précédent ». Le montant le plus élevé parmi les 4 sanctions IA de 2026. Le profilage discriminatoire comme motif central. Le recrutement comme domaine cible.
Mais soyons honnêtes : 4 décisions en 5 mois, c'est peu. Très peu. La CNIL traite des milliers de plaintes par an. Le nombre de systèmes d'IA déployés en France dans le recrutement se compte probablement en centaines, voire en milliers. Quatre sanctions, c'est un taux de contrôle microscopique.
Ce cas est un signal. Un signal fort. Mais tant que le volume de contrôles n'augmentera pas, l'effet dissuasif restera limité. Les entreprises qui font le calcul rationnel — probabilité de contrôle × montant de la sanction — pourraient conclure que le risque est gérable.
Je ne recommande pas ce calcul. Mais je constate qu'il existe.
Pour les équipes tech et juridiques : la check-list minimale
Si vous déployez ou envisagez de déployer un outil de scoring ou de profilage IA dans le recrutement, voici les éléments non négociables à vérifier — tirés directement des points de sanction de cette décision et des textes que nous suivons dans notre veille (136 documents au total, répartis entre CNIL, EDPB, EUR-Lex et Legifrance) :
| Obligation | Base réglementaire | Statut chez Company Z |
|---|---|---|
| AIPD réalisée et documentée | RGPD art. 35 + liste CNIL | Absente |
| Base légale valide (hors consentement en recrutement) | RGPD art. 6 + art. 22 | Invalide |
| Information spécifique des candidats sur le traitement IA | RGPD art. 13(2)(f) | Insuffisante |
| Audit de biais sur les variables du modèle | RGPD art. 5 (loyauté) + IA Act Annexe III | Non réalisé |
| Intervention humaine effective dans le processus | RGPD art. 22(3) + IA Act art. 14 | Non documentée |
| Documentation technique du système IA | IA Act art. 11 (à venir) | Non applicable encore |
Chaque case non cochée dans la colonne « Company Z » a contribué au montant de la sanction. Six points d'attention. Quatre ont directement mené à des manquements sanctionnés.
Notre checklist conformité IA Act et le template DPA disponible gratuitement sur ce site couvrent ces points de contrôle et peuvent servir de point de départ pour structurer votre démarche.
Un dernier mot — sur ce qui reste flou
Le recrutement par IA est un terrain où se croisent le RGPD, l'IA Act, le Code du travail (articles L1132-1 et suivants sur la non-discrimination), et bientôt la Directive européenne sur la responsabilité IA (2024/2853). Quatre couches normatives pour un seul cas d'usage.
Company Z a été sanctionnée sur le seul fondement du RGPD. Qu'arrivera-t-il quand les quatre textes seront simultanément mobilisables ? Le montant cumulé des sanctions dépassera-t-il le million pour un cas similaire ? Je n'ai pas la réponse. Personne ne l'a.
Mais si j'avais un scoring IA en production dans un process RH en France en avril 2026, je ne dormirais pas tranquille. Pas avec ces 250 000 euros en tête. Et surtout pas sans AIPD.
Cet article s'appuie sur les données issues de notre veille continue : 64 documents CNIL, 55 avis EDPB/CEPD, 9 textes Legifrance et 8 textes EUR-Lex, soit 136 sources réglementaires suivies. Les analyses croisées des quatre sanctions CNIL IA de 2026 et les obligations pratiques de conformité sont développées dans notre guide chatbot RGPD + IA Act et dans l'analyse du mille-feuille réglementaire.