IAActs

Recrutement par IA et profilage discriminatoire : anatomie d'une sanction CNIL à 250 000 €

Publié le 2026-04-27 | Mots-clés :

Recrutement par IA et profilage discriminatoire : anatomie d'une sanction CNIL à 250 000 €

Le 20 janvier 2026, la CNIL a prononcé une amende de 250 000 euros contre une entreprise désignée sous le nom de « Company Z » dans les registres publics. Le motif : profilage automatisé discriminatoire dans un processus de recrutement. Pas un bug isolé, pas un oubli administratif. Un système d'IA qui triait des candidatures en reproduisant — et en amplifiant — des biais existants.

Cette sanction est la plus lourde des quatre amendes liées à l'intelligence artificielle prononcées par la CNIL depuis décembre 2025, sur un total de 550 000 euros. Elle mérite qu'on s'y arrête. Pas seulement pour le montant, qui reste modeste à l'échelle de certains groupes, mais pour ce qu'elle dit du cadre juridique qui se referme progressivement autour des usages d'IA dans les ressources humaines.

Ce que la décision reproche, précisément

La sanction vise un système de « scoring » de candidatures intégrant des variables corrélées à l'origine ethnique, au genre et à l'âge des candidats. Selon les éléments rendus publics, le modèle attribuait un score de pertinence à chaque profil en se basant sur un historique de recrutements passés — un historique qui reflétait les biais humains préexistants dans l'entreprise.

Le problème n'était pas l'existence d'un algorithme de tri. C'était l'absence totale de mécanisme de détection des biais, combinée à un défaut d'information des candidats sur le traitement automatisé de leurs données.

Trois griefs principaux ressortent :

L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs sur une personne. Company Z n'avait prévu aucune intervention humaine réelle dans le processus de présélection. Le « contrôle humain » se limitait à valider le classement proposé par l'algorithme — autrement dit, un tampon.

L'article 13 du RGPD impose une obligation de transparence. Les candidats n'étaient pas informés de l'existence d'un traitement automatisé, ni de la logique sous-jacente, ni des conséquences envisagées.

L'article 9 du RGPD encadre le traitement des données sensibles. Le modèle inférait indirectement des données relatives à l'origine ethnique à partir de variables comme le code postal ou le prénom — sans jamais avoir recueilli de consentement explicite pour ce type de traitement.

Trois articles violés, un seul système. Et un montant de 250 000 euros qui aurait pu être bien plus élevé si l'entreprise n'avait pas coopéré avec la CNIL pendant la procédure.

Quatre sanctions IA en quatre mois : la CNIL accélère

Cette affaire ne tombe pas du ciel. Elle s'inscrit dans une séquence que nous suivons depuis décembre 2025 à travers notre veille sur 140 textes réglementaires issus de quatre sources officielles (CNIL, EUR-Lex, Legifrance, CEPD). Voici le tableau complet des sanctions IA sur la période.

Date Entité Montant Motif Faille principale
5 déc. 2025 Company W 100 000 € Scoring crédit sans évaluation d'impact IA AIPD absente
20 janv. 2026 Company Z 250 000 € Profilage discriminatoire en recrutement Art. 22 RGPD + biais non détectés
10 fév. 2026 Company Y 150 000 € Chatbot sans information claire sur l'usage d'IA Transparence art. 13
15 mars 2026 Company X 50 000 € Reconnaissance faciale sans base légale Art. 6 RGPD

Total : 550 000 euros. Le montant moyen par sanction s'établit à 137 500 euros. Le recrutement IA concentre à lui seul 45 % du total. Ce n'est pas anodin.

Deux observations. D'abord, les quatre sanctions reposent sur des articles différents du RGPD. La CNIL ne se contente pas d'un angle d'attaque unique ; elle teste méthodiquement la robustesse de chaque obligation. Ensuite, les montants restent relativement contenus. Comparés aux amendes RGPD classiques — France Travail a écopé de 5 millions d'euros en janvier 2026 pour une violation de données —, ces sanctions IA ressemblent davantage à des avertissements calibrés qu'à des punitions dissuasives.

Mais c'est peut-être le point. On pose les jalons.

L'IA Act entre en jeu : le recrutement classé « risque élevé »

L'annexe III du règlement européen sur l'intelligence artificielle (IA Act) classe explicitement les systèmes d'IA utilisés pour le recrutement et la sélection de candidats parmi les systèmes « à risque élevé ». C'est le point 4(a) de l'annexe : « systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures, et évaluer les candidats ».

Concrètement, cela signifie que tout système d'IA intervenant dans un processus de recrutement devra, d'ici à l'application complète du règlement :

  • faire l'objet d'une évaluation de conformité avant mise sur le marché ;
  • être enregistré dans la base de données européenne prévue à l'article 71 ;
  • disposer d'une documentation technique décrivant les données d'entraînement, les métriques de performance et les mesures de gestion des biais ;
  • prévoir une supervision humaine effective (pas un tampon, une vraie capacité d'intervention) ;
  • être soumis à une surveillance post-déploiement.

Le décret d'application de l'IA Act en France, publié le 20 mars 2026, désigne l'autorité nationale de surveillance. L'arrêté du 28 février 2026 précise les modalités de déclaration des systèmes à risque élevé dans la base européenne. Les textes existent. Le mécanisme se met en place.

Et le 1er avril 2026, l'AI Office de la Commission européenne a publié ses lignes directrices sur la classification des systèmes d'IA à risque élevé et les exigences de documentation associées — un texte de référence qui détaille ce que « documentation technique suffisante » veut dire en pratique.

RGPD et IA Act : deux textes, un même terrain

Un point de friction mérite d'être creusé : l'articulation entre le RGPD et l'IA Act. Les deux textes coexistent. Ils ne se remplacent pas. Le RGPD régit le traitement des données personnelles. L'IA Act régit la mise sur le marché et l'utilisation des systèmes d'IA. Quand un système d'IA traite des données personnelles — ce qui est le cas dans le recrutement automatisé —, les deux régimes s'appliquent simultanément.

Le CEPD (Comité Européen de la Protection des Données) a tenté de clarifier cette superposition dans son avis du 15 février 2026 sur l'interprétation conjointe de l'IA Act et du RGPD. Le message principal : l'IA Act ne crée pas de nouvelle base légale pour le traitement de données personnelles. Si votre IA n'a pas de base légale valide au sens du RGPD, le fait qu'elle respecte les exigences de l'IA Act ne vous sauvera pas. L'inverse est également vrai : être conforme au RGPD ne dispense pas de respecter les obligations spécifiques de l'IA Act pour les systèmes à risque élevé.

Ce double verrouillage change la donne pour les éditeurs de solutions de recrutement par IA. Un logiciel de présélection automatisée doit désormais satisfaire à la fois :

  • les obligations RGPD (base légale, information, droits des personnes, AIPD) ;
  • les obligations IA Act (évaluation de conformité, documentation, supervision humaine, gestion des biais).

J'ai assisté à une conférence compliance en mars où un directeur juridique d'un éditeur RH m'a confié, presque en aparté, qu'ils avaient « trois juristes à temps plein sur la question et qu'ils n'étaient toujours pas certains de cocher toutes les cases ». La complexité est réelle. Ce n'est pas une excuse, mais c'est un facteur à prendre en compte quand on analyse les sanctions actuelles.

Le problème spécifique des biais dans le recrutement IA

Revenons au cœur technique de la sanction Company Z. Le profilage discriminatoire par IA en recrutement n'est pas un cas théorique inventé par des régulateurs. C'est un phénomène documenté depuis le cas Amazon de 2018, où le géant du e-commerce avait abandonné un outil de recrutement IA qui pénalisait systématiquement les CV contenant le mot « women's ».

Le mécanisme est presque toujours le même. On entraîne un modèle sur des décisions de recrutement passées. Ces décisions passées reflètent les biais humains (conscients ou non) de l'organisation. Le modèle apprend à reproduire ces biais. Et il les amplifie, parce qu'un algorithme optimise sans nuance : si les données historiques montrent que les candidats issus de certains codes postaux sont moins souvent recrutés, le modèle intègre cette corrélation comme un signal pertinent.

La difficulté, c'est que ces biais sont souvent indirects. Le modèle ne traite pas explicitement la variable « origine ethnique ». Il utilise des proxies : code postal, prénom, université fréquentée, activités extra-professionnelles. Le résultat discriminatoire est le même, mais la traçabilité du biais est plus difficile à établir.

C'est exactement ce que la CNIL a identifié chez Company Z. Pas de variable « ethnie » dans le modèle. Mais des corrélations entre code postal et scoring final qui, analysées statistiquement, révélaient un traitement différencié significatif.

Comment détecter cela ? Les lignes directrices de l'AI Office du 1er avril 2026 recommandent des audits de biais systématiques incluant des tests d'équité (fairness metrics) sur les sous-groupes protégés. Le RGPD, via l'obligation d'analyse d'impact (AIPD), impose une évaluation des risques pour les droits et libertés des personnes concernées. Les deux cadres convergent vers la même exigence : tester, documenter, corriger.

Mais — et c'est la nuance qui complique tout — il n'existe pas de définition juridique unifiée de ce qu'est un « biais acceptable » en droit européen. L'IA Act parle de « mesures appropriées » pour atténuer les biais. Le RGPD ne mentionne pas le terme « biais ». Les praticiens naviguent donc entre des obligations de moyens sans seuil quantifié. Un modèle qui affiche un écart de 3 % de taux de sélection entre deux sous-groupes est-il discriminatoire ? Et 7 % ? La CNIL, dans la décision Company Z, n'a pas fixé de seuil. Elle a constaté l'existence d'un traitement différencié « significatif » sans le quantifier publiquement.

C'est un angle mort réglementaire qui finira par être comblé. Peut-être par la jurisprudence, peut-être par de nouvelles lignes directrices. Pour l'instant, les entreprises opèrent sans filet chiffré.

L'effet domino : quand un éditeur est sanctionné, qui trinque ?

Un aspect peu discuté de l'affaire Company Z concerne la chaîne de responsabilité. L'entreprise sanctionnée n'avait pas développé son outil de scoring en interne. Elle utilisait une solution SaaS fournie par un éditeur tiers, intégrée à son système de gestion des candidatures.

La CNIL a sanctionné l'utilisateur final, pas le fournisseur. En droit RGPD, le responsable de traitement est celui qui détermine les finalités et les moyens du traitement. L'entreprise qui décide de recourir à un outil de scoring IA pour filtrer des candidatures est responsable, même si elle n'a pas écrit une seule ligne de code.

Cette répartition va évoluer avec l'IA Act. Le règlement distingue les « fournisseurs » de systèmes d'IA (qui développent ou mettent sur le marché) et les « déployeurs » (qui utilisent). Les deux ont des obligations, mais de nature différente. Le fournisseur doit garantir la conformité technique du système avant sa mise sur le marché. Le déployeur doit s'assurer d'une utilisation conforme, incluant la supervision humaine et l'information des personnes concernées.

En pratique, cela signifie qu'un éditeur de logiciel RH vendant un module de présélection IA devra fournir à ses clients la documentation technique suffisante pour que ceux-ci puissent remplir leurs obligations de déployeur. Et si cette documentation est insuffisante ou si le système est intrinsèquement biaisé, le fournisseur pourra être inquiété directement — une nouveauté par rapport au cadre RGPD actuel.

Les contrats entre éditeurs et clients vont devoir intégrer ces nouvelles obligations. Les clauses de garantie, d'audit et de partage de responsabilité deviendront aussi stratégiques que les SLA de disponibilité. Une DPA (Data Processing Agreement) classique ne suffit plus ; il faudra y adjoindre des engagements spécifiques sur la conformité IA Act.

Pour les DPO et les directions juridiques, le message est clair : vérifiez ce que votre fournisseur IA peut — et surtout ne peut pas — garantir. Demandez la documentation technique. Exigez les résultats d'audit de biais. Si le fournisseur refuse ou botte en touche, c'est un signal d'alerte que vous ne pouvez pas ignorer.

Ce que les entreprises doivent faire — maintenant

Prenons du recul. Notre veille couvre 140 textes réglementaires, issus de 64 décisions CNIL, 8 textes EUR-Lex, 9 textes Legifrance et 59 avis CEPD. La tendance est univoque : l'encadrement se durcit, et le recrutement IA est en première ligne.

Pour une entreprise qui utilise ou envisage d'utiliser un système d'IA dans ses processus de recrutement, voici les actions immédiates :

Cartographier les traitements automatisés. Identifier précisément quels systèmes prennent des décisions ou formulent des recommandations influençant la sélection de candidats. Un ATS (Applicant Tracking System) avec un module de scoring intégré entre dans le périmètre.

Réaliser une AIPD. L'analyse d'impact relative à la protection des données est obligatoire pour tout traitement automatisé de profilage produisant des effets significatifs (article 35 RGPD). Ne pas en avoir une est exactement ce qui a coûté 100 000 euros à Company W pour son scoring crédit — un cas que nous avons détaillé ici.

Informer les candidats. Article 13 du RGPD : toute personne dont les données sont traitées doit savoir qu'un traitement automatisé existe, comprendre sa logique, et connaître les conséquences. Ce défaut d'information a coûté 150 000 euros à Company Y pour son chatbot — une problématique transversale que nous avons analysée dans notre décryptage des 550 000 euros de sanctions IA.

Auditer les biais. Mettre en place des tests d'équité (demographic parity, equalized odds, predictive parity) sur les sous-groupes protégés. Documenter les résultats. Corriger les écarts. Recommencer régulièrement.

Prévoir une supervision humaine réelle. Pas un opérateur qui clique « valider » sur chaque recommandation algorithmique. Un processus où l'humain peut comprendre, contester et inverser la décision du système. L'IA Act exige que la supervision humaine soit « effective ». La CNIL, dans l'affaire Company Z, a jugé que valider passivement un score ne constituait pas une intervention humaine au sens de l'article 22 du RGPD.

Préparer l'enregistrement IA Act. L'arrêté du 28 février 2026 fixe les modalités de déclaration des systèmes à risque élevé. Le processus d'enregistrement dans la base européenne est opérationnel. Les entreprises qui déploient des systèmes de recrutement IA devront s'y conformer dans les délais prévus par le calendrier d'application du règlement.

Un précédent, pas un épilogue

La sanction de 250 000 euros contre Company Z est un précédent. Le premier cas où la CNIL sanctionne explicitement un biais discriminatoire produit par un système d'intelligence artificielle en contexte de recrutement.

Les montants actuels — 50 000 à 250 000 euros — ne mettront pas en péril la trésorerie d'un grand groupe. Mais ils établissent une jurisprudence. Chaque décision pose une brique de plus dans l'édifice de la doctrine CNIL sur l'IA. Et quand l'IA Act sera pleinement applicable, les amendes potentielles changeront d'ordre de grandeur : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves.

On en est au stade de la pédagogie par la sanction. Les entreprises qui s'adaptent maintenant gagneront un avantage structurel. Les autres prendront le risque de rejoindre la liste.

Cet article s'appuie sur les données collectées par notre veille automatisée couvrant 140 textes réglementaires issus de 4 sources officielles (CNIL, EUR-Lex, Legifrance, CEPD), actualisées au 26 avril 2026.

Pour vérifier la conformité de vos systèmes d'IA, téléchargez notre checklist gratuite conformité IA Act + template DPA.