AI Act annexe III §4 RH : contexte et enjeux de la réglementation

L'AI Act est, selon la formulation du portail Entreprendre Service Public, « le premier règlement au monde sur l'intelligence artificielle ». Entré en vigueur le 1ᵉʳ août 2024, il adopte une approche hiérarchisée à quatre étages : risques inacceptables (prohibés), haut risque (autorisés mais strictement encadrés), risques limités (transparence) et risques minimaux (libres).

L'annexe III du règlement liste huit domaines dont les systèmes d'IA basculent automatiquement en haut risque. Le paragraphe 4 cible spécifiquement « Employment, workers' management and access to self-employment », soit l'emploi, la gestion des travailleurs et l'accès à l'auto-entrepreneuriat. La Commission européenne via son AI Act Service Desk en publie le texte exhaustif.

Pourquoi les RH sont une cible prioritaire

Le législateur européen a identifié les processus RH comme un point de friction majeur entre productivité algorithmique et droits fondamentaux. Les décisions RH affectent durablement la vie d'une personne : accès à l'emploi, rémunération, carrière, fin de contrat. Un biais algorithmique non détecté peut systématiser une discrimination (genre, âge, origine) à l'échelle de centaines de milliers de candidatures. La CNIL a déjà sanctionné en France plusieurs traitements automatisés liés au recrutement sur le fondement du RGPD article 22 (décision individuelle automatisée).

Le calendrier opposable

Trois jalons structurent la conformité RH :

  • 2 février 2025 : interdiction des pratiques prohibées de l'article 5, notamment la reconnaissance émotionnelle au travail (sauf raisons médicales ou de sécurité documentées).
  • 2 août 2026 : obligations complètes pour les systèmes haut risque déjà sur le marché (annexe III §4).
  • 2 août 2027 : application aux produits intégrant des IA à haut risque soumis à évaluation tierce.

Pour un cabinet de recrutement de 30 salariés ou une DRH de PME de 200 personnes, cela signifie qu'un outil de tri de CV acheté en 2023 et toujours en production en août 2026 devra être conforme — ou retiré. Le lien direct vers le hub conformité AI Act IAPRO centralise nos checklists par métier.

Les 12 cas concrets de basculement haut risque : analyse détaillée

L'annexe III §4 énumère deux familles d'usages, qui se déclinent dans la pratique RH française en 12 cas concrets.

Famille A : recrutement et sélection (annexe III §4(a))

  1. Ciblage publicitaire d'offres d'emploi : les plateformes type LinkedIn Recruiter, Indeed Smart Sourcing ou Meta Lead Ads, lorsqu'elles ajustent algorithmiquement l'audience d'une annonce, basculent en haut risque. Un cabinet de chasse de têtes parisien que j'ai audité diffusait via une IA d'optimisation d'audience qui sous-exposait massivement les profils > 50 ans : risque de discrimination directe au sens du Code du travail article L1132-1.

  2. Analyse et filtrage des candidatures : tout ATS (Applicant Tracking System) intégrant un scoring sémantique des CV — Workday, SAP SuccessFactors, Taleo, mais aussi des solutions françaises type Beetween ou Flatchr quand elles activent leur module IA — entre dans l'annexe III §4.

  3. Évaluation automatisée des candidats : tests de personnalité gamifiés (Pymetrics, AssessFirst), entretiens vidéo asynchrones analysés par IA (HireVue), tests techniques scorés automatiquement. La CNIL a publié en 2024 ses recommandations sur le recrutement IA et les droits des candidats.

  4. Reconnaissance émotionnelle en entretien : prohibé par l'article 5 du Règlement (UE) 2024/1689. Les outils d'analyse de microexpressions, de tonalité vocale ou de fatigue cognitive en entretien sont interdits depuis le 2 février 2025, sauf usage médical ou sécurité.

Famille B : gestion de la relation de travail (annexe III §4(b))

  1. Allocation algorithmique de tâches ou plannings : Uber-like, applications de gig economy, mais aussi outils de workforce management type Quinyx, Skello, ou modules de Kronos. Dès qu'un algorithme attribue une mission ou un créneau en fonction du « comportement individuel ou des traits personnels », il bascule en haut risque.

  2. Monitoring de productivité : Microsoft Productivity Score, Hubstaff, Time Doctor, ou modules de surveillance intégrés à Teams et Slack lorsqu'ils produisent un score individuel. Attention : la CNIL a déjà sanctionné plusieurs employeurs sur le fondement du RGPD pour surveillance disproportionnée.

  3. Évaluation de performance algorithmique : 360° automatisés, agrégation de KPI individuels avec ranking forcé, outils type Lattice ou Culture Amp en mode prédictif.

  4. Décisions de promotion : tout système qui « affecte les termes des relations de travail, la promotion ou la fin de relations contractuelles » est explicitement listé. Un modèle de succession planning prédictif (qui sera prêt pour quel poste dans 18 mois) tombe dans le champ.

  5. Décisions de fin de contrat : algorithmes d'identification de salariés « à risque de départ » couplés à des décisions managériales, ou outils prédictifs de réduction d'effectifs (workforce optimization).

  6. Mobilité interne et matching : plateformes de mobilité interne IA-driven (365Talents, Eightfold AI) qui orientent les salariés vers des postes.

  7. Détection de risque psychosocial individuel : analyse de sentiment sur emails, chat interne, ou enquêtes pulse avec attribution individuelle. Double risque : annexe III §4 + RGPD article 9 (données de santé).

  8. Biométrie d'accès et de pointage : reconnaissance faciale ou empreinte pour pointer. Si la finalité dépasse la vérification (1:1) pour entrer dans l'identification (1:N), bascule en annexe III §1.

Cas Annexe III Article AI Act Risque dominant
Tri CV §4(a) Art. 6, 16-27 Discrimination
Entretien vidéo IA §4(a) Art. 6, 14 Biais opaque
Reco émotionnelle Prohibé Art. 5 Sanction 35 M€
Allocation tâches §4(b) Art. 6, 14, 26 Conditions travail
Monitoring §4(b) Art. 6 + RGPD Surveillance
Promotion / fin contrat §4(b) Art. 6, 14, 86 Recours individuel

Pour une cartographie détaillée par métier, consultez notre hub IA par secteur IAPRO.

Obligations légales et conformité pour les RH : un guide pratique

À compter du 2 août 2026, tout déployeur d'un système d'IA listé à l'annexe III §4 doit, selon la synthèse officielle du portail Entreprendre Service Public, satisfaire sept obligations cumulatives.

Les sept piliers de la conformité haut risque

  1. Inscription dans la base de données UE prévue à l'article 71 du règlement. Le fournisseur enregistre le système ; le déployeur enregistre lui-même s'il est une autorité publique ou un organisme agissant pour son compte.
  2. Marquage CE avant mise sur le marché, attestant la conformité au règlement et aux normes harmonisées.
  3. Système de gestion des risques documenté, vivant, mis à jour à chaque évolution du modèle (article 9).
  4. Documentation technique complète (annexe IV) : architecture, données d'entraînement, métriques de performance, mesures de mitigation des biais.
  5. Contrôle humain effectif (article 14) : la décision finale RH ne peut pas être prise par le seul algorithme. Le décideur humain doit pouvoir comprendre, contester, désactiver.
  6. Registre des logs pour traçabilité (article 12) : conservation 6 mois minimum, opposable à un audit CNIL ou DGCCRF.
  7. Cybersécurité, robustesse, exactitude (article 15) : mesures techniques et organisationnelles, tests adversariaux documentés.

Les obligations spécifiques du déployeur (employeur)

L'article 26 impose au déployeur RH des obligations propres, distinctes du fournisseur. Côté DRH française, j'identifie systématiquement quatre points faibles en audit :

  • Information préalable des représentants du personnel : avant déploiement d'un système haut risque sur le lieu de travail (article 26 §7), information obligatoire du CSE selon le Code du travail article L2312-38.
  • Information individuelle des salariés concernés (article 26 §7).
  • Analyse d'impact sur les droits fondamentaux (article 27) pour certains déployeurs publics et bancaires/assurance.
  • Coopération avec l'AFNOR et la future autorité française de l'IA (la DGE pilote la désignation).

Notre méthode IAPRO mutualise cet audit avec notre partenaire Regulia.fr sur le volet juridique. Le calculateur ROI IAPRO permet de chiffrer le coût de conformité versus le coût de non-conformité.

Cas d'étude : les défis RH dans la transition vers l'IA

Pour incarner ces obligations, je rapporte trois situations rencontrées en 2025 lors d'audits IAPRO sur des PME et ETI françaises (cas anonymisés).

Cas 1 — Cabinet de recrutement IT, 45 salariés, Lille

Ce cabinet utilisait un ATS américain avec module de scoring sémantique des CV. L'audit a révélé : aucun marquage CE prévu par le fournisseur, pas d'analyse de biais documentée, et un sous-classement statistiquement significatif (-18 %) des candidatures issues de quartiers prioritaires (test de cohérence sur 12 000 CV). Réponse : migration vers un LLM Mistral 7B déployé on-premise via Ollama, prompt-engineering encadré, scoring désactivé au profit d'un classement par mots-clés transparent et auditable.

Cas 2 — ETI industrielle, 320 salariés, Roubaix

Module de workforce management Quinyx en mode IA pour planning des opérateurs. Allocation algorithmique des postes les plus pénibles. Le CSE n'avait pas été informé conformément à l'article L2312-38 du Code du travail. Mise en conformité : information CSE, désactivation de la composante prédictive de pénibilité, documentation technique exigée du fournisseur sous contrat.

Cas 3 — Cabinet d'avocats parisien, 60 collaborateurs

Outil d'évaluation 360° avec agrégation IA et ranking. Risque double : annexe III §4(b) + RGPD article 22. Solution : suppression du ranking automatique, conservation du 360° comme matériau brut soumis à un comité humain, traçabilité Excel exportable.

Ces trois exemples illustrent ce que la DGAFP rappelle dans sa stratégie d'usage IA en GRH : « il est facile de succomber à une mauvaise réponse bien tournée », d'où la nécessité d'une vigilance humaine renforcée.

L'impact sur les RH : formation, éthique et transformation organisationnelle

L'AI Act fait des RH le pivot opérationnel de la conformité. Ce n'est plus une affaire de DSI seule. Trois chantiers s'imposent.

Formation obligatoire des équipes (article 4)

L'article 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, impose à tout fournisseur ET déployeur d'assurer « un niveau suffisant de maîtrise de l'IA » à son personnel utilisant ces systèmes. Concrètement, pour une DRH française :

  • Module socle IA générative pour tout collaborateur en contact avec un outil concerné.
  • Module spécifique « biais et discrimination » pour les recruteurs.
  • Module « décision humaine significative » pour les managers.

La DGAFP recense côté public la plateforme MENTOR avec deux modules ouverts. Côté privé, ces formations sont mobilisables via le plan de développement des compétences et OPCO, notamment Atlas (services financiers) et 2i (industrie).

Éthique et acculturation managériale

La DGAFP a organisé deux Cafés IA en 2024-2025 dédiés à la fonction RH. Le constat partagé : l'enjeu n'est pas tant l'outil que la posture managériale qui l'accompagne. Une grille d'évaluation augmentée par IA mal lue produit plus de dégâts qu'une grille papier mal lue, parce qu'elle légitime la décision par un vernis statistique.

Transformation des métiers RH

Le rapport Gennaoui Hetier cité par la DGAFP, « Ce que l'IA générative de texte fait (déjà) à la fonction publique », pointe une redéfinition des expertises : moins de temps sur le tri administratif, plus sur la qualification fine et la médiation. Pour une PME, cela signifie repenser les fiches de poste RH dès 2026, et budgéter la formation correspondante.

La base de données européenne : un levier de conformité

L'article 71 du Règlement (UE) 2024/1689 crée une base de données UE des systèmes d'IA à haut risque. Sa structure est triple.

Ce qui est public

  • Identité du fournisseur et coordonnées de contact.
  • Description du système d'IA, finalité, catégories de personnes concernées.
  • Statut sur le marché (en service, retiré).
  • Documents d'évaluation de conformité référencés.

Ce qui reste confidentiel

  • Le code source, les pondérations du modèle, les secrets industriels.
  • Les données d'entraînement sensibles.

Ce que ça change pour un acheteur RH

Avant d'acheter un ATS ou un outil d'évaluation en 2026, la DRH ou la direction achats devra vérifier l'inscription du système dans cette base. C'est le nouvel équivalent du marquage CE pour une machine industrielle : pas d'inscription publique, pas d'achat. Cette transparence donne enfin aux acheteurs un levier opposable face aux fournisseurs SaaS américains qui éludaient jusqu'ici les questions de gouvernance.

La DG CNECT précise que l'AI Office, créé en 2024, sera chargé de la supervision européenne ; en France, la DGE et la CNIL coordonneront le contrôle national.

Les risques systémiques et les modèles d'IA à usage général

Les LLM utilisés en RH — qu'il s'agisse de GPT-4, Claude, Mistral, Gemini ou Llama — relèvent de la catégorie General-Purpose AI Models (GPAI). Le règlement les soumet à des obligations distinctes du haut risque, mais qui en croisent les exigences quand le LLM est intégré dans un outil RH.

Obligations GPAI pour le fournisseur (article 53)

Documentation technique, politique de respect du droit d'auteur, résumé public des données d'entraînement. Pour les modèles « à risque systémique » (seuil de 10^25 FLOPs d'entraînement), s'ajoutent évaluations adversariales et reporting des incidents graves à l'AI Office.

Impact RH : effet cascade

Quand un cabinet déploie un assistant RH conversationnel basé sur GPT-4, il devient déployeur d'un GPAI ET potentiellement déployeur haut risque selon l'usage. Si l'assistant produit un score ou une recommandation RH structurante, on bascule annexe III §4. D'où l'intérêt de l'approche IAPRO : déploiement on-premise de Mistral 7B ou Llama 3 quantifié via Ollama, sur GPU local, avec OpenWebUI et garde-fous RAG. Données candidats et salariés ne quittent pas le SI de l'entreprise — cohérence RGPD article 28 et souveraineté.

Cybersécurité : article 15

Les systèmes haut risque doivent résister aux attaques par empoisonnement de données (data poisoning), par évasion (adversarial examples), et par extraction de modèle. Une IA RH compromise peut révéler à un attaquant la grille salariale interne ou les évaluations de performance. Le guide ANSSI sur la sécurité de l'IA publié en 2024 fournit la base technique opposable.

Stratégies de transition : comment les RH peuvent anticiper les risques

J'ai dégagé en accompagnement IAPRO une méthode en cinq étapes, testée sur une trentaine de PME et ETI françaises depuis fin 2024.

Étape 1 — Cartographie d'inventaire

Lister tous les outils RH en production et en pilote. Inclure les modules dormants des suites SIRH (Workday, SAP, Cegid Talentsoft) qui peuvent activer l'IA via simple toggle commercial. Délai cible : 3 semaines.

Étape 2 — Qualification annexe III

Pour chaque outil, statuer : annexe III §4(a), §4(b), prohibé article 5, ou hors champ. Cette qualification doit être documentée et opposable. C'est typiquement à ce stade qu'un audit conjoint avec un cabinet juridique apporte une valeur défensive — IAPRO collabore avec Regulia.fr sur ce volet.

Étape 3 — Plan de remédiation

Pour chaque outil haut risque : exiger du fournisseur la documentation article 11 et l'inscription article 71, ou planifier le remplacement. Délai cible avant le 2 août 2026 : 9 mois.

Étape 4 — Gouvernance et CSE

Information du CSE (article L2312-38 du Code du travail), mise à jour du DUERP sur les risques psychosociaux algorithmiques, désignation d'un référent IA RH (souvent rattaché DRH adjoint ou DPO).

Étape 5 — Formation et culture

Déploiement du plan de formation article 4 AI Act. Mobilisation des aides : Bpifrance Diag IA, France Num, OPCO Atlas/2i selon secteur, FNE-Formation. Le simulateur d'aides IAPRO calcule en quelques minutes l'éligibilité.

Pour budgéter l'ensemble, consultez aussi notre calculateur ROI IA et le glossaire IA IAPRO pour aligner le vocabulaire interne.

FAQ — AI Act annexe III RH

Quels sont les 12 cas concrets de basculement haut risque mentionnés dans l'AI Act annexe III §4 RH ?

Les 12 cas sont : ciblage publicitaire d'offres, tri de CV, évaluation de candidats (tests, entretiens vidéo IA), reconnaissance émotionnelle (prohibée), allocation de tâches algorithmique, monitoring de productivité, évaluation de performance, décisions de promotion, décisions de fin de contrat, mobilité interne, détection de risque psychosocial individuel, et biométrie d'accès en mode identification.

Comment les RH peuvent-elles s'assurer de la conformité des systèmes IA à haut risque ?

Trois leviers cumulatifs : exiger contractuellement du fournisseur la documentation technique de l'annexe IV et la preuve d'inscription à la base de données UE (article 71) ; mettre en place une analyse d'impact, un contrôle humain effectif et un registre des logs ; informer le CSE et les salariés concernés. Un audit conjoint juridique et technique est recommandé avant le 2 août 2026.

Quels sont les risques spécifiques liés à l'IA dans le recrutement et l'évaluation des performances ?

Trois risques dominent : discrimination indirecte par biais d'entraînement (genre, âge, origine), opacité décisionnelle empêchant le recours individuel prévu par l'article 86 du Règlement (UE) 2024/1689, et violation du RGPD article 22 sur la décision individuelle automatisée. La CNIL a sanctionné plusieurs employeurs sur ce fondement entre 2022 et 2025.

Quel rôle joue la formation des agents dans la transition vers l'IA ?

L'article 4 de l'AI Act impose un niveau suffisant de maîtrise de l'IA pour tout personnel utilisant ces systèmes, applicable depuis le 2 février 2025. Pour une DRH, cela signifie au minimum un module socle IA générative, un module biais et discrimination pour les recruteurs, et un module décision humaine significative pour les managers, finançables via OPCO et plan de développement des compétences.

Comment la base de données européenne facilite-t-elle la conformité des systèmes RH ?

Prévue par l'article 71, elle rend publique l'identité du fournisseur, la finalité du système et les documents de conformité. Pour un acheteur RH, c'est l'équivalent d'un marquage CE opposable : pas d'inscription = pas d'achat. Cela donne enfin un levier contractuel face aux SaaS étrangers qui éludaient les questions de gouvernance algorithmique avant 2024.

Quels exemples de systèmes IA à haut risque existent dans l'éducation et la formation professionnelle ?

L'annexe III §3 cible quatre cas dans l'éducation et la formation, transposables au champ RH-formation : accès et admission, évaluation des résultats d'apprentissage, orientation du parcours, et détection de comportements interdits pendant les tests. Une plateforme de e-learning interne avec scoring IA des collaborateurs peut donc relever de l'annexe III §3 et non §4, mais les obligations sont identiques.

Quelles sont les sanctions encourues en cas de non-conformité à l'AI Act ?

L'article 99 prévoit trois paliers : jusqu'à 35 millions € ou 7 % du chiffre d'affaires mondial pour usage d'IA prohibée (reconnaissance émotionnelle au travail) ; jusqu'à 15 millions € ou 3 % pour non-conformité aux obligations haut risque ; jusqu'à 7,5 millions € ou 1 % pour fourniture d'informations incorrectes. Les PME et start-ups bénéficient d'une modulation proportionnée.

Comment les RH peuvent-elles gérer les risques liés à la biométrie en milieu professionnel ?

La biométrie pour pointage en mode 1:1 (vérification) est admise sous conditions RGPD article 9 et autorisation CNIL si pertinente. La biométrie 1:N (identification) bascule en annexe III §1 haut risque. La reconnaissance émotionnelle au travail est prohibée par l'article 5 depuis le 2 février 2025. Une AIPD documentée et l'information du CSE sont indispensables avant tout déploiement.

Quels sont les défis liés à l'adoption de l'IA dans les processus de gestion des ressources humaines ?

Quatre défis structurants : conformité réglementaire cumulée (AI Act + RGPD + Code du travail) ; risque réputationnel en cas de biais médiatisé ; transformation des métiers RH vers plus de qualification fine et moins de tri administratif ; souveraineté des données candidats et salariés, qui plaide pour un déploiement on-premise des LLM internes plutôt qu'un SaaS extra-européen.

Quelles mesures de cybersécurité doivent être mises en place pour les systèmes IA à haut risque ?

L'article 15 impose robustesse, exactitude et cybersécurité par mesures techniques et organisationnelles. Concrètement : protection contre l'empoisonnement des données d'entraînement, contre les attaques adversariales, contre l'extraction de modèle, traçabilité des logs (article 12), tests réguliers documentés. Le guide ANSSI 2024 sur la sécurité de l'IA fournit la doctrine technique opposable, à articuler avec la directive NIS 2.

Pour aller plus loin avec IAPRO

Vous utilisez un ATS, un outil d'évaluation ou un workforce management qui pourrait relever de l'annexe III §4 ? IAPRO réalise un audit AI Act RH en 3 semaines : cartographie, qualification annexe III, plan de remédiation jusqu'au 2 août 2026, et option de déploiement on-premise de LLM internes (Mistral 7B, Llama 3) pour souveraineté complète des données candidats et salariés. Prenez contact avec IAPRO pour un premier diagnostic offert, ou consultez notre hub conformité AI Act pour les checklists par métier.

Liens utiles