AI Act & Conformité 9 juin 2026 · 16 min de lecture · Par Mohamed Meguedmi

AI Act et CSE : obligations de consultation préalable des élus en 2026

Déployer un outil d'intelligence artificielle pour trier des CV, évaluer des performances ou superviser les équipes ne relève plus d'une simple décision technique. Depuis l'entrée en vigueur du Règlement (UE) 2024/1689, dit AI Act, ces systèmes basculent en catégorie « haut risque » et imposent une documentation technique lourde. Côté français, le Code du travail oblige depuis longtemps à consulter le Comité Social et Économique (CSE) avant tout déploiement d'outil de gestion du personnel. J'ai accompagné une vingtaine de DRH et de DSI sur ce double front en 2024-2025 : voici la méthode IAPRO pour transformer la contrainte réglementaire en levier de dialogue social.

En bref

Anticipez la double conformité : un outil IA RH relève simultanément de l'AI Act (haut risque, annexe III §4) et du Code du travail (consultation CSE article L2312-8), avec des sanctions cumulables qui peuvent dépasser 35 M€.
Mobilisez les dates clés : marquage CE, registre européen et système de gestion des risques sont exigibles au 2 août 2026 pour les SIA haut risque listés en annexe III, étape pivot de votre planning RH.
Utilisez la documentation AI Act comme socle CSE : la « notice d'utilisation » exigée par l'article 13 du règlement constitue le matériau brut idéal pour informer les élus, à condition de la traduire en langage non technique.
Cadrez la supervision humaine : l'article 14 impose des mécanismes d'intervention effectifs (override, suspension, audit) que le CSE doit pouvoir auditer et qui conditionnent la validité du déploiement.
Séquencez la consultation : audit existant, DPIA + analyse de risques IA, dossier CSE, séance préalable, phase pilote encadrée, déploiement avec monitoring post-marché — comptez 4 à 7 mois selon la taille de l'entreprise.

Contexte : l'AI Act et le nouveau cadre de l'IA en milieu professionnel

Le Règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024. Il constitue, selon la Commission européenne, le premier cadre juridique global au monde sur l'intelligence artificielle. Son objectif est d'aboutir à une IA « digne de confiance » selon une approche graduée par les risques : inacceptable (interdit), haut risque (encadré strictement), risque limité (transparence) et risque minimal (libre).

Les outils utilisés dans la sphère RH occupent une place centrale dans l'architecture du règlement. L'annexe III, point 4, classe en haut risque les systèmes d'IA destinés à être utilisés pour :

le recrutement et la sélection de personnes physiques, notamment pour publier des offres ciblées et trier les candidatures ;
la prise de décision affectant les conditions des relations de travail, la promotion ou la rupture de contrat ;
l'attribution des tâches sur la base du comportement individuel ou de traits personnels ;
la surveillance et l'évaluation des performances et du comportement des travailleurs.

Le calendrier d'application est progressif. Comme le rappelle la Direction de l'information légale et administrative, les interdictions des SIA à risque inacceptable s'appliquent depuis le 2 février 2025, les obligations sur les modèles d'IA à usage général depuis le 2 août 2025, l'essentiel des règles haut risque au 2 août 2026, et l'application aux produits intégrant de l'IA haut risque au 2 août 2027.

Pour un DRH ou un directeur des opérations qui envisage de déployer un outil de scoring de CV ou un module d'évaluation de performance en 2026, la fenêtre de mise en conformité s'est déjà refermée pour beaucoup. Pour aller plus loin sur la portée du règlement, consultez le glossaire IA IAPRO et notre hub dédié conformité AI Act.

Classification des outils RH sous le régime du « haut risque »

L'AI Act distingue deux régimes principaux applicables aux RH. D'un côté, les systèmes décisionnels — ceux qui produisent ou orientent une décision concernant un salarié ou un candidat — basculent en haut risque. De l'autre, les IA génératives (rédaction d'annonces, synthèse d'entretiens) relèvent du régime de transparence et d'obligations limitées, à condition qu'elles n'interviennent pas dans le tri ou l'évaluation.

Concrètement, voici la cartographie que j'utilise systématiquement en audit IAPRO :

Type d'outil RH	Régime AI Act	Obligations principales
Logiciel de tri automatique de CV	Haut risque (annexe III §4)	Marquage CE, registre UE, DPIA, supervision humaine
Plateforme d'évaluation de performance algorithmique	Haut risque	Documentation technique, logs, qualité des données
Outil de matching offre/candidat avec score	Haut risque	Analyse de biais documentée, transparence du modèle
Chatbot RH (FAQ congés, paie)	Risque limité	Information utilisateur (interaction avec IA)
Génération d'offres d'emploi par LLM	Risque limité / hors champ	Transparence, supervision éditoriale
Surveillance comportementale (productivité)	Haut risque + zones interdites	Vigilance reconnaissance émotionnelle (interdite)

Attention au point d'attention majeur : la reconnaissance des émotions en milieu professionnel figure dans la liste des pratiques interdites depuis février 2025. Un outil de scoring d'entretiens vidéo qui prétend mesurer la « motivation » ou « l'engagement » du candidat tombe dans cette zone prohibée — sanction à la clé pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial selon les analyses de la DGE.

Les fournisseurs de SIA haut risque devront, avant commercialisation, obtenir un marquage CE et inscrire le système dans la base de données européenne prévue à l'article 71 du règlement. Les déployeurs — c'est-à-dire l'entreprise utilisatrice — héritent quant à eux d'obligations propres : vérifier l'usage conforme, assurer la supervision humaine, informer les salariés concernés.

Le cadre légal français : l'obligation de consultation du CSE

Le Code du travail français impose, antérieurement à l'AI Act, des règles strictes sur l'introduction de nouvelles technologies dans l'entreprise. Trois articles structurent l'obligation de consulter le CSE :

Article L2312-8 : le CSE est informé et consulté sur les questions intéressant l'organisation, la gestion et la marche générale de l'entreprise, notamment sur « l'introduction de nouvelles technologies, tout aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail ».
Article L2312-38 : prévoit la consultation préalable à la mise en œuvre dans l'entreprise de moyens ou techniques permettant un contrôle de l'activité des salariés.
Article L2312-37 : impose la consultation sur les orientations stratégiques, dont relève souvent un projet de transformation IA.

La position constante de la Cour de cassation (notamment Cass. soc. 26 juin 2013, n° 12-16.564) est que la consultation doit être préalable : elle intervient avant toute décision irréversible de déploiement, à un moment où les élus peuvent encore peser sur les choix. Un déploiement contractualisé avec un fournisseur SaaS avant consultation expose l'employeur à un délit d'entrave (article L2317-1, sanction pénale jusqu'à 7 500 € par élu concerné) et à la nullité de la décision.

Le CSE dispose en général d'un délai d'un mois pour rendre son avis (deux mois en cas d'expertise), portable à trois mois si une expertise externe est mandatée. Pour les entreprises de plus de 300 salariés, l'avis de la commission santé, sécurité et conditions de travail (CSSCT) doit également être recueilli.

Sur la coordination avec les autres procédures — notamment la DPIA exigée par la CNIL sur les traitements à grande échelle de données salariés — je renvoie à notre dossier conformité IA par métier.

L'intersection critique : quand l'AI Act devient un support au dialogue social

C'est l'angle stratégique que je mets en avant auprès des dirigeants : l'AI Act ne s'ajoute pas à la consultation CSE, il l'alimente. L'article 13 du règlement impose au fournisseur de SIA haut risque de mettre à disposition du déployeur une « notice d'utilisation » détaillée. Cette notice comprend :

les caractéristiques, capacités et limites du système d'IA, y compris son niveau d'exactitude attendu ;
les risques identifiés pour la santé, la sécurité ou les droits fondamentaux ;
les mesures de supervision humaine et les compétences requises pour l'opérer ;
les ressources informatiques et matérielles nécessaires ;
la durée de vie attendue et les mesures de maintenance.

Cette documentation technique constitue, traduite en langage accessible, le cœur du dossier de consultation CSE. Les élus du personnel n'ont pas besoin de comprendre l'architecture transformer d'un modèle Mistral 7B, mais ils ont le droit (et la compétence) d'évaluer les impacts concrets sur les salariés : risque de biais discriminatoire, modalités de contestation d'une décision automatisée, formation des managers, traçabilité des données traitées.

Dans la pratique IAPRO, je recommande un livrable de 25 à 40 pages structuré en quatre blocs : (1) finalité et périmètre de l'outil, (2) données mobilisées et garanties RGPD, (3) supervision humaine et procédures de recours, (4) plan d'accompagnement et formation. Ce format permet à un élu non technicien d'exercer son rôle. Il transforme la consultation d'un rituel formel en véritable validation de la conformité.

Sur les méthodes d'audit pré-déploiement, voir l'approche Regulia.fr, partenaire IAPRO sur les audits AI Act.

Les 4 piliers de la conformité pour les entreprises RH

Les entreprises qui déploient un SIA haut risque dans leur fonction RH doivent structurer leur démarche autour de quatre piliers opérationnels. Je les présente systématiquement aux DRH dans cet ordre.

Pilier 1 : système de gestion des risques documenté

L'article 9 du règlement impose un processus continu et itératif sur tout le cycle de vie du système. Il faut identifier, analyser, évaluer puis traiter les risques connus et raisonnablement prévisibles. La documentation doit être conservée et mise à jour à chaque évolution majeure du modèle (réentraînement, ajout de fonctionnalités, intégration de nouvelles sources de données).

Pilier 2 : gouvernance et qualité des données

L'article 10 fixe les exigences sur les jeux de données d'entraînement, de validation et de test : pertinence, représentativité, exactitude, absence d'erreurs. Pour un outil RH, cela implique une analyse de biais documentée par sexe, âge, origine déclarée, situation de handicap. Les données salariés mobilisées doivent respecter en parallèle le principe de minimisation du RGPD (article 5).

Pilier 3 : supervision humaine effective

L'article 14 du règlement exige que le SIA soit conçu de manière à être effectivement supervisé par des personnes physiques. Pour les outils RH, cela signifie : possibilité d'intervenir pour annuler ou modifier une décision, formation des opérateurs aux limites du système, mécanisme d'arrêt d'urgence, droit pour le salarié concerné d'obtenir une intervention humaine sur toute décision le concernant (réminiscence de l'article 22 du RGPD).

Pilier 4 : traçabilité et journalisation

L'article 12 impose l'enregistrement automatique des événements (logs) tout au long du cycle de vie du système, sur une durée appropriée. Concrètement, chaque décision automatisée doit pouvoir être rejouée : qui a déclenché l'analyse, sur quelles données, avec quel score, qui a validé. Cette traçabilité est aussi la matière première d'un éventuel contentieux prud'homal en cas de contestation d'un licenciement assisté par IA.

Pour structurer ces quatre piliers, je propose dans la formule IAPRO Conformité AI Act un accompagnement complet sur 6 à 9 semaines.

Méthodologie : roadmap pour une consultation CSE conforme à l'AI Act

Voici la roadmap en 6 étapes que j'applique systématiquement en mission IAPRO. Compter 4 à 7 mois entre le cadrage et le déploiement opérationnel.

Étape 1 — Audit de l'existant (2 à 4 semaines). Cartographier les outils IA déjà en place, parfois discrètement embarqués dans des SIRH (Workday, SAP SuccessFactors, Cornerstone). Identifier les briques tombant sous le coup de l'annexe III. Réaliser le diagnostic de maturité IA et le pré-classement réglementaire.

Étape 2 — Analyse d'impact croisée (3 à 5 semaines). Combiner la DPIA RGPD imposée par l'article 35 du RGPD avec l'analyse d'impact sur les droits fondamentaux exigée par l'article 27 de l'AI Act pour certains déployeurs (notamment ceux de droit public et les opérateurs essentiels). Documenter les risques de discrimination, d'erreur, de surveillance excessive.

Étape 3 — Rédaction du dossier de consultation (2 à 3 semaines). Compiler la notice fournisseur, l'analyse d'impact, le plan de supervision humaine, le dispositif de formation et la procédure de recours salarié. Le dossier doit être remis aux élus au moins 8 jours avant la séance pour leur permettre un examen utile.

Étape 4 — Séance de dialogue avec le CSE (1 à 3 mois). Présentation par la direction, questions des élus, échange sur les amendements possibles. Si une expertise est mandatée (article L2315-94), le délai de consultation passe à 2 mois.

Étape 5 — Phase pilote, éventuellement en bac à sable réglementaire (2 à 4 mois). Comme le rappelle la DGE, des bacs à sable réglementaires nationaux sont mis en place depuis le 2 août 2026 pour accompagner les entreprises, en particulier les PME. Tester l'outil sur un périmètre restreint, mesurer les écarts entre comportement attendu et comportement observé.

Étape 6 — Déploiement et monitoring post-marché. Mise en production avec tableau de bord des performances, des incidents et des recours salariés. Reporting annuel au CSE. Pour estimer le budget complet d'une telle démarche, le calculateur ROI IA IAPRO intègre désormais les coûts de conformité.

Risques, sanctions et responsabilité des dirigeants

Le cumul des sanctions potentielles est ce qui devrait alerter en priorité les directions générales. Sur le volet AI Act, l'article 99 du règlement prévoit trois paliers d'amendes administratives :

jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (le plus élevé) pour le non-respect des pratiques interdites ;
jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations applicables aux SIA haut risque, aux fournisseurs et aux déployeurs ;
jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes aux autorités.

Sur le volet français, le défaut de consultation préalable du CSE constitue un délit d'entrave réprimé par l'article L2317-1 du Code du travail : amende pouvant atteindre 7 500 € par élu lésé, voire des peines d'emprisonnement en cas de récidive caractérisée. Au-delà des sanctions pénales, la nullité de la décision peut être prononcée par le juge, contraignant à un retrait de l'outil et à des dommages-intérêts pour les salariés concernés.

S'ajoutent les contentieux prud'homaux : un licenciement assisté par un outil IA dont la conformité AI Act ou la consultation CSE serait défaillante expose l'employeur à un risque massif de requalification en licenciement sans cause réelle et sérieuse. La CNIL peut également intervenir sur le terrain RGPD avec des sanctions atteignant 4 % du chiffre d'affaires mondial.

La responsabilité se partage entre fournisseur du système (responsable du marquage CE, de la documentation technique, du suivi post-marché) et déployeur (responsable de l'usage conforme, de la supervision humaine, de l'information des salariés). Aucune clause contractuelle ne peut transférer intégralement la responsabilité du déployeur vers le fournisseur. Pour un panorama des aides mobilisables pour financer la mise en conformité, consultez notre hub aides IA et numérique.

Vers une IA souveraine et éthique : le rôle de la confiance

Au-delà du strict respect réglementaire, la double conformité AI Act + consultation CSE est un excellent investissement de gouvernance. L'approche que je défends chez IAPRO repose sur trois constats issus de mes accompagnements 2024-2025.

Premier constat : la transparence proactive réduit les résistances sociales. Les outils IA déployés sans concertation déclenchent presque systématiquement des conflits, parfois des préavis de grève. À l'inverse, un projet présenté en amont au CSE avec une notice claire, des engagements de supervision humaine et un mécanisme de recours rencontre une adoption nettement plus rapide.

Deuxième constat : l'IA souveraine on-premise (Mistral 7B, Llama 3, Qwen déployés sur infrastructure interne avec Ollama et OpenWebUI) simplifie considérablement la consultation CSE. Les données salariés ne sortent pas du périmètre de l'entreprise, l'argumentaire RGPD est immédiat, et les élus peuvent visiter physiquement le serveur. C'est radicalement plus simple à défendre qu'un SaaS américain dont le traitement échappe en partie à l'employeur.

Troisième constat : le ROI réel d'une démarche structurée tient à trois facteurs cumulés — sécurité juridique (évitement de l'amende et du contentieux), efficacité opérationnelle (un outil bien adopté produit ses gains de productivité) et protection de la marque employeur. Sur un projet RH typique en ETI de 500 salariés, j'observe un retour sur investissement de la démarche de conformité sous 14 à 22 mois.

FAQ — AI Act et consultation du CSE

Quels outils RH spécifiques sont classés « à haut risque » par l'AI Act ?

L'annexe III §4 du Règlement (UE) 2024/1689 classe en haut risque les SIA destinés au recrutement, à la sélection de candidats, à la prise de décision sur la promotion ou la rupture de contrat, à l'attribution des tâches sur la base du comportement, et à l'évaluation des performances et du comportement des travailleurs. Un chatbot d'information RH généraliste reste hors champ.

Quelle est la date limite pour se mettre en conformité avec les obligations de marquage CE ?

Le 2 août 2026 marque l'application complète des obligations haut risque pour les SIA listés en annexe III : marquage CE, inscription au registre européen, système de gestion des risques, supervision humaine documentée. Pour les SIA intégrés à des produits réglementés (machines, dispositifs médicaux), la date d'application est repoussée au 2 août 2027.

La consultation du CSE est-elle obligatoire même si l'IA n'est pas utilisée pour le recrutement ?

Oui. L'article L2312-8 du Code du travail vise toute introduction de nouvelle technologie modifiant les conditions de travail. Un outil d'IA d'aide à la décision managériale, de planning automatisé ou de surveillance des performances déclenche l'obligation de consultation, indépendamment du champ recrutement. La jurisprudence est constante sur ce point.

Comment différencier les obligations RGPD et AI Act pour les données des salariés ?

Le RGPD encadre le traitement des données personnelles (base légale, minimisation, droit d'accès). L'AI Act encadre le système lui-même : architecture, jeux d'entraînement, supervision, traçabilité. Les deux régimes s'appliquent cumulativement. La DPIA RGPD et l'analyse de risques AI Act peuvent être fusionnées en un seul document opérationnel pour gagner en cohérence.

Qu'est-ce qu'un « bac à sable réglementaire » pour une entreprise RH ?

C'est un cadre contrôlé organisé par l'autorité nationale compétente (en France, en cours de désignation finale) où une entreprise peut tester un SIA innovant en conditions réelles avec une souplesse temporaire des règles, sous supervision du régulateur. Les PME y ont un accès prioritaire et gratuit selon l'article 58 du règlement. Très utile pour valider un outil RH avant déploiement large.

Qui est responsable en cas de biais discriminatoire généré par une IA de tri de CV ?

La responsabilité est partagée. Le fournisseur du SIA est responsable de la qualité des données d'entraînement, de l'absence de biais structurels et de la documentation technique. Le déployeur (l'entreprise utilisatrice) est responsable de l'usage conforme, de la supervision humaine et du paramétrage local. Devant le juge prud'homal, le déployeur reste l'employeur et porte la responsabilité finale envers le salarié.

Le CSE peut-il bloquer le déploiement d'un outil d'IA ?

Le CSE émet un avis consultatif, non un veto. Toutefois, un avis négatif circonstancié constitue un signal fort qui doit être pris en compte ; passer outre sans justification expose à un risque contentieux et à une nullité éventuelle. Le déploiement d'un outil IA sans consultation préalable engagée constitue en revanche un délit d'entrave sanctionnable pénalement.

Quelles informations techniques spécifiques l'entreprise doit-elle fournir au CSE ?

Le dossier doit comprendre la finalité du système, les catégories de données mobilisées, l'analyse de biais documentée, les modalités de supervision humaine, le dispositif de formation des opérateurs, la procédure de recours salarié, le calendrier de déploiement et le plan de monitoring. Idéalement, une synthèse de la notice fournisseur prévue à l'article 13 du Règlement (UE) 2024/1689.

Existe-t-il des exemptions pour les PME concernant la consultation du CSE sur l'IA ?

Les entreprises de moins de 11 salariés n'ont pas d'obligation de CSE. Entre 11 et 49 salariés, le CSE existe avec des attributions allégées mais l'information-consultation sur l'introduction de nouvelles technologies demeure. Au-delà de 50 salariés, le régime complet s'applique. Côté AI Act, aucune exemption sur les obligations haut risque, mais un accès prioritaire aux bacs à sable réglementaires.

Comment garantir une « supervision humaine » efficace selon les critères de l'AI Act ?

L'article 14 du règlement impose quatre conditions : compréhension par l'opérateur des capacités et limites du système, conscience du « biais d'automatisation » (sur-confiance dans la machine), capacité d'interpréter correctement la sortie, capacité de décider de ne pas utiliser le système ou d'annuler sa décision. En pratique : formation initiale documentée, recyclage annuel, tableau de bord des cas d'override et procédure d'escalade claire.

Pour aller plus loin avec IAPRO

La formule IAPRO Conformité AI Act propose un accompagnement intégré sur 6 à 9 semaines : audit du parc IA existant, classification réglementaire, rédaction du dossier de consultation CSE, formation des managers et des élus, mise en place du monitoring post-marché. Pour les ETI engageant un déploiement d'IA souveraine on-premise (Mistral, Llama, Qwen sur infrastructure interne), nous couvrons l'installation technique et le volet juridique d'un seul tenant. Échangeons sur votre projet : contact IAPRO.