Pour beaucoup de DRH, l'AI Act reste un objet flou : un règlement technique européen dont l'échéance vient, dit-on, d'être repoussée à fin 2027. Le report récent des principales obligations à décembre 2027 laisse intactes deux règles déjà en vigueur : l'interdiction de certains usages, et l'obligation de former ses équipes à l'IA.
Pour s'y retrouver, trois questions suffisent : quels usages sont concernés, qui porte quelles obligations, à quelle échéance. Voici la carte, case par case.
La grille de lecture : quatre niveaux de risque
Le règlement européen sur l'intelligence artificielle, adopté en 2024, gradue ses obligations selon un seul critère : le risque que l'usage fait courir aux personnes. C'est l'usage qui compte, le même outil pouvant changer de catégorie selon ce qu'on lui fait faire. Un modèle de langage relève du risque minimal pour rédiger une note interne, et du haut risque pour trier des candidatures.
Quatre niveaux structurent tout le texte.
- Risque inacceptable : usage interdit.
- Haut risque : usage autorisé, sous conditions strictes.
- Risque limité : obligation de transparence, c'est-à-dire signaler qu'une IA est à l'œuvre.
- Risque minimal : aucune obligation spécifique.
Ces quatre niveaux dessinent la première logique du texte : le poids des obligations dépend de l'usage. Une seconde logique s'y superpose, indépendante du risque et du service concerné : l'obligation de littératie, qui pèse sur tous les usages d'IA de l'entreprise. Elle fait l'objet d'une section à part, plus bas.
Où tombent vos outils RH
L'emploi occupe une place entière dans le règlement. La plupart des usages RH se rangent dans la grille comme suit.
| Usage d'IA en RH | Niveau de risque | Ce que ça déclenche |
|---|---|---|
| Détecter les émotions d'un candidat ou d'un salarié (expressions du visage, voix, comportement) | Inacceptable | Usage interdit depuis février 2025 |
| Trier, scorer ou filtrer des candidatures ; analyser des entretiens vidéo | Haut risque | Les obligations du déployeur (ci-dessous) |
| Décider sur la relation de travail : affectation, évaluation, promotion, rupture, suivi de la performance | Haut risque | Les obligations du déployeur (ci-dessous) |
| Chatbot RH, assistant de réponse aux salariés | Transparence | Informer la personne qu'elle s'adresse à une IA |
| IA générative pour rédiger une note, un compte rendu, une synthèse | Minimal | Aucune obligation spécifique |
La ligne de partage est simple : dès qu'un outil participe à une décision qui engage le parcours d'un salarié ou d'un candidat, il bascule en haut risque. Le SIRH qui pré-classe des dossiers, l'outil qui repère les « hauts potentiels », le logiciel qui mesure la productivité d'une équipe : tous entrent dans le champ.
Comme déployeur, vous portez trois obligations
Le règlement distingue deux rôles. Le fournisseur conçoit le système et le met sur le marché. Le déployeur l'utilise dans le cadre de son activité. Une DRH qui achète un outil de recrutement doté d'IA est un déployeur, et porte des obligations propres, distinctes de celles de l'éditeur.
Tout commence par un inventaire. On encadre seulement ce qu'on a identifié. La plupart des DRH sous-estiment le nombre d'outils RH déjà dotés d'IA, shadow IA compris : ces usages adoptés par les équipes en dehors de tout cadre, comme un recruteur qui passe les CV dans un outil de tri, ou un manager qui rédige ses évaluations avec un assistant. Une fois la liste des outils et des décisions qu'ils touchent posée, chaque obligation se traduit en gestes précis.
1. Garantir une supervision humaine effective. Le règlement veut qu'une personne reste maître de la décision. Concrètement : désigner qui valide la décision finale, lui donner accès au dossier complet et au-delà du seul score produit par l'outil, et lui laisser la possibilité de s'écarter de la recommandation en traçant pourquoi. La validation automatique « en un clic » sur une liste déjà pré-classée vide l'obligation de son sens.
2. Surveiller le système et tracer son activité. Concrètement : tenir un registre des outils d'IA en RH (quel outil, pour quelle finalité, sur quelles données, quel fournisseur), conserver les journaux d'activité, et fixer un rendez-vous de revue régulier pour examiner les résultats : volumes traités, écarts constatés, signaux de biais entre profils de candidats. Ce registre sert à la fois la conformité et le pilotage.
3. Informer les travailleurs et leurs représentants avant la mise en service. Concrètement : prévenir les salariés concernés, et inscrire le déploiement à l'ordre du jour du CSE en amont du projet. Les tribunaux ont déjà imposé cette consultation pour des logiciels RH dotés d'IA, au titre de l'introduction de nouvelles technologies. Une note décrivant l'outil, sa finalité et les garanties prévues prépare utilement cette étape.
La littératie IA : une obligation transversale, déjà en vigueur et rarement appliquée
Les trois obligations ci-dessus dépendent du niveau de risque. La littératie échappe à cette échelle. L'article 4 du règlement impose à tout employeur qui déploie de l'IA, quel que soit le service et quel que soit le niveau de risque, de garantir un niveau de compétence suffisant chez les personnes qui s'en servent. Le périmètre couvre tous les outils d'IA de l'entreprise, pas seulement les outils RH : l'assistant juridique, l'IA marketing, le copilote bureautique des équipes finance, autant que les outils de recrutement.
Deux choses la mettent à part. Elle s'applique depuis le 2 février 2025, sans report. Et elle reste très peu mise en œuvre : beaucoup d'organisations forment leurs équipes sans savoir qu'il s'agit d'une obligation, ou ne les forment pas du tout. Le constat des cabinets juridiques est net : sans plan de montée en compétence IA aujourd'hui, une entreprise est déjà en défaut, même si la surveillance des autorités (en France, la CNIL sur le volet IA) monte en charge progressivement.
Reste la question qui décide de l'action d'un DRH : quel risque réel ? La littératie n'a pas d'amende dédiée dans le règlement. Son absence pèse en revanche comme circonstance aggravante. Le jour où un outil RH cause un préjudice, un tri discriminatoire ou une décision contestée, le défaut de formation alourdit la responsabilité de l'employeur, et les autorités l'examinent dans toute revue de conformité. Documenter un plan de formation IA revient à une assurance peu coûteuse au regard de ce qu'elle couvre, et c'est cette trace qui se présente le jour d'un contrôle ou d'un litige.
La conformité n'est que le plancher. L'enjeu de fond se joue sur les parcours professionnels. Une IA qui entre dans un métier en redessine les gestes en quelques mois ; sans montée en compétence organisée, l'écart se creuse entre ce que l'outil fait et ce que le salarié sait faire, et des compétences se périment pendant que d'autres viennent à manquer. Former à l'IA, c'est entretenir l'employabilité des équipes, sécuriser les trajectoires et alimenter la GEPP (la gestion des emplois et des parcours professionnels). La littératie rejoint là le cœur du métier RH : tenir un collectif capable de suivre la transformation, poste après poste, au lieu de la subir.
Concrètement : repérer qui utilise de l'IA dans l'entreprise, au-delà de la seule RH, définir le socle que chacun doit maîtriser, puis former et garder une trace de cette formation. Ce socle couvre ce que l'outil fait et ce qu'il ne fait pas, ses biais connus, le moment de reprendre la main, et les usages prohibés comme la détection des émotions. Le niveau s'ajuste à l'usage : un recruteur qui s'appuie sur un scoring et un cadre qui choisit les solutions ont besoin de bagages différents.
Pour un DRH, l'obligation dépasse le périmètre des outils RH. Elle porte sur toute l'entreprise, mais sa mise en œuvre (former, sensibiliser, tracer les compétences) revient le plus souvent à la fonction RH et formation, qui se retrouve à porter le sujet pour l'ensemble des équipes.
Le calendrier tient en trois repères
C'est ici que naît la confusion. En mai 2026, l'Union a adopté le « Digital Omnibus », qui repousse l'application des obligations haut risque. Beaucoup l'ont lu comme un répit général. Il vise un seul bloc.
- Déjà applicable, depuis le 2 février 2025 : les interdictions (dont la reconnaissance des émotions au travail) et l'obligation de littératie IA. Ces règles s'appliquent maintenant.
- Reporté au 2 décembre 2027 : les obligations sur les systèmes haut risque de l'annexe III, décalées du 2 août 2026 faute de normes techniques prêtes à temps.
- Les sanctions vont par étages : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour un usage interdit (article 5) ; jusqu'à 15 M€ ou 3 % pour un manquement aux obligations sur le haut risque (le périmètre du déployeur RH) ; jusqu'à 7,5 M€ ou 1 % pour de fausses informations aux autorités. Le régime de sanctions devient applicable le 2 août 2026 ; les amendes sur le haut risque, elles, suivent l'entrée en vigueur de ces obligations, soit le 2 décembre 2027.
Lire le report comme un répit, c'est repousser un chantier qui demande plusieurs mois, sur des outils déjà installés dans la plupart des organisations.
Au-delà de la conformité, une fenêtre pour la DRH
L'AI Act place la fonction RH dans une position qu'elle n'avait pas sur les vagues technologiques précédentes. En faisant de l'information et de la supervision humaine des obligations, le règlement inscrit dans la loi une idée simple : l'IA au travail est d'abord une affaire d'organisation et de personnes, avant d'être une affaire de systèmes.
Cela crée une marge de manœuvre. La fonction RH peut absorber le sujet comme une contrainte de plus, ou s'en saisir pour cadrer la manière dont l'IA entre dans les métiers : quels usages, à quelles conditions, avec quelles garanties pour les salariés. Ce qui sépare les deux trajectoires se joue du côté de qui garde la main sur le calendrier et le cadre du déploiement.
La DRH arrive sur ce terrain avec une légitimité que peu d'autres directions possèdent : elle connaît les métiers, les parcours, et le dialogue avec les représentants du personnel. Le règlement lui en donne le mandat. Reste à s'en servir avant que les outils, eux, n'imposent leur propre rythme.