Comment auditer un chatbot RH sous AI Act haut risque (Annexe III) ?
Mis à jour le 15 mai 2026 · 9 min de lecture · Sources : règlement UE 2024/1689, CNIL, AI Office
Le chatbot RH fait partie des cas d'usage les plus sous-estimés par les PME. Beaucoup d'équipes le considèrent comme un simple assistant conversationnel : il répond aux candidats, reformule des critères, prépare des synthèses ou aide à la présélection. En réalité, dès qu'il influence l'accès à l'emploi, l'évaluation d'un profil ou la gestion de travailleurs, il doit être relu à l'aune de l'Annexe III de l'AI Act, catégorie 4.
C'est précisément ce qui rend l'audit indispensable. Le règlement UE 2024/1689, entré en vigueur le 1er août 2024, impose une logique de preuve, de supervision et de documentation renforcée sur les usages haut risque. Une PME qui déploie un chatbot RH tiers n'est pas spectatrice. Elle devient déployeur au sens de l'Article 26 et doit démontrer que l'outil est utilisé dans un cadre compatible avec la réglementation, la protection des candidats et les exigences de transparence.
À J-80, la bonne question n'est donc pas "notre chatbot utilise-t-il une IA sophistiquée ?", mais "ce chatbot influence-t-il une décision RH sensible, et sommes-nous capables de le prouver, de le contrôler et de l'expliquer ?".
Pourquoi un chatbot RH peut devenir haut risque
L'Annexe III couvre les systèmes utilisés pour le recrutement, la sélection, l'évaluation ou la gestion des travailleurs. Un chatbot RH peut sembler anodin tant qu'il se contente d'informer sur le processus de candidature. Mais dès qu'il classe des profils, pose des questions filtrantes, recommande des entretiens, note des réponses ou personnalise la suite d'un parcours candidat, il influence directement l'accès à l'emploi.
Ce basculement change tout. Il faut regarder la qualité des données d'entrée, la logique de recommandation, les biais potentiels, les marges d'erreur, le rôle du recruteur humain et la manière dont le candidat est informé. Un outil présenté comme assistant peut en pratique devenir un décideur caché si les équipes RH suivent ses recommandations sans recul.
Pour cette raison, l'audit doit partir de l'usage réel, pas de la fiche commerciale du fournisseur. Deux chatbots vendus sous la même étiquette SaaS peuvent avoir des niveaux de risque radicalement différents selon les tâches qu'on leur confie.
Les 5 étapes d'audit d'un chatbot RH
Étape 1
Qualification haut risque
Commencez par qualifier le chatbot RH au regard de l'Annexe III, catégorie emploi et gestion des travailleurs. Si l'outil influence le tri, l'évaluation, la recommandation ou la sélection d'un candidat, il sort du simple assistant générique et entre dans une zone hautement sensible.
Étape 2
Demande de documentation technique au fournisseur
L'Article 13 et la logique générale du règlement supposent que vous puissiez comprendre le fonctionnement, les limites, les données d'entrée, les hypothèses de performance et les garde-fous du système. Sans documentation exploitable, un déploiement RH reste très difficile à défendre.
Étape 3
Évaluation de conformité interne
Le déployeur doit vérifier que le chatbot est utilisé conformément à sa destination, dans un périmètre encadré, avec des règles internes claires. L'audit doit documenter les processus concernés, les personnes impactées, les décisions influencées et le rôle exact des recruteurs humains.
Étape 4
DPIA obligatoire quand le chatbot traite des données personnelles
Un chatbot RH manipule presque toujours des données personnelles, parfois sensibles. Le croisement RGPD-AI Act impose donc une revue sérieuse des risques pour les candidats et salariés, des biais potentiels et des conséquences d'une mauvaise recommandation.
Étape 5
Surveillance humaine effective
Il faut désigner qui contrôle les recommandations du chatbot, qui peut suspendre l'outil, qui revoit les cas douteux et comment les candidats peuvent obtenir une intervention humaine. Sans ce filet, l'usage bascule dans une automatisation non maîtrisée.
J-80 avant l'échéance AI Act
Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.
Commencer l'évaluation gratuite →Ce que dit la CNIL et pourquoi le croisement RGPD est incontournable
Côté français, la CNIL reste un repère central dès qu'un outil RH traite des données personnelles et peut produire un effet significatif sur un candidat ou un salarié. Un chatbot RH traite rarement des données neutres : CV, historique d'échanges, évaluations, réponses libres, disponibilité, localisation, parfois même éléments sensibles révélés au détour d'une conversation. L'analyse d'impact ne peut donc pas être contournée.
La CNIL insiste également sur la transparence, la proportionnalité et la maîtrise des décisions automatisées. Pour une PME, cela implique de décrire clairement le rôle du chatbot, d'expliquer quand il assiste un recruteur et quand un humain reprend la main, et d'éviter tout scénario où l'outil éliminerait des profils sans contrôle explicite. Le respect du RGPD renforce ainsi directement la robustesse de votre dossier AI Act.
En pratique, l'audit doit documenter les points suivants : catégories de données traitées, base juridique, information des candidats, règles de conservation, critères de recommandation, procédure de contestation, journal des décisions et responsabilités internes. Ce sont ces éléments qui permettent de démontrer qu'un chatbot RH reste un outil encadré et non une boîte noire.
Digital Omnibus : la simplification annoncée ne neutralise pas le risque RH
L'accord politique du 7 mai 2026 autour du Digital Omnibus est régulièrement cité pour rassurer les PME. Il prévoit notamment d'étendre certaines facilités aux structures jusqu'à 750 salariés et d'alléger une partie de la documentation pour les micro-entreprises. C'est une évolution utile, mais elle ne retire pas les usages RH du périmètre sensible.
Un chatbot qui influence le recrutement reste un sujet haut risque, qu'il soit exploité par une entreprise de 30 ou de 500 salariés. La simplification peut alléger la manière de documenter ; elle ne supprime ni la nécessité de qualifier l'usage, ni celle de mettre en place une supervision humaine, ni l'obligation de coopérer avec l'autorité compétente.
La bonne lecture pour une PME est donc simple : profitez du contexte européen pour structurer votre audit avec pragmatisme, mais ne considérez jamais le sujet RH comme mineur. C'est souvent là que le risque de contrôle, de plainte ou de contestation individuelle est le plus immédiat.
La checklist documentaire avant mise en production
Avant toute mise en service d'un chatbot RH, la PME devrait pouvoir réunir un paquet documentaire minimal. Il comprend la description fonctionnelle de l'outil, la finalité exacte dans le processus RH, la documentation fournisseur, les limites connues, la liste des données d'entrée, la procédure de contrôle humain, les informations destinées aux candidats et la preuve de revue par les équipes DPO, RH et DSI. Sans ce socle, l'audit reste théorique et le déploiement s'expose à des arbitrages improvisés.
Il faut aussi prévoir la vie après le lancement. Un chatbot RH évolue vite : prompts modifiés, nouvelles sources de données, enrichissement par des bases internes, changement de modèle ou de version fournisseur. Chacune de ces évolutions peut modifier le profil de risque. La gouvernance doit donc inclure une revue périodique, un journal des incidents et un déclencheur clair de réévaluation si le chatbot prend plus de poids dans la décision de recrutement ou de gestion des travailleurs.
Cette discipline documentaire n'est pas un luxe administratif. C'est ce qui protège la PME contre le scénario classique du "l'outil faisait plus que ce que nous pensions". En matière RH, cette phrase suffit souvent à transformer un projet prometteur en incident sensible.
Questions fréquentes
Un chatbot RH est-il toujours haut risque ?
Pas automatiquement, mais dès qu'il influence des décisions de recrutement, d'accès à l'emploi, d'évaluation ou de gestion des travailleurs, l'Annexe III catégorie 4 devient le bon point d'analyse. Un simple FAQ interne n'a pas le même profil qu'un outil de présélection.
Puis-je me reposer uniquement sur mon fournisseur SaaS ?
Non. Le fournisseur doit documenter l'outil, mais la PME qui le déploie reste responsable de son usage réel, de la supervision humaine, du registre, de la transparence et du croisement avec le RGPD.
La CNIL intervient-elle sur un chatbot RH ?
Oui dès lors que l'outil traite des données personnelles et peut affecter les droits des candidats ou salariés. La CNIL reste un interlocuteur central pour la DPIA, la transparence et l'encadrement des traitements.
Quel est le premier livrable à produire ?
Une fiche d'usage complète : finalité du chatbot, étapes du recrutement concernées, données traitées, décisions influencées, fournisseur, supervision humaine, documentation disponible et écarts immédiats à corriger.
Sources
- Règlement UE 2024/1689 (JOUE L 2024/1689)
- CNIL - IA, recrutement et décisions individuelles
- European AI Office - haut risque et obligations de gouvernance
- Accord politique Digital Omnibus du 7 mai 2026
Prêt à évaluer votre conformité AI Act ?
10 minutes · Gratuit · Rapport personnalisé immédiat
Démarrer l'évaluation gratuite →Audit complet PDF 16 pages disponible à 199€