CNIL et IA dans les RH : le cadre juridique 2026 que chaque DRH doit connaître
La CNIL a publié en février 2026 un avis de référence sur l'utilisation de l'intelligence artificielle dans les ressources humaines. Le document détaille les conditions d'usage licite pour le recrutement, l'évaluation des performances et la surveillance des salariés, tout en dressant une liste des pratiques prohibées.
Contexte : pourquoi la CNIL intervient sur l'IA RH
L'explosion des outils d'IA dans les processus RH — ATS (Applicant Tracking System) avec scoring automatisé, outils d'analyse comportementale en entretien vidéo, logiciels de surveillance de la productivité — a conduit la CNIL à clarifier le cadre juridique applicable. L'avis publié le 18 février 2026 constitue une doctrine opposable que les entreprises doivent intégrer dans leurs pratiques sans délai.
Ce que la CNIL interdit explicitement
L'avis établit une liste de pratiques considérées comme illicites au regard du RGPD et du Code du travail :
- Analyse d'émotions en entretien vidéo : les outils qui prétendent détecter le stress, la confiance ou la sincérité d'un candidat via sa mimique ou sa voix sont prohibés — la base légale est absente et la fiabilité scientifique non démontrée
- Scoring automatisé sans intervention humaine : toute décision de rejet ou de sélection de candidat fondée exclusivement sur un algorithme est illicite (article 22 RGPD)
- Surveillance continue des salariés : le monitoring permanent de l'activité clavier, des captures d'écran automatiques ou du suivi géolocalisé en continu est disproportionné au regard des droits fondamentaux
- Collecte de données hors contexte professionnel : l'analyse des profils de réseaux sociaux personnels sans consentement explicite est interdite
Ce qui est autorisé sous conditions
La CNIL ne prohibe pas l'IA en RH dans son ensemble. Plusieurs usages sont admis sous réserve de respecter des conditions strictes :
- Les outils d'aide à la rédaction d'offres d'emploi inclusives sont autorisés
- L'analyse sémantique des CV est licite si elle reste un outil d'aide à la décision humaine
- Les chatbots de réponse aux candidats sont admis avec information préalable obligatoire
- La planification prédictive des besoins en personnel est autorisée sur données agrégées et anonymisées
Obligation d'information renforcée
Tout candidat ou salarié faisant l'objet d'un traitement IA doit être informé de manière spécifique : nature de l'outil utilisé, logique sous-jacente, et droit à une révision humaine de la décision. Une mention générique dans la politique de confidentialité RH est insuffisante selon la CNIL.
Risques de discrimination algorithmique : la responsabilité de l'employeur
La CNIL insiste sur la notion de discrimination indirecte. Un algorithme de scoring entraîné sur des données historiques de recrutement peut reproduire et amplifier des biais existants — par exemple défavoriser certaines écoles, certains codes postaux ou certains parcours atypiques sans que ce critère soit explicite. L'employeur reste responsable des biais de l'outil qu'il utilise, même s'il est fourni par un tiers.
Pour les outils classifiés « haut risque » sous l'AI Act européen (systèmes RH automatisés affectant l'emploi), des obligations supplémentaires s'appliquent : documentation technique, évaluation de conformité, enregistrement dans la base de données EU.
Ce qu'il faut retenir
- L'analyse d'émotions en entretien et le scoring RH 100% automatisé sont prohibés
- Toute décision RH assistée par IA doit rester sous contrôle humain effectif
- L'information des candidats et salariés sur l'usage d'IA est une obligation légale précise
- L'employeur est responsable des biais des outils qu'il déploie, même fournis par des tiers
- Les DRH doivent auditer leurs outils actuels et mettre à jour leurs AIPD avant juin 2026