L'EU AI Act est entré en vigueur en août 2024 et son application s'étale jusqu'en 2027. Pour une direction RH, c'est l'un des règlements les plus structurants depuis le RGPD. La raison est simple : le règlement classe en « haut risque » la plupart des systèmes IA utilisés dans le recrutement, l'évaluation, la promotion et la cessation des relations de travail.
Cela ne veut pas dire qu'il faut tout interdire. Cela veut dire qu'il faut documenter, superviser et informer, ce que beaucoup d'organisations ne font pas encore.
Pourquoi la fonction RH est particulièrement exposée
Le règlement liste explicitement les usages RH en annexe III. Tri de CV, scoring de candidats, planification automatique, évaluation de performance assistée, voire suggestions de mobilité interne : autant de cas qui basculent dans le régime « haut risque ».
Concrètement, un copilote RH qui suggère qui promouvoir, qui licencier, ou qui appeler en entretien tombe sous ces obligations. Y compris si l'humain garde la main, ce qui est presque toujours le cas en pratique.
Les obligations qui arrivent vraiment
Trois grands blocs : transparence (informer les candidats et les salariés), supervision humaine (l'IA ne décide pas seule), traçabilité (être capable d'expliquer une décision). À cela s'ajoute la documentation technique et la déclaration au registre européen pour les fournisseurs de systèmes à haut risque.
La mauvaise surprise, pour beaucoup d'organisations, est qu'utiliser un copilote tiers ne dispense pas d'avoir sa propre documentation interne. Vous restez « déployeur » au sens du règlement.
Vue synthétique des principales obligations pour la fonction RH belge, leur périmètre et le premier geste opérationnel à poser.
| Obligation | Qui est concerné | Échéance | Action concrète |
|---|---|---|---|
| Inventaire des systèmes IA à haut risque (annexe III) | Déployeur RH (toute organisation utilisant un outil IA RH) | Août 2026 | Tenir un registre interne des outils IA RH avec finalité, fournisseur et catégorie de risque. |
| Information des candidats et des salariés | Déployeur RH | Août 2026 | Mettre à jour les politiques de recrutement, contrats de travail et règlements de travail. |
| Supervision humaine effective | Déployeur RH | Août 2026 | Désigner un référent IA RH habilité à contredire la recommandation algorithmique. |
| Évaluation d'impact sur les droits fondamentaux (FRIA) | Déployeur public ou banque/assurance utilisant l'IA RH à haut risque | Août 2026 | Documenter l'analyse FRIA avant la première mise en service du système. |
| Documentation technique et logs | Fournisseur du système IA RH | Août 2026 | Exiger la fiche technique du fournisseur et conserver les logs au moins six mois. |
| Notification d'incident grave | Fournisseur et déployeur | Août 2026 (15 jours, 2 jours en cas d'événement de masse) | Définir une procédure interne de notification à l'autorité nationale compétente. |
Trois réflexes immédiats
Premier réflexe : un inventaire. Quels outils IA sont déjà utilisés par les équipes RH et les managers ? Quels usages tolère-t-on en pratique sans cadre ?
Deuxième réflexe : une politique d'usage IA dédiée à la fonction RH. Courte, lisible, distribuée. Elle dit ce qui est autorisé, ce qui ne l'est pas, et ce qui doit être déclaré.
Troisième réflexe : former les managers. Ce sont eux qui produisent l'essentiel des écrits sensibles (entretiens annuels, feedbacks, comptes-rendus). Sans cadre, ils utiliseront ChatGPT en personnel sur des contenus qui ne devraient pas y aller.
Erreurs à éviter
Croire que le « haut risque » concerne uniquement les très grandes entreprises ou les outils sophistiqués. Faux : un outil simple qui présélectionne des CV peut suffire à basculer dans le régime.
Confondre RGPD et EU AI Act. Le RGPD reste applicable mais ne couvre pas tout. L'AI Act ajoute des obligations spécifiques au système IA lui-même, pas seulement aux données.
Penser que le « zéro IA » est une option. Le shadow AI s'installe partout. Mieux vaut un cadre que pas de cadre.
