Mis à jour le 19 mai 2026 · L'accord politique provisoire Digital Omnibus AI Act (7 mai 2026) déplacerait les obligations Annexe III haut risque (incluant §4 emploi) du 2 août 2026 au 2 décembre 2027. Statut au 28 mai 2026 : accord provisoire, pas encore formellement adopté (endossement Conseil/Parlement, révision juridico-linguistique et publication au JO restent à venir). À distinguer : l'interdiction Article 5(1)(f) (reconnaissance d'émotions au travail) est, elle, en vigueur depuis le 2 février 2025. Le 19 mai 2026, la Commission a publié son Projet de lignes directrices sur l'Article 6 (consultation ouverte jusqu'au 23 juin 2026), qui interprète le recrutement largement et traite les annonces ciblées par profilage comme haut risque.
AI Act pré-conformité · Secteur RH (Annexe III §4)
L'IA emploi sous l'EU AI Act
Annexe III §4, et ce que cela signifie pour les DRH et CHRO d'employeurs européens.
L'IA utilisée pour le recrutement, le screening, l'évaluation de performance ou la résiliation déclenche l'Annexe III §4. La plupart des déployeurs HR ignorent qu'ils sont déployeurs ; Annex A §0.2 appelle cela le recognition gap. Le Digital Omnibus (adopté le 29 juin 2026, PE 16 juin) déplace les obligations Annexe III §4 du 2 août 2026 au 2 décembre 2027 (publication JO imminente). La cascade déployeur est structurelle : Article 26 §1–§12, DPIA RGPD Article 35 (Art. 26 §9), check Article 25(1)(b) reverse-bascule, et le gate de pratique interdite Article 5(1)(f) déjà en vigueur depuis le 2 février 2025. La FRIA Article 27 N'EST PAS déclenchée pour un déployeur HR privé (§4 non listé à l'Article 27) ; elle ne contraint que les organismes de droit public et les entités privées fournissant des services publics.
- · Indépendant ; non affilié à un fournisseur, régulateur ou organisme notifié
- · Article par article : gate de pratique interdite Art. 5(1)(f) + Annexe III §4 + Article 26 §1–§12 + Article 25 reverse-bascule + Article 49
- · Deux horloges : interdiction reconnaissance d'émotions Art. 5(1)(f) déjà en vigueur (2 février 2025) ; obligations haut risque Annexe III §4 sous le Digital Omnibus (adopté le 29 juin 2026, 2 décembre 2027)
Définition
L'Annexe III §4 de l'EU AI Act classe comme haut risque les systèmes IA utilisés dans l'emploi, la gestion des travailleurs et l'accès au travail indépendant. Deux poches d'activité : (a) recrutement et sélection (annonces ciblées, screening CV, classement de candidats et outils de sourcing) ; (b) décisions affectant les relations de travail (promotion, résiliation, allocation de tâches, monitoring de performance). Le Projet de lignes directrices Commission sur l'Article 6 (19 mai 2026, consultation ouverte jusqu'au 23 juin 2026) interprète le recrutement largement, couvrant l'identification et l'attraction des candidats potentiels, et traite les annonces emploi ciblées basées sur profilage comme haut risque. Distinct et antérieur : l'Article 5(1)(f) interdit l'IA inférant les émotions sur le lieu de travail (recrutement inclus), en vigueur depuis le 2 février 2025. Les obligations haut risque Annexe III §4 relèvent du Digital Omnibus, adopté par le Conseil le 29 juin 2026 (PE 16 juin), fixant le 2 décembre 2027 (publication JO imminente).
Classification
Quand l'IA RH vous place en Annexe III §4
L'Annexe III §4 couvre les systèmes IA destinés à être utilisés dans l'emploi, la gestion des travailleurs et l'accès au travail indépendant. Deux poches d'activité : (a) recrutement et sélection (placement d'annonces ciblées, analyse et filtrage de candidatures, évaluation de candidats) ; (b) décisions affectant les relations de travail (conditions, promotion, résiliation, allocation de tâches, suivi/évaluation de performance). Si vous opérez l'un de ces systèmes sur des travailleurs ou candidats basés en EU, même approvisionné chez un fournisseur US, vous êtes un déployeur Annexe III §4. Le recrutement est interprété largement (Projet de lignes directrices Commission sur l'Article 6, 19 mai 2026, en consultation) : il commence dès l'identification et l'attraction des candidats potentiels, couvrant les activités de prospection en amont, les outils de sourcing, le classement de candidats dans des bases CV, et tout outil dont la sortie influence matériellement qui atteint le stade de candidature.
Test : l'IA classe-t-elle, screen-t-elle, évalue-t-elle ou recommande-t-elle une décision relative à l'emploi d'une personne ? Si oui : Annexe III §4 s'applique, et la cascade déployeur s'active indépendamment de la localisation du fournisseur.
| Activité | Annexe III §4 | FRIA Art. 27 (déployeur privé) |
|---|---|---|
| Screening CV / classement candidats assisté IA | Oui | Non déclenchée (§4 non listé Art. 27) |
| Évaluation performance / monitoring assisté IA | Oui | Non déclenchée |
| IA dans recommandations promotion / résiliation | Oui | Non déclenchée |
| Placement annonces emploi ciblées (basé sur profilage) | Oui : §4(a) · toujours haut risque, pas d'exception si profilage | Non déclenchée |
| Désactivation plateforme / suspension de compte (plateformes gig / freelance) | Oui : §4(b) · traitée comme résiliation | Non déclenchée |
| Allocation de tâches par indicateurs comportementaux (taux d'acceptation, temps de réponse, notations client) | Oui : §4(b) | Non déclenchée |
| Allocation de tâches par critères objectifs externes (proximité géographique, accréditation, disponibilité) | Hors champ : §4(b) | — |
| Chatbot RH générique (sans influence décision emploi) | Non : Art. 50 plutôt | Non |
Sources : Règl. 2024/1689 Annexe III §4 + Article 27(1) + Projet de lignes directrices Commission sur l'Article 6 (19 mai 2026, consultation ouverte jusqu'au 23 juin 2026). La FRIA (Art. 27) ne contraint que les organismes de droit public, les entités privées fournissant des services publics, et les déployeurs Annexe III §5(b)/(c) ; un déployeur HR privé §4 réalise une DPIA RGPD Article 35, pas une FRIA.
Calendrier
L'échéance RH est le 2 décembre 2027, pas le 2 août 2026
La plupart des entreprises de l'écosystème IA se concentrent sur le 2 août 2026 (Article 50 transparence). Pour les déployeurs RH sous Annexe III §4, le Digital Omnibus (adopté le 29 juin 2026, PE 16 juin) fixe le 2 décembre 2027 pour les obligations haut risque, reportées depuis le 2 août 2026 originel. La publication au JO est imminente (voir note de statut ci-dessous pour la chronologie pré-adoption). Antérieure et déjà en vigueur : l'interdiction reconnaissance d'émotions Article 5(1)(f) (2 février 2025).
L'emploi est couvert par le report. La cible convenue pour les obligations haut risque Annexe III §4 est le 2 décembre 2027. C'est un runway réel pour produire un positionnement défendable avant que les obligations s'appliquent, mais le gate de pratique interdite (Art. 5(1)(f), reconnaissance d'émotions) n'est pas reporté et contraint dès maintenant. Planifiez en conséquence : l'information du comité d'entreprise (Art. 26 §7) et les délais DPIA prennent des trimestres, pas des semaines.
Note de statut (28 mai 2026) : le Digital Omnibus est un accord politique provisoire, pas encore formellement adopté. Il requiert encore l'endossement du Conseil et du Parlement, la révision juridico-linguistique, et la publication au Journal officiel avant de contraindre. La date du 2 décembre 2027 est la cible convenue, pas encore le droit positif. Planifier sur le fond, suivre l'adoption.
Sources : Règl. 2024/1689 Annexe III §4 · Communiqué Conseil/Parlement (7 mai 2026) · Annex A v1.0 §4 (mai 2026, Sprinkling Act).
Quatre deltas
Quatre obligations spécifiques aux déployeurs RH
RGPD Article 22, droit national du travail et gouvernance RH existante cadrent la posture compliance plus large. Mais aucun ne produit un mapping article par article Article 26. Ces deltas doivent être ajoutés au framework de risque existant.
Delta 1 · Article 26 §7 information travailleurs (pré-déploiement)
§7 requiert que les déployeurs informent les représentants des travailleurs et travailleurs concernés AVANT la mise en service d'un système Annexe III. C'est information, pas consultation ; mais c'est contraignant et requiert une trace de divulgation documentée. En DACH, le déclencheur comité d'entreprise (Betriebsrat) se durcit avec la codification KI-MIG.
Delta 2 · Article 26 §11 notification individuelle (post-décision)
§11 requiert que les déployeurs informent une personne physique sujette à une décision Annexe III qu'elle est sujette à une telle décision. Le cas RH-spécifique (Annex A §4.4) : un candidat ou employé recevant un résultat screené par IA doit être informé. La plupart des pipelines RH aujourd'hui ne produisent pas cette divulgation automatiquement.
Delta 3 · DPIA RGPD Article 35 (pas la FRIA Article 27) + le trigger de découverte comité d'entreprise
Un déployeur HR privé §4 n'est PAS soumis à la FRIA Article 27 : l'Art. 27(1) ne vise que les organismes de droit public, les entités privées fournissant des services publics, et les déployeurs Annexe III §5(b)/(c). Ce qui s'applique : la DPIA RGPD Article 35, alimentée par la notice du fournisseur (Art. 26 §9). La demande du comité d'entreprise est le moment de découverte, pas un trigger FRIA : quand un salarié, un candidat ou un représentant demande par écrit la base légale, le déployeur doit répondre depuis sa trace de preuves Art. 26. Vendre une FRIA obligatoire à un déployeur HR privé est une erreur de classification.
Delta 4 · Article 25(1)(b) reverse-bascule (piège fine-tuning)
Les employeurs qui fine-tunent un modèle de screening vendeur sur leurs propres données historiques de recrutement peuvent être reclassés comme fournisseurs sous Article 25(1)(b), héritant du régime plus lourd des Articles 16–22. Le check de frontière est contractuel, pas technique : effectué au moment où une option fine-tuning est acceptée contractuellement.
Sources : Règl. 2024/1689 Articles 25–27 · RGPD Règl. (UE) 2016/679 Art. 22 · Annex A v1.0 §4 (Sprinkling Act, mai 2026) · KI-MIG (codification comité d'entreprise DACH).
Notre périmètre
Ce que notre évaluation couvre pour l'IA RH
Le rapport Sprinkling Act pour un système IA RH couvre les six gates de la méthodologie standardisée, avec la spécificité RH en couche.
- •G1 · Art. 5 · L'une des 8 pratiques interdites est-elle déclenchée ? (exception emotion recognition workplace vérifiée)
- •G2 · Art. 6(1) · Le système IA est-il un composant de sécurité d'un produit régulé EU ? (rare en RH)
- •G3 · Art. 6(2) + Annexe III §4 · Classification IA emploi · gate central pour la RH
- •G4 · Art. 50 · Un utilisateur final interagit-il avec l'IA sans le savoir ? (divulgation chatbot aux candidats)
- •G5 · Art. 51/53 · Le système utilise-t-il ou distribue-t-il un modèle GPAI ?
- •G6 · Art. 6(3) · L'exception « pas de risque significatif » peut-elle s'appliquer ? (rare pour §4)
Spécificité RH :
- ·Check Article 5(1)(f) interdiction reconnaissance d'émotions EN PREMIER (lieu de travail + recrutement, carve-out médical/sécurité, en vigueur 2 février 2025)
- ·Détermination Annexe III §4(a)/§4(b) (recrutement vs relation-emploi)
- ·Mapping sous-ensemble paragraphes Article 26 §1–§12 (subset actif RH : §2 + §5 + §6 + §7 + §11)
- ·Mémo scope Article 27 FRIA (pour un déployeur §4 privé : FRIA non déclenchée, DPIA RGPD Art. 35 à la place ; FRIA seulement si public / service public)
- ·Check Article 25(1)(b) reverse-bascule sur contrats fine-tuning
- ·Mapping double régime RGPD Art. 22 × AI Act Article 26 §11
- ·Orientation calendrier (Art. 5 déjà en vigueur ; Annexe III §4 haut risque sous le Digital Omnibus (adopté le 29 juin 2026), 2 décembre 2027)
Hors périmètre (explicite) :
- ×Résolution litiges droit national du travail (géré par conseil travail qualifié)
- ×Stratégie négociation comité d'entreprise (consultatif, pas réglementaire)
- ×Préparation complète DPIA sous RGPD Article 35 (engagement séparé)
Intégration
Comment cela s'articule avec RGPD, droit national du travail et pratique comité d'entreprise
RGPD Article 22 couvre les droits liés à la décision automatisée ; AI Act Article 26 §11 spécifie l'obligation d'information post-décision. Ils s'imbriquent ; faute d'intégration, exposition double régime. Le droit national du travail cadre la frontière consultation-vs-information pour les comités d'entreprise. L'Article 26 §7 AI Act spécifie l'information pré-déploiement des travailleurs, qui complète (ne remplace pas) les régimes nationaux de consultation.
Concrètement : un déployeur RH privé termine avec quatre documents (registre RGPD Article 22, traçabilité consultation droit national du travail, mapping paragraphes Article 26 AI Act, DPIA RGPD Article 35). Le rapport Sprinkling Act produit le troisième document et alimente la DPIA. Les autres sont produits par vos frameworks RH/juridiques existants. Une FRIA (Article 27) ne s'ajoute que si le déployeur est un organisme de droit public ou une entité privée fournissant un service public.
Sources : RGPD Règl. (UE) 2016/679 · Règl. 2024/1689 Articles 26–27 · Droit national du travail (varie) · Annex A v1.0 §4.6 exemple reverse-bascule.
FAQ
À propos de l'IA RH sous l'EU AI Act
Qu'est-ce que l'Annexe III §4 de l'EU AI Act ?
L'Annexe III §4 classe comme haut risque les systèmes IA utilisés dans l'emploi, la gestion des travailleurs et l'accès au travail indépendant. Elle couvre deux poches d'activité : (a) recrutement et sélection (annonces ciblées, screening CV, évaluation de candidats) ; (b) décisions affectant les relations de travail (conditions, promotion, résiliation, allocation de tâches, monitoring de performance).
Les annonces emploi ciblées sont-elles automatiquement haut risque ?
Lorsqu'elles reposent sur du profilage. Le Projet de lignes directrices Commission sur l'Article 6 (19 mai 2026) traite les annonces emploi ciblées basées sur profilage comme haut risque sous l'Annexe III §4(a) : l'exception Article 6(3) est indisponible dès lors que le système profile des personnes physiques. Les annonces génériques d'employer branding sans ciblage de vacance spécifique sortent du champ. Note : ces lignes directrices sont en consultation jusqu'au 23 juin 2026 et ne sont pas juridiquement contraignantes ; l'interprétation faisant autorité reste celle de la Cour de justice.
La désactivation de plateforme déclenche-t-elle des obligations AI Act ?
Selon l'interprétation dominante, oui. La désactivation de plateforme ou suspension de compte sur les plateformes gig et freelance est traitée comme équivalente à une résiliation de la relation de travail, entrant dans le champ de l'Annexe III §4(b), indépendamment du statut contractuel formel (salarié ou indépendant). Cette interprétation est clarifiée via le Projet de lignes directrices Commission sur l'Article 6 (consultation ouverte jusqu'au 23 juin 2026).
La FRIA Article 27 est-elle obligatoire pour les déployeurs RH ?
Pas pour un déployeur RH privé. L'Article 27(1) ne vise que trois catégories : organismes de droit public, entités privées fournissant des services publics, et déployeurs Annexe III §5(b)/(c) (creditworthiness, assurance vie/santé). L'emploi §4 n'y figure pas. Un employeur privé utilisant une IA de recrutement ou de gestion §4 réalise donc une DPIA RGPD Article 35, pas une FRIA Article 27. Un employeur du secteur public ou une entité privée fournissant un service public relève bien de l'Article 27.
Appliquez-le à votre position
Le diagnostic 9 questions identifie si vous déclenchez l'interdiction reconnaissance d'émotions Art. 5(1)(f), la classification haut risque Annexe III §4, ou l'Article 25 reverse-bascule en tant que déployeur RH. 60 secondes. Zéro donnée collectée.
Cette page est informationnelle. Elle ne constitue pas un avis juridique, une détermination réglementaire, ni une évaluation de conformité au sens de l'Article 43 AIA. Les classifications spécifiques pour tout déployeur RH spécifique requièrent un screening personnalisé. Les organisations se reconnaissant dans la description Annexe III §4 doivent consulter un conseil travail qualifié et engager les représentants du comité d'entreprise le cas échéant avant toute décision de conformité. Précision FRIA : pour un déployeur RH privé §4, la FRIA Article 27 n'est pas déclenchée (l'Art. 27(1) ne vise que les organismes de droit public, les entités privées fournissant des services publics, et les déployeurs Annexe III §5(b)/(c)) ; l'obligation applicable est la DPIA RGPD Article 35. En Belgique, l'information préalable des travailleurs (Art. 26 §7 AI Act) s'articule avec la CCT n°39 (information et concertation du conseil d'entreprise sur l'introduction de nouvelles technologies) ; le conseil d'entreprise est obligatoire à partir de 100 travailleurs, le CPPT à partir de 50. L'APD/GBA (Autorité de protection des données) est l'autorité compétente pour la DPIA RGPD. En France, l'information des travailleurs passe par le CSE (Comité Social et Économique) sous Code du travail Art. L. 2312-8 ; l'inspection du travail (DREETS) et le Conseil de prud'hommes constituent les voies d'enforcement en cas de discrimination algorithmique (Art. L. 1132-1) ou de défaut de transparence dans le recrutement (Art. L. 1221-6). Ces canaux nationaux de consultation sont distincts de la FRIA Article 27.
VOIR AUSSI
Annexe A — Le Multiplicateur Déployeur
Trois segments aval où la cascade AI Act devient visible. HRTech couvert en §4.
Diagnostic gratuit
Évaluation 9 questions : gates spécifiques RH flagués.
Méthodologie Sprinkling Act
Le framework 6 gates derrière l'évaluation.
Tarifs
Évaluation gratuite. Rapport complet 690€. Pas d'abonnement.