IA, ATS et recrutement : ce que les contrôles CNIL 2026 changent vraiment pour les RH

Depuis quelques jours, plusieurs publications circulent autour d’un message simple : la CNIL va contrôler les entreprises qui utilisent l’IA pour trier les CV. Le fond est vrai. Mais la formulation mérite d’être précisée.

Résumer cet article avec l’IA

Choisissez votre assistant IA pour ouvrir un prompt de synthèse préparé à partir de cet article.

Résume cet article en 5 points clés, puis propose 3 enseignements pratiques pour une équipe RH, recrutement ou marque employeur :

La CNIL n’annonce pas une interdiction générale de l’IA dans le recrutement. Elle inscrit le recrutement parmi ses thématiques prioritaires de contrôle en 2026, avec une attention particulière portée aux systèmes de prise de décision automatisée, à l’information des candidats et aux durées de conservation des données. Les contrôles viseront prioritairement les grandes entreprises et les cabinets de recrutement, en raison du volume de candidatures qu’ils reçoivent et des sélections qu’ils opèrent.

Le sujet n’est donc pas : “peut-on encore utiliser un ATS ou une IA en recrutement ?”
La vraie question est plus concrète : que fait réellement l’outil, avec quelles données, selon quels critères, avec quelle information du candidat, quelle durée de conservation et quel contrôle humain ?

Ce que l’on sait officiellement

La CNIL a publié en 2023 un guide dédié au recrutement, composé de 19 fiches pratiques. Elle y rappelle que toutes les opérations portant sur des données de candidats constituent des traitements de données personnelles : collecte, organisation, consultation, conservation, communication ou suppression.

En 2026, la CNIL indique vouloir vérifier la mise en œuvre de ce guide. Les contrôles porteront notamment sur les systèmes de décision automatisée, l’information des candidats et les durées de conservation.

Ce point est important : la CNIL ne découvre pas le sujet avec l’IA générative. Les logiciels de tri, de classement et d’évaluation des candidatures sont déjà traités dans son guide recrutement. La CNIL y explique que ces outils peuvent aller de la simple aide à l’organisation du processus jusqu’à l’aide à la prise de décision, voire à la prise de décision automatisée.

Ce qui change vraiment en 2026

Le changement n’est pas seulement réglementaire. Il est surtout pratique.

Pendant longtemps, beaucoup d’organisations ont traité les réglages de leur ATS comme un sujet interne : questions de présélection, statuts de candidature, viviers, commentaires recruteurs, durées de conservation, automatisations, scores ou tags. Ces choix deviennent désormais plus facilement auditables.

Un ATS n’est pas un simple “outil neutre”. Selon son paramétrage, il peut influencer fortement le parcours candidat : qui est vu, qui est priorisé, qui est relancé, qui est écarté, qui reste en vivier, qui disparaît de la base.

La CNIL donne un exemple très parlant : lorsqu’un outil classe automatiquement plusieurs candidatures et que le recruteur ne consulte en pratique que les profils les mieux classés, les autres candidats peuvent être exclus de fait du processus par le seul fonctionnement du logiciel. Dans certains cas, cette situation peut être analysée comme une décision entièrement automatisée produisant un effet significatif pour les candidats concernés.

C’est probablement le cœur du sujet : l’outil ne décide pas toujours officiellement, mais il peut décider en pratique si l’organisation ne regarde que ce qu’il met en avant.

IA, ATS et AI Act : pourquoi le recrutement est sensible

Le règlement européen sur l’intelligence artificielle, souvent appelé AI Act, classe certains systèmes d’IA utilisés dans l’emploi et le recrutement parmi les systèmes à haut risque. L’annexe III vise notamment les systèmes destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres ciblées, analyser et filtrer les candidatures ou évaluer les candidats.

La CNIL rappelle également que les systèmes d’IA utilisés dans le recrutement peuvent relever du niveau “haut risque” car ils peuvent affecter les droits fondamentaux des personnes. Les règles relatives aux systèmes d’IA à haut risque de l’annexe III deviennent applicables à partir du 2 août 2026.

Le RGPD ne disparaît pas avec l’AI Act. Les deux textes se complètent. La CNIL donne d’ailleurs l’exemple d’un système d’IA utilisé pour le tri automatique de CV comme cas où le RGPD et le règlement IA peuvent s’appliquer ensemble.

Le point clé : l’outil aide-t-il, ou commence-t-il à décider ?

Tous les usages d’IA ou d’automatisation ne présentent pas le même niveau de risque.

Un outil qui aide à reformuler une annonce, à résumer un CV déjà consulté par un recruteur ou à planifier un entretien ne soulève pas les mêmes questions qu’un outil qui score, classe, filtre ou recommande les candidats à recevoir.

La vigilance augmente dès que l’outil influence la sélection. Par exemple :

  • Un parsing de CV sert surtout à extraire des informations et à structurer des données.
  • Un matching compare une candidature à des critères définis.
  • Un scoring attribue une note ou un niveau de priorité.
  • Un classement ordonne les profils.
  • Une question éliminatoire peut écarter automatiquement un candidat.
  • Un test d’évaluation peut produire un score qui influence la suite du processus.

Une analyse automatisée de personnalité ou de performance prédictive peut engager des risques plus élevés, notamment si elle repose sur des critères discutables, opaques ou insuffisamment liés au poste.

La CNIL insiste sur le fait que les outils de tri, d’évaluation et de classement peuvent produire des analyses inexactes, conduire à écarter des personnes de manière injustifiée ou perpétuer certains stéréotypes. Elle souligne aussi le risque de biais discriminants.

Ce à quoi les entreprises doivent être vigilantes

La première vigilance concerne l’information du candidat. Le candidat doit comprendre comment ses données sont utilisées, pour quelles finalités, par qui, pendant combien de temps, et avec quels droits. La CNIL rappelle que le principe de transparence fait partie des principes centraux applicables aux traitements de données en recrutement.

La deuxième vigilance concerne les critères utilisés. Un critère de sélection doit être lié au poste, justifiable et proportionné. La CNIL donne l’exemple d’un dispositif de classement qui générerait des pratiques discriminatoires liées à l’âge, au sexe, à l’origine, au handicap ou au lieu de résidence : un tel usage ne correspondrait pas à un traitement licite des informations transmises par les candidats.

La troisième vigilance concerne le contrôle humain. Un recruteur ne peut pas simplement dire qu’il garde la main si, en réalité, il applique mécaniquement le score ou le classement proposé par l’outil. La CNIL précise qu’une décision peut être regardée comme prise sans intervention humaine lorsque le responsable de traitement n’est pas en mesure d’expliciter les motifs de la décision proposée par l’algorithme puis acceptée par un être humain.

La quatrième vigilance concerne les durées de conservation. Les données personnelles collectées à l’occasion d’un recrutement ne peuvent pas être conservées indéfiniment. La CNIL indique qu’en entreprise, les données d’un candidat non retenu sont conservées pendant deux ans maximum, sauf demande d’effacement.

La cinquième vigilance concerne l’analyse d’impact. Une AIPD est obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL précise que les traitements visant à faciliter le recrutement, notamment grâce à un algorithme de sélection, figurent dans la liste des traitements pour lesquels une AIPD est requise.

Les réglages ATS à vérifier en priorité

Avant de parler d’IA responsable, il faut souvent revenir à des réglages très concrets dans l’ATS.

1. La mention d’information candidat

Le formulaire de candidature doit intégrer une information claire sur le traitement des données : finalités, responsable de traitement, destinataires, durée de conservation, droits des candidats, contact DPO le cas échéant.

Si un outil de scoring, de matching, de classement ou d’évaluation automatisée est utilisé, cette information doit être renforcée. L’enjeu n’est pas de noyer le candidat dans du juridique, mais de lui permettre de comprendre ce qui est fait de sa candidature.

2. Les durées de conservation

L’ATS doit être paramétré pour éviter les bases candidates qui grossissent sans règle claire. Il faut distinguer les candidats recrutés, les candidats non retenus, les candidatures spontanées, les viviers et les profils sourcés.

Un point simple à vérifier : l’outil permet-il l’anonymisation, la suppression ou la relance de consentement avant conservation en vivier ?

3. Les questions éliminatoires

Les questions éliminatoires doivent être réservées à des critères réellement nécessaires : autorisation de travail, certification obligatoire, permis indispensable, diplôme réglementaire, disponibilité liée à une contrainte objective.

Elles deviennent risquées lorsqu’elles écartent automatiquement des candidats sur des critères discutables, mal formulés ou indirectement discriminants.

4. Les scores, tags et classements

Toute logique de score doit pouvoir être expliquée. Quels critères sont utilisés ? Qui les a définis ? Sont-ils liés au poste ? Peut-on les modifier ? Un recruteur peut-il consulter les profils moins bien classés ? Peut-il renverser la recommandation ?

Un score non documenté devient vite un angle mort : il donne une impression d’objectivité, alors qu’il peut simplement industrialiser des biais ou des choix discutables.

5. Les commentaires recruteurs

Les champs libres sont souvent sous-estimés. Ils peuvent contenir des éléments subjectifs, excessifs ou non liés au poste.

Une charte simple peut suffire : commentaires factuels, liés aux compétences et au processus, sans référence à l’âge, la santé, la situation familiale, l’origine, l’apparence, la religion, l’adresse ou toute information non pertinente.

6. Les modules IA activés

Beaucoup d’ATS intègrent désormais des fonctions IA ou se connectent à des outils tiers : parsing, résumé de CV, matching, aide à la rédaction d’annonces, scoring, tests, vidéo, analyse de personnalité, automatisation de messages.

L’entreprise doit savoir précisément ce qui est activé, ce qui ne l’est pas, quelles données sont transmises, à quel fournisseur, dans quel pays, avec quelles garanties contractuelles, et si les données peuvent ou non servir à entraîner un modèle.

7. Les accès internes

Le RGPD n’est pas seulement une question de formulaire candidat. C’est aussi une question d’accès. Qui peut voir les candidatures ? Qui peut exporter ? Qui peut consulter les commentaires ? Qui peut modifier les statuts ? Qui peut accéder aux viviers ?

Dans un réseau, un groupe multi-entités ou une organisation décentralisée, ce point devient particulièrement sensible.

Une checklist simple pour les équipes RH

Avant un contrôle, ou simplement avant d’activer une nouvelle fonctionnalité IA dans un ATS, une équipe RH devrait pouvoir répondre à dix questions.

  1. Que fait réellement l’outil : organisation, aide à la décision ou décision ?
  2. Les candidats sont-ils informés de manière claire ?
  3. Les durées de conservation sont-elles paramétrées et appliquées ?
  4. Les questions éliminatoires sont-elles justifiées par le poste ?
  5. Les critères de scoring ou de matching sont-ils documentés ?
  6. Le recruteur peut-il consulter les profils non recommandés ?
  7. Une décision peut-elle être renversée par un humain qualifié ?
  8. Les commentaires recruteurs sont-ils encadrés ?
  9. Les fournisseurs et sous-traitants sont-ils identifiés ?
  10. Une AIPD a-t-elle été réalisée lorsque le traitement implique un algorithme de sélection ou un risque élevé ?

Cette checklist ne remplace pas un audit juridique ou DPO. Mais elle permet déjà de repérer les zones à risque les plus courantes dans les pratiques de recrutement.

Ce qu’il faut retenir

L’IA en recrutement n’est pas interdite. Les ATS ne sont pas remis en cause. Les automatisations ne sont pas toutes problématiques.

Ce qui devient difficile à défendre, en revanche, c’est l’usage implicite, mal documenté ou mal expliqué d’outils qui influencent directement la sélection des candidats.

Le vrai sujet n’est pas la technologie seule. C’est la gouvernance du recrutement : les critères, les preuves, les responsabilités, la transparence et la capacité réelle des recruteurs à reprendre la main.

Les entreprises qui utilisent des ATS ou des outils d’IA dans leurs recrutements ont donc intérêt à faire un travail simple, mais structurant : cartographier les fonctionnalités utilisées, vérifier les réglages RGPD, documenter les critères de sélection, encadrer les usages IA et clarifier l’information donnée aux candidats.

Ce n’est pas seulement une question de conformité. C’est aussi un sujet de confiance candidat.

Vous utilisez un ATS ou des outils d’IA dans vos recrutements ?

Avant d’activer de nouvelles automatisations, il peut être utile de vérifier ce que votre dispositif fait réellement : information candidat, durées de conservation, questions éliminatoires, scoring, viviers, accès internes et rôle des outils connectés.

Inside Linkers accompagne les équipes RH dans l’audit, la structuration et le paramétrage de leurs outils recrutement, avec une approche à la fois opérationnelle, marque employeur et expérience candidat.

Échanger sur vos pratiques ATS et IA

Sources officielles

Cet article s’appuie principalement sur des sources officielles CNIL et européennes :

  • CNIL – Les contrôles en 2026 : recrutement, répertoire électoral et villes intelligentes
    https://www.cnil.fr/fr/controles-prioritaires-2026
  • CNIL – Le guide du recrutement
    https://www.cnil.fr/fr/le-guide-du-recrutement
  • CNIL – Guide référentiel recrutement, PDF
    https://www.cnil.fr/sites/default/files/atoms/files/guide_referentiel_-_recrutement.pdf
  • CNIL – Décision automatisée : quels sont mes droits ?
    https://www.cnil.fr/fr/vos-droits-lintervention-humaine-face-votre-profilage-ou-une-decision-automatisee
  • CNIL – Durées de conservation des données
    https://www.cnil.fr/fr/passer-laction/les-durees-de-conservation-des-donnees
  • CNIL – Liste des traitements pour lesquels une AIPD est requise, PDF
    https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-requise.pdf
  • CNIL – IA : réaliser une analyse d’impact si nécessaire
    https://www.cnil.fr/fr/realiser-une-analyse-dimpact-si-necessaire
  • Union européenne – Règlement IA, règlement UE 2024/1689
    https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr

FAQ

La CNIL va-t-elle interdire l’IA dans le recrutement ?

Non. La CNIL ne parle pas d’interdiction générale. Elle annonce des contrôles sur les pratiques de recrutement, avec une attention particulière aux systèmes de décision automatisée, à l’information des candidats et aux durées de conservation.

Un ATS est-il considéré comme un outil d’IA ?

Pas nécessairement. Un ATS peut être un simple outil de gestion des candidatures. Le niveau de vigilance augmente lorsqu’il intègre ou connecte des fonctionnalités de scoring, matching, classement, évaluation ou décision automatisée.

Peut-on utiliser des questions éliminatoires dans un ATS ?

Oui, à condition qu’elles soient liées au poste, nécessaires et justifiables. Une question éliminatoire fondée sur un critère subjectif, excessif ou indirectement discriminant peut poser problème.

Une AIPD est-elle obligatoire pour tous les ATS ?

Non. Mais elle devient un sujet majeur dès qu’un traitement présente un risque élevé. La CNIL liste notamment les traitements visant à faciliter le recrutement grâce à un algorithme de sélection parmi les traitements pour lesquels une AIPD est requise.

Combien de temps peut-on conserver les données d’un candidat non retenu ?

La CNIL indique qu’en entreprise, les données d’un candidat non retenu sont conservées pendant deux ans maximum, sauf demande d’effacement.

Privacy Preference Center