Qu’est-ce qui s’applique déjà en 2025 ?

Depuis le 2 février 2025, plusieurs pratiques d’IA à risque inacceptable sont interdites (dont l’inférence d’émotions au travail) et les définitions/mesures de maîtrise s’appliquent. Depuis le 2 août 2025, les obligations visant les fournisseurs de modèles d’IA à usage général (GPAI) s’appliquent aux nouveaux modèles placés sur le marché.

Un outil qui trie des CV est-il « haut risque » ?

Oui, les systèmes d’IA utilisés pour le recrutement, la gestion et l’évaluation des salariés figurent à l’Annexe III de l’AI Act. Ils sont donc « haut risque » et soumis à des exigences accrues pour le fournisseur et à des obligations pour le déployeur (employeur).

Faut-il consulter le CSE ?

En France, l’introduction d’une nouvelle technologie impactant l’organisation/les conditions de travail nécessite information-consultation du CSE (Code du travail L.2312-8). L’AI Act exige aussi d’informer les travailleurs et leurs représentants avant de déployer un système d’IA « haut risque » au travail.

Quelles sanctions en cas de non-conformité ?

Jusqu’à 7 % du CA mondial ou 35 M€ pour les pratiques interdites ; jusqu’à 3 % ou 15 M€ pour manquements aux obligations (dont celles du déployeur). Des obligations spécifiques et amendes visent aussi les fournisseurs de GPAI (jusqu’à 3 % ou 15 M€).

IA au travail : premières obligations et compte à rebours 2025–2027 (AI Act + CNIL)

Ce qu’il faut savoir

✅ Depuis le 2 février 2025, certaines pratiques d’IA sont interdites (ex. inférence d’émotions au travail) et les définitions AI Act s’appliquent. Sources en fin d’article.
✅ Depuis le 2 août 2025, les obligations pour les modèles d’IA à usage général (GPAI) s’appliquent aux nouveaux modèles (documentation, respect du droit d’auteur, résumés d’entraînement…).
⚠️ Dès le 2 août 2026, entrée en application générale : obligations « haut risque » pour les systèmes RH (tri de CV, évaluation/performance, allocation de tâches, etc.) + information des salariés/CSE.
⏱️ Jusqu’en 2027 : fin des périodes transitoires (notamment pour les GPAI existants). Anticipez dès maintenant : gouvernance, cartographie des cas d’usage, AIPD/DPIA, procédures RH.

Pourquoi ça bouge maintenant

L’ AI Act (règlement (UE) 2024/1689) a été publié au Journal officiel de l’UE en juillet 2024. Un premier paquet de règles s’applique depuis février 2025, puis un second depuis août 2025 pour les modèles d’IA à usage général (GPAI). Le socle principal (dont l’« haut risque ») s’applique au 2 août 2026. La CNIL a, de son côté, finalisé en juillet 2025 de nouvelles recommandations et fiches pratiques pour sécuriser les projets IA (RGPD) en entreprise.

Ce qui change concrètement

Pratiques interdites (depuis 02/02/2025) : notamment inférence d’émotions au travail. Interdiction de certains systèmes jugés à risque inacceptable.
GPAI (depuis 02/08/2025) : les fournisseurs de modèles doivent respecter des obligations (documentation technique, respect du droit d’auteur, divulgation de contenus synthétiques…). Les modèles existants disposent d’un délai jusqu’en août 2027.
IA « haut risque » (au 02/08/2026) : les cas RH listés à l’Annexe III (recrutement/tri de CV, évaluation, promotion/rupture, allocation de tâches, monitoring de performance…) sont haut risque. Exigences renforcées côté fournisseur et obligations côté employeur « déployeur » (usage conforme aux instructions, qualité des données d’entrée, suivi, tenue de logs, suspension en cas de risque, etc.).
Information des salariés & représentants : avant de mettre en service un système haut risque au travail, l’employeur doit informer les travailleurs et leurs représentants. En France, l’ introduction d’une nouvelle technologie suppose en outre information-consultation du CSE.
Transparence « deepfakes » & interaction IA : obligation d’indiquer quand un contenu est synthétique et quand une personne interagit avec un système d’IA (sauf exceptions prévues par la loi).
Sanctions : jusqu’à 7 % du CA mondial ou 35 M€ pour pratiques interdites ; jusqu’à 3 % ou 15 M€ pour d’autres manquements (dont obligations des déployeurs); amendes spécifiques pour les fournisseurs de GPAI.

Qui est concerné / exceptions

Toutes les entreprises qui déploient un système d’IA en UE (quelle que soit la localisation du fournisseur).
RH/Managers utilisant IA pour le recrutement, l’évaluation, la promotion, l’affectation de tâches, la surveillance de performance : classés haut risque.
Public/privé : obligations spécifiques pour entités publiques et certains services essentiels ; l’ FRIA (évaluation d’impact « droits fondamentaux » au titre de l’AI Act) ne vise pas, en l’état, les cas RH privés, mais le RGPD peut imposer une AIPD/DPIA (CNIL) selon les traitements.

Calendrier & prochaines étapes

2 février 2025 : premières dispositions applicables (définitions, maîtrise, pratiques interdites dont emotion recognition au travail).
2 août 2025 : obligations GPAI pour les nouveaux modèles placés sur le marché (guides/Code de pratique en appui). Modèles existants : jusqu’au 2 août 2027.
2 août 2026 : date d’application générale de l’AI Act (dont obligations « haut risque » & pouvoirs d’investigation/enforcement).
2027 : plein effet du dispositif + échéances transitoires atteintes.

Impacts

Pour les employeurs

RH « haut risque » : privilégier des solutions conformes (marquage CE/registre, documentation) ; contrats avec le fournisseur (accès infos, assistance).
Obligations de déployeur : usage selon notice, qualité/représentativité des données d’entrée sous votre contrôle, monitoring, tenue de logs ≥ 6 mois, signalement/suspension en cas de risque ou incident grave.
Information : informer les salariés et leurs représentants avant mise en service ; consultation CSE si nouvelle technologie impactant l’organisation/conditions de travail.
RGPD/CNIL : base légale, minimisation, sécurité, AIPD/DPIA si nécessaire (ex. évaluation systématique, surveillance).

Pour les salariés et candidats

Information quand une décision vous concerne via une IA haut risque ; traçabilité et surveillance proportionnée uniquement.
Interdictions protectrices (ex. inférence d’émotions au travail).
Droits RGPD maintenus (information, accès, recours) via DPO/CNIL.

Plan d’action (checklist)

Cartographier les cas d’usage IA (recrutement, évaluation, monitoring, contenu synthétique).
Qualifier le risque (Annexe III) & identifier les rôles : fournisseur vs déployeur.
Gouvernance : comité IA (RH+Juridique+DPO+IT+CSE), politique d’ AI literacy, procédure d’escalade.
Contrats & due diligence fournisseurs (documentation, support, logs, sécurité, biais).
AIPD/DPIA RGPD quand requis ; fiches CNIL ; registre des traitements.
Information/consultation des salariés & du CSE ; notices internes ; mentions dans les annonces & formulaires candidats.
Transparence contenus générés (marquage deepfake/synthétique) & indication d’interaction IA.
Tests & supervision humaine avant déploiement ; plan de suspension si risque ; journalisation ≥ 6 mois.
Calendrier : conformité GPAI (si concerné) d’ici 2025/2027, « haut risque » RH prêt pour août 2026.

FAQ éclair

1) Un chatbot interne RH est-il « haut risque » ?
Pas automatiquement. « Haut risque » vise les usages RH listés (recrutement, décisions sur la relation de travail, monitoring…). Analysez la finalité et l’influence sur des personnes.

2) FRIA (AI Act) et AIPD (RGPD), quelle différence ?
La FRIA n’est requise que pour certains cas (public/essentiels). En RH privé, c’est surtout l’ AIPD/DPIA qui s’applique au titre du RGPD selon les traitements.

3) Doit-on prévenir chaque candidat ?
Oui, lorsqu’une décision est prise ou assistée par un système haut risque (ex. tri de CV), il faut informer les personnes concernées.

4) Peut-on utiliser l’« emotion recognition » pour évaluer un entretien ?
Non : l’inférence d’émotions au travail est interdite par l’AI Act.

Références officielles & presse (liens + dates)

Règlement (UE) 2024/1689 « AI Act » — Journal officiel de l’UE (publication 12/07/2024). Articles clés : art. 5 (interdictions, emotion recognition au travail), art. 26 (obligations du déployeur), art. 50 (transparence), chap. XII (sanctions). eur-lex.europa.eu
Commission européenne – Représentation en France : « premières règles désormais applicables » (mise en ligne 03/02/2025 — entrée en application le 02/02/2025, pratiques interdites & définitions). france.representation.ec.europa.eu
EPRS (Parlement européen) — AI Act implementation timeline (juin 2025) : date d’application générale 02/08/2026, pleine effectivité d’ici 2027. europarl.europa.eu
GPAI — Commission (DG CONNECT) : « Guidelines for providers of general-purpose AI models » (publiées été 2025) précisant que les obligations GPAI s’appliquent à compter du 02/08/2025. digital-strategy.ec.europa.eu
CNIL — « IA : la CNIL finalise ses recommandations… » (22/07/2025) + liste de vérification (PDF, 07/2025) pour sécuriser les projets IA (RGPD). cnil.fr — pdf
CNIL — Travail & données personnelles (pages thématiques) ; guide recrutement ; AIPD/DPIA (listes et mode d’emploi). cnil.fr — cnil.fr — cnil.fr
Code du travail (France) — CSE : information-consultation (L.2312-8). Fiche ministérielle (MAJ 11/08/2025). code.travail.gouv.fr
Reuters — Code de pratique GPAI & calendrier (juillet 2025) ; délais pour modèles existants jusqu’au 02/08/2027. reuters.com

⚠️ Ceci n’est pas un conseil juridique. Chaque situation exige une analyse spécifique. Consultez votre juriste/DPO/avocat.

IA au travail : premières obligations applicables et compte à rebours 2025–2027 (AI Act + CNIL)