CNIL 2026 : si vous triez des CV avec une IA, vous êtes dans la liste

Une assistante RH reçoit 120 candidatures pour un poste de commercial. Elle colle les CV dans ChatGPT et demande une shortlist notée. Trois heures gagnées, un processus que personne n’a tracé. Depuis le 3 avril 2026, cette scène banale relève d’une priorité de contrôle de la CNIL.

L’autorité française de protection des données a publié ce jour-là son programme 2026. Trois thématiques sont en tête : le recrutement, le répertoire électoral unique, les fédérations sportives. Le recrutement arrive en premier parce qu’il concentre trois fragilités : des décisions lourdes, des outils IA généralisés, une documentation souvent inexistante. Les grandes entreprises sont ciblées d’abord, mais la CNIL précise que ces contrôles préfigurent son rôle au titre de l’AI Act dans le champ du travail. Les PME sont dans la vague suivante.

Ce que la CNIL a annoncé le 3 avril 2026

Le programme retient trois axes, extraits de la page officielle de la CNIL :

• Les systèmes de prise de décision automatisée (scoring IA, tri algorithmique, entretiens analysés par machine)
• L’information des candidats sur la présence d’une IA dans la décision
• Les durées de conservation des données candidats

La cible est formulée ainsi : « les grandes entreprises et les cabinets de recrutement, compte tenu de la multiplicité des candidatures qu’ils reçoivent ». Cela ne dédouane pas les PME. Une entreprise qui reçoit 40 candidatures par mois, utilise LinkedIn Recruiter et demande à ses recruteurs de « synthétiser avec ChatGPT » tombe exactement dans le périmètre technique. Les méthodes rodées en 2026 seront appliquées plus largement en 2027.

Pourquoi le recrutement avant tout le reste

Trois caractéristiques en font un terrain prioritaire. Les décisions affectent directement les personnes — être convoqué ou écarté entre dans les « effets juridiques ou significatifs » du RGPD. Les outils IA se sont généralisés sans encadrement — tri dans les ATS, scoring LinkedIn, chatbots, souvent activés par défaut. Le recrutement est classé « haut risque » par l’AI Act (annexe III), ce qui pousse les exigences de documentation et de supervision humaine au maximum. Pour le cadre complet, notre guide AI Act pour les PME détaille les quatre niveaux de risque.

Les outils concrètement dans le viseur

Les contrôles ne portent pas sur des logiciels désignés mais sur les usages :

• Sourcing et matching : LinkedIn Recruiter AI, SmartRecruiters, Greenhouse
• ATS avec fonctions IA : Workday Recruiting, Lever, Ashby, Recruitee
• Entretiens vidéo analysés par IA : HireVue
• Chatbots de qualification : Paradox / Olivia, Mya Systems

Reste le cas le moins visible et le plus exposé : un recruteur qui colle un CV nominatif dans ChatGPT, Claude ou Gemini pour résumer ou noter. Ce geste envoie des données personnelles vers un sous-traitant non contractualisé, sans registre, sans base légale claire. Aucun outil n’est interdit — ce qui est contrôlé, c’est la manière dont ils sont déployés.

L’article 22 RGPD, en deux phrases qui changent tout

L’article 22 dit, en substance : une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Le mot-clé est « exclusivement ». Beaucoup d’entreprises pensent être protégées parce qu’un recruteur « valide » ensuite la shortlist de l’algorithme. La CNIL considère que cette validation doit être effective : le recruteur doit pouvoir comprendre le score, l’examiner, le remettre en cause individuellement. Cocher tous les profils suggérés sans examen, ou rejeter en bloc ceux en dessous d’un seuil, ce n’est plus une intervention humaine — c’est une décision automatisée qui prend un tampon.

Précédent souvent cité : la sanction CNIL 2024-2025 contre une plateforme de livraison ayant confié à un algorithme la rupture de contrats de livreurs sans supervision humaine réelle. Le raisonnement s’applique trait pour trait au tri de candidats.

Ce qui est illégal, même dans une PME de 20 personnes

• Rejeter automatiquement les candidatures en dessous d’un score IA, même présenté comme « indicatif »
• Analyser la personnalité via voix, visage ou écriture — la reconnaissance d’émotions au travail est explicitement interdite par l’article 5 de l’AI Act
• Ne pas informer le candidat qu’une IA participe à la sélection, clairement et en amont
• Ne pas permettre la contestation — le candidat doit pouvoir demander un réexamen par une personne physique
• Coller un CV nominatif dans un LLM grand public sans contrat de sous-traitance. C’est le point le plus fréquent et le plus facile à démontrer en contrôle.

Le sujet n’est pas technique, il est organisationnel : la CNIL ne demande pas d’abandonner l’IA, elle demande que son usage soit tracé, informé et supervisé.

Les sanctions : de l’avertissement à 4 % du chiffre d’affaires

L’échelle RGPD va du rappel à l’ordre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial — le plus élevé des deux. S’y ajoutent, pour les systèmes haut risque, les sanctions de l’AI Act : jusqu’à 35 millions d’euros ou 7 % du CA mondial. Les contrôles débouchent rarement sur les plafonds mais entraînent souvent une mise en demeure publique et une obligation de régularisation sous délai. Pour une PME, le coût réel n’est pas l’amende : c’est le temps passé à reconstruire un processus sous pression.

Les sanctions AI Act sur les articles 4 (formation) et 5 (pratiques interdites) s’appliquent au 2 août 2026. Les obligations haut risque, repoussées par le Digital Omnibus, entrent en vigueur au 2 décembre 2027.

Checklist 5 points pour être conforme avant août 2026

1. Inventorier les outils qui font notation, tri ou résumé. ATS, LinkedIn Recruiter, entretien vidéo, chatbots, et surtout les usages informels des LLM grand public — le point le plus fréquemment oublié, cartographié comme le shadow AI dans vos équipes.

2. Vérifier trois conditions par outil. Le candidat est-il informé ? Un humain revoit-il effectivement les propositions ? Une contestation est-elle possible ? Si la réponse à l’une est non, reconfigurer ou remplacer l’outil.

3. Documenter : registre des traitements et AIPD. Le registre est obligatoire depuis 2018. L’analyse d’impact relative à la protection des données est exigée pour les traitements à risque élevé, dont le recrutement assisté par IA. Ce sont les deux premières pièces qu’un contrôleur demande.

4. Former les recruteurs aux limites légales. La formation IA obligatoire au titre de l’article 4 de l’AI Act entre en vigueur le 2 août 2026. Règle simple : aucun CV nominatif dans un LLM grand public sans contrat de sous-traitance ni anonymisation. Notre guide formation IA obligatoire détaille le cadre.

5. Programmer un audit interne avant juillet 2026. Une demi-journée par recruteur, un relevé des outils, une mise à jour des mentions d’information sur les offres. L’approche rejoint notre guide sécurité IA pour les PME.

Un audit aujourd’hui évite une amende demain

La CNIL n’annonce pas une chasse aux sorcières contre les PME : elle annonce que le recrutement assisté par IA devient un terrain de contrôle rodé, avec une méthode précise. La fenêtre jusqu’à août 2026 est exactement ce qu’il faut pour cartographier les outils, mettre à jour deux ou trois documents, former quelques personnes. L’écart entre une PME conforme et une PME exposée ne se joue pas sur le budget mais sur l’existence d’un inventaire écrit et d’une décision de direction. Pour un audit de conformité IA recrutement, notre équipe peut vous accompagner.