L’article de Rigotti, C., Potocka-Sionek, N., Aloisi, A., & Fosch-Villaronga, E. (2026). Law and AI in Hiring: Lessons from the EU on Reconceptualizing Risks and Rights. ILR Review. (https://journals.sagepub.com/doi/10.1177/00197939261429875) examine l’usage croissant de l’intelligence artificielle dans le recrutement et se demande si le cadre européen, centré sur le risque, protège réellement les droits fondamentaux des candidats. Son idée directrice est que l’approche du règlement européen sur l’IA, l’Artificial Intelligence Act, ne doit pas être lue isolément. Pour être efficace, elle doit être articulée avec le droit de la protection des données, le droit de la non-discrimination, les règles de sécurité des produits et, surtout, avec des mécanismes de participation collective. La thèse des auteurs est qu’une gouvernance réellement protectrice suppose de relier gestion des risques et protection des droits, au lieu d’opposer les deux logiques.

Les auteurs distinguent quatre grandes familles d’outils d’IA en matière d’embauche: les outils de rédaction et de ciblage des offres d’emploi, les systèmes de tri et d’analyse des CV et lettres de motivation, les logiciels d’entretien qui exploitent les expressions faciales, les mouvements ou la voix, et les applications d’évaluation des compétences, parfois sous forme de jeux. Ces outils promettent des gains d’efficacité, de rapidité et de traçabilité. Ils sont présentés comme capables de mieux traiter de grands volumes de candidatures et de réduire certaines erreurs humaines. Mais cet avantage apparent repose sur des données et des choix de conception qui peuvent intégrer des biais sociaux, institutionnels et cognitifs. Les auteurs insistent sur le fait que le contrôle humain reste présent à toutes les étapes importantes, depuis la sélection des données jusqu’aux tests, et que c’est précisément là que les biais peuvent être introduits.

L’article montre ensuite pourquoi les candidats supportent l’essentiel des coûts de cette automatisation. Ils se trouvent déjà en position de faiblesse en raison de l’asymétrie d’information, du déséquilibre du pouvoir décisionnel et de leur dépendance économique. L’IA peut alors renforcer des inégalités existantes par sa vitesse, son opacité et sa capacité à généraliser des erreurs à grande échelle. Des choix techniques apparemment mineurs, comme des catégories mal conçues dans un formulaire ou des ciblages publicitaires fondés sur des variables démographiques, peuvent exclure certains profils et homogénéiser progressivement les effectifs. Les atteintes possibles ne concernent pas seulement la vie privée ou l’égalité de traitement, mais aussi l’accès à l’emploi, la situation économique, le logement, la vie familiale, ainsi que la santé physique et mentale. L’opacité des décisions automatisées décourage en outre la contestation et affaiblit la responsabilité juridique.

Dans ce contexte, les auteurs présentent l’Union européenne comme un cas d’étude privilégié, parce qu’elle a adopté le Règlement sur l’intelligence artificielle (RIA), qui repose sur une logique de hiérarchisation des risques. Il distingue les pratiques interdites, les systèmes à haut risque, les systèmes soumis à de simples obligations de transparence et les systèmes à risque minimal. Il prévoit en parallèle un régime spécifique pour les modèles d’IA à usage général. Cette architecture vise à adapter les obligations au degré de danger attendu pour la santé, la sécurité et les droits fondamentaux. L’article reconnaît l’importance de ce cadre, mais souligne d’emblée ses faiblesses: catégories rigides, forte place laissée à l’autoévaluation par les acteurs économiques et difficulté à capter les effets concrets selon les contextes d’usage.

S’agissant des pratiques interdites, les auteurs mettent en avant l’interdiction des systèmes destinés à inférer les émotions sur le lieu de travail, y compris pendant le recrutement. Cette interdiction repose sur le caractère scientifiquement contestable, peu fiable et culturellement instable de ce type de technologies. Elle n’est toutefois pas absolue, car une exception existe pour certaines finalités médicales ou de sécurité. Les auteurs considèrent que cette exception peut affaiblir la portée de l’interdiction en permettant de réintroduire, sous d’autres justifications, des formes d’évaluation du stress, de l’attention ou d’états analogues. Ils relèvent aussi l’interdiction des systèmes de catégorisation biométrique qui déduisent certaines caractéristiques sensibles, mais notent que la liste des inférences prohibées reste incomplète, ce qui laisse des zones grises.

La majorité des outils de recrutement relèvent cependant, selon eux, de la catégorie des systèmes à haut risque. L’annexe III de l’AIA vise expressément les systèmes utilisés pour diffuser des offres ciblées, analyser et filtrer des candidatures ou évaluer des candidats. Cette qualification est justifiée par leur impact potentiel sur les parcours professionnels, les moyens d’existence et les droits des travailleurs. Elle déclenche des obligations importantes pour les fournisseurs et les déployeurs, notamment la mise en place d’un système de gestion des risques couvrant tout le cycle de vie du système. Ce système impose l’identification des risques connus et raisonnablement prévisibles, l’évaluation des mésusages prévisibles, la prise en compte des informations issues du suivi postérieur à la mise sur le marché et l’adoption de mesures correctrices. Les auteurs relèvent toutefois qu’un système peut être exclu de la qualification de haut risque s’il n’influence pas matériellement la décision ou s’il accomplit seulement une tâche procédurale étroite, ce qui ouvre un espace d’incertitude pratique.

L’article consacre également un développement aux modèles d’IA à usage général, en particulier aux grands modèles de langage susceptibles d’être utilisés pour rédiger des offres, assister les recruteurs, optimiser le tri des CV ou conduire des entretiens virtuels. Les auteurs expliquent que ce régime spécial repose sur une classification différente, fondée sur le risque systémique plutôt que sur le contexte concret d’utilisation. Ils critiquent cette solution parce qu’elle peut être à la fois trop large et trop étroite: trop large parce qu’elle saisit des modèles sans toujours tenir compte des usages effectifs, et trop étroite parce qu’elle ne tient pas suffisamment compte du fait qu’un même modèle peut être intégré dans un processus de recrutement à fort enjeu pour les droits fondamentaux. En d’autres termes, le régime des GPAI est jugé insuffisamment sensible au contexte du travail et de l’embauche.

Les auteurs signalent encore que certains outils utilisés en recrutement, comme des chatbots d’assistance ou des outils généraux d’organisation, peuvent être classés comme présentant seulement un risque limité ou minimal. Dans cette hypothèse, le RIA se contente souvent d’exiger que les personnes soient informées qu’elles interagissent avec une IA ou que des contenus ont été générés artificiellement. Or cette qualification sous-estime, selon eux, la capacité de tels outils à être réutilisés ou détournés de façon à influer sur l’issue du recrutement. Même des outils en apparence secondaires peuvent transmettre des biais et produire des effets discriminatoires.

La critique centrale de l’article porte alors sur la logique même de l’approche par le risque. Inspirée du droit de la sécurité des produits, cette approche est anticipatrice et technique. Elle vise à prévenir ou à atténuer des dommages identifiables. Mais, selon les auteurs, les droits fondamentaux ne se laissent pas toujours réduire à une logique probabiliste de dommage. Le RIA ne reconnaît d’ailleurs qu’un nombre limité de droits individuels explicites, essentiellement le droit de déposer une plainte et, dans certains cas, le droit d’obtenir des explications claires sur le rôle du système dans la décision. En tolérant des systèmes à haut risque dès lors que le risque résiduel est jugé acceptable, le règlement risque de normaliser la mise sur le marché de systèmes potentiellement attentatoires aux droits, tant qu’ils sont formellement accompagnés de mesures de mitigation. Cette logique favorise une conformité routinière, proche d’un exercice de cases à cocher, plutôt qu’une appréciation substantielle des atteintes à la dignité, à l’égalité et à l’autonomie.

Les auteurs montrent ensuite que le RIA doit être replacé dans un environnement normatif plus large. En matière de protection des données, le RGPD joue un rôle essentiel, car les systèmes de recrutement traitent de grandes quantités de données personnelles, parfois sensibles. Les principes du RGPD, comme l’exactitude, la transparence, la limitation des finalités ou la minimisation, pourraient contribuer à limiter les risques. Les analyses d’impact relatives à la protection des données sont présentées comme un instrument potentiellement utile pour identifier les risques en amont. Mais l’article souligne plusieurs limites: fragmentation des règles applicables au travail au sein des États membres, difficulté à appliquer effectivement la transparence à des systèmes opaques, ressources limitées des autorités de contrôle, et approche trop individualiste du RGPD, alors que les préjudices liés à l’IA sont souvent collectifs ou structurels. Les auteurs ajoutent qu’un candidat peut être affecté non seulement par ses propres données, mais par celles des autres candidats servant à entraîner ou ajuster le système.

Ils relèvent en outre une tension précise entre le RGPD et le RIA au sujet des données sensibles. Le RGPD interdit en principe leur traitement, sous réserve d’exceptions. Le RIA permet pourtant, dans certaines conditions, l’utilisation de données sensibles pour détecter ou corriger des biais dans les systèmes à haut risque. Les auteurs considèrent que cette ouverture crée une tension normative réelle: une règle destinée à améliorer l’équité peut aussi élargir l’usage de données particulièrement intrusives. Ils rappellent également que le droit à l’intervention humaine et à la contestation des décisions automatisées reste crucial, mais difficile à mettre en œuvre dans les relations de travail et au stade du recrutement.

En matière de non-discrimination, l’article rappelle que le droit de l’Union proscrit tant la discrimination directe que la discrimination indirecte. Les auteurs estiment que la seconde est particulièrement pertinente pour l’IA, car les systèmes utilisent souvent des critères apparemment neutres qui désavantagent certains groupes. Ils insistent sur la notion de discrimination par proxy: un système peut exploiter une information neutre en apparence, comme l’adresse ou certains comportements numériques, pour reconstituer indirectement une caractéristique protégée. L’IA amplifie ce phénomène parce qu’elle est conçue pour détecter des corrélations prédictives. Les auteurs soulignent aussi que l’IA peut produire des classifications inédites, qui ne correspondent pas exactement aux catégories protégées traditionnelles, ainsi que des discriminations intersectionnelles plus difficiles à prouver. Même avec les aménagements de la charge de la preuve prévus par le droit de l’égalité, le contentieux reste difficile en raison de l’opacité technique, du coût des actions et du caractère souvent diffus du lien de causalité.

Le détour par le droit de la sécurité des produits permet enfin de montrer une autre limite. L’AIA emprunte à cette branche du droit sa structure de prévention des risques, mais les auteurs doutent qu’une logique pensée initialement pour des dangers physiques soit pleinement adaptée à des atteintes touchant la dignité, l’intégrité psychique, l’égalité ou l’autonomie. Même si les règles récentes de sécurité générale des produits prennent mieux en compte certaines vulnérabilités, elles restent imparfaites face à des systèmes qui peuvent être techniquement « sûrs » tout en produisant des effets sociaux ou psychologiques indésirables. Dans le recrutement, un système peut donc être considéré comme conforme ou sûr alors qu’il demeure inapte à traiter équitablement des situations complexes et à protéger les candidats.

À partir de ce diagnostic, l’apport principal de l’article est de proposer une réconciliation entre logique du risque et logique des droits grâce à des mécanismes de co-gouvernance. Les auteurs défendent l’idée qu’en matière d’IA de recrutement, la protection ne peut pas reposer seulement sur des contrôles techniques ou sur des droits individuels dispersés. Elle doit intégrer, tout au long du cycle de vie des systèmes, la participation des groupes affectés et de leurs représentants. L’inspiration vient des traditions européennes de dialogue social et de codétermination. L’implication de représentants des travailleurs, des syndicats, des autorités compétentes et d’autres acteurs collectifs peut aider à détecter les biais, à réduire les asymétries d’information et à renforcer la légitimité des décisions techniques.

Les auteurs développent à ce titre deux instruments. Le premier est la normalisation harmonisée. Dans le système européen, le respect de normes harmonisées peut faire présumer la conformité aux exigences légales. L’article reconnaît l’intérêt adaptatif de cette méthode, mais insiste sur ses risques: influence excessive des industriels, faible légitimité démocratique, difficulté à traduire des principes juridiques comme l’égalité ou la non-discrimination en standards techniques. Il en conclut que la normalisation n’est acceptable qu’à condition d’être véritablement pluraliste, avec une participation effective des parties prenantes, y compris des représentants des travailleurs et de la société civile, dotés de moyens réels. La standardisation est alors présentée non comme un exercice purement technique, mais comme un processus continu d’apprentissage sur les discriminations et les atteintes aux droits dans le travail.

Le second instrument est l’évaluation d’impact sur les droits fondamentaux, la FRIA. Les auteurs rappellent qu’elle a été introduite au cours du processus législatif pour répondre aux critiques adressées au texte initial. Ils considèrent cet outil comme potentiellement central, mais soulignent immédiatement sa limite : l’obligation ne couvre pas expressément tous les systèmes de recrutement à haut risque déployés par des acteurs privés. Malgré cette restriction, ils voient dans la FRIA un modèle utile pour rendre l’usage de l’IA plus responsable. L’évaluation doit décrire la finalité du système, les groupes affectés, les risques prévisibles pour les droits fondamentaux, les mécanismes de contrôle humain et les plans de réaction. Elle doit intervenir avant le déploiement et être mise à jour si nécessaire.

Toutefois, l’article insiste sur le fait qu’une FRIA ne doit pas se réduire à un calcul quantitatif. Les atteintes aux droits fondamentaux ne sont pas seulement des probabilités de dommages mesurables. Elles touchent aussi la dignité, le sentiment de déshumanisation, l’anxiété, l’autonomie et la capacité de participer à armes égales à une procédure de recrutement. Les auteurs prennent l’exemple de systèmes évaluant les compétences ou l’« adéquation culturelle » d’un candidat: même si l’on mesure certains effets en termes de productivité ou d’équité statistique, cela ne suffit pas à saisir l’atteinte à l’expérience vécue du candidat ni les effets sur les recruteurs eux-mêmes. Ils plaident donc pour une FRIA plus qualitative, fondée aussi sur des récits, des témoignages et des analyses contextualisées.

Pour les auteurs, une gouvernance satisfaisante de l’IA dans le recrutement suppose d’étendre les FRIA aux déployeurs privés des systèmes de recrutement à haut risque, de publier au moins des synthèses de ces évaluations, de mieux coordonner la responsabilité entre fournisseurs et déployeurs, de renforcer les moyens des autorités de contrôle, et d’opérationnaliser les droits à l’information, à la consultation et à la codétermination des travailleurs. Ils recommandent aussi de créer des répertoires d’analyses d’impact et de signalements postérieurs au déploiement, afin de permettre l’apprentissage collectif, la comparaison des pratiques et le contrôle public.

Le raisonnement de l’article progresse donc en quatre temps. Il décrit d’abord les usages de l’IA dans l’embauche et les risques spécifiques qu’ils font peser sur les candidats. Il expose ensuite le fonctionnement du RIA et montre à la fois son ambition et ses insuffisances. Il replace ce règlement dans le triangle plus large formé par le droit des données, le droit de l’égalité et le droit de la sécurité des produits, en mettant au jour les recouvrements et les tensions entre ces branches. Il soutient enfin qu’une protection effective passe par des mécanismes de co-gouvernance, capables d’introduire de la participation, du contrôle collectif et une appréciation qualitative des droits fondamentaux dans un univers autrement dominé par la conformité technique.

Pour des praticiens suisses, l’intérêt principal du texte tient à ce qu’il fournit une grille de lecture utile au-delà du seul droit de l’Union: il montre que, face à l’IA de recrutement, la question décisive n’est pas seulement celle de la licéité abstraite d’un outil, mais celle de l’articulation entre conception technique, rapports de pouvoir dans l’emploi, preuves de discrimination, gouvernance collective et effectivité des voies de recours.

[Et pour une analyse en droit suisse des IA de recrutement : Philippe Ehrenström, La décision individuelle automatisée discriminatoire dans le recrutement assisté par l’IA, in: Florence Guillaume/ Jonathan Bory (éd.), Droit et intelligence artificielle, Berne 2025, p. 171-184]

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence artificielle, CAS en Protection des données – Entreprise et administration