Synthèse executive — Chief Risk Officer
TalentScope SAS opère 10 cas d'usage IA sur une plateforme RH traitant 280 000 candidats par an. L'audit révèle une exposition réglementaire majeure : 5 cas d'usage tombent dans la catégorie high-risk EU AI Act (Annex III §4 — Employment, workers management and access to self-employment), 1 cas est potentiellement prohibited (analyse émotions vidéo, Article 5(1)(f)), et l'ensemble des décisions automatisées affectant les candidats engage la responsabilité RGPD Article 22. La deadline critique est le 2 août 2026 : date d'application des obligations high-risk EU AI Act. À cette date, TalentScope doit disposer d'une conformité ex-ante complète — AQRM documenté, FRIA validé par un juriste, conformity assessment (auto ou notified body), transparence aux candidats, mécanisme human oversight opérationnel — sous peine de sanctions allant jusqu'à €15M ou 3% du CA mondial (€1,14M pour TalentScope), cumulables avec les pénalités RGPD (€20M ou 4% CA = €1,52M). Trois risques P0 exigent une action immédiate : (1) le scoring CV (décision automatisée sans opt-out RGPD Art.22 documenté), (2) l'analyse émotions vidéo (à suspendre ou à qualifier prohibited avant tout déploiement client UK/FR), (3) l'absence totale de FRIA et de model cards sur les 5 systèmes high-risk. Le plan de remédiation proposé — budget €485k sur 12 mois, piloté par le DPO et le Legal Counsel — permet d'atteindre la conformité avant la deadline avec une marge de 2 mois. Le ROI est asymétrique : €485k de budget vs €2,7M–€43M d'exposition sanctions, sans compter le risque de résiliation de contrats avec les grandes entreprises clientes (RGPD-aware procurement 2026).
Inventaire des cas d'usage IA — classification EU AI Act
Classification selon Règlement (UE) 2024/1689 — EU AI Act (JO 12 juillet 2024)
UC01 · Risque élevé
Scoring IA de CV et classement automatique des candidats
Annex III §4(a) — Recruitment or selection of natural persons, notably for advertising vacancies, screening or filtering applications, evaluating candidates in the course of interviews or tests · Article 6(2) — High-risk AI systems referred to in Annex III
Système classifié high-risk EU AI Act Annex III §4(a) car il sert à filtrer et classer des candidats dans un processus de recrutement, affectant directement leur accès à l'emploi. La décision automatisée de classement (score > 70 = priorité) constitue également une décision fondée uniquement sur un traitement automatisé au sens RGPD Article 22, déclenchant le droit d'opposition du candidat. Obligations EU AI Act : AQRM (Art. 9), data governance (Art. 10), technical documentation (Art. 11), logging (Art. 12), transparency (Art. 13), human oversight (Art. 14), accuracy & robustness (Art. 15), conformity assessment (Art. 43).
Données : CV texte, expériences professionnelles, formation, compétences déclarées, données démographiques implicites · Impactés : 280 000 candidats/an
UC02 · Risque élevé
Recommandation automatique de candidats aux recruteurs
Annex III §4(a) — Recruitment or selection of natural persons · Article 6(2)
Classifié high-risk Annex III §4(a) : le système détermine quels candidats sont présentés aux recruteurs, créant un effet de sélection automatisée sur l'accès à l'emploi. Risque de biais algorithmique amplifiés par les données historiques (si les données d'entraînement reflètent des pratiques de recrutement discriminatoires passées). Obligation RGPD : base légale à documenter, DPO à informer, FRIA obligatoire EU AI Act.
Données : CV, historique candidatures, signaux comportementaux, données poste · Impactés : 280 000 candidats + 4 200 recruteurs
UC03 · Risque limité
Prédiction d'abandon de candidature
N/A — hors Annex III §4 (pas de décision affectant l'accès à l'emploi) · Article 50(4) — Transparency notice obligatoire si traitement automatisé non-évident
Classifié limited-risk EU AI Act : le système traite des données personnelles comportementales et génère un output utilisé pour envoyer des communications automatisées. Pas de décision d'accès à l'emploi directe, donc hors Annex III §4. Obligation EU AI Act Article 50 : les candidats doivent être informés qu'ils interagissent avec un système automatisé. RGPD : base légale traitement à documenter (intérêt légitime ou consentement pour relances), droit à l'information Article 13/14.
Données : données comportementales, temps de réponse, statut candidature · Impactés : Candidats en process
UC04 · Interdit
Analyse de sentiment des entretiens vidéo différés
Article 5(1)(f) — AI systems that infer emotions of a natural person in the areas of workplace and education institutions, except for medical or safety reasons · Article 5(1)(f) — Prohibited AI practice — application depuis 2025-02-02
ALERTE CRITIQUE : ce cas d'usage constitue vraisemblablement une pratique prohibée EU AI Act Article 5(1)(f) (en vigueur depuis 2025-02-02). L'analyse d'émotions faciales dans le cadre d'un processus de recrutement relève du 'workplace' au sens large (accès à l'emploi). Exception médicale/sécurité non applicable. Sanction maximale : €35M ou 7% CA mondial. Recommandation immédiate : SUSPENDRE le déploiement dans l'UE et le Royaume-Uni pendant qualification juridique par un avocat spécialisé AI Act. La transcription NLP seule (sans analyse d'émotions) reste autorisée sous conditions.
Données : vidéo, audio, transcription, biométrique comportemental · Impactés : 45 000 candidats/an
UC05 · Risque élevé
Détection de profils 'à risque de fraude' dans les CV
Annex III §4(a) — Screening or filtering applications · Article 6(2)
Classifié high-risk Annex III §4(a) : le flagging automatique 'fraude' constitue un screening des applications affectant directement l'accès à l'emploi. Risque légal additionnel : assimilation possible à un profilage discriminatoire si les critères de 'fraude' corrèlent avec des caractéristiques protégées (ex: gaps CV = arrêt maladie, maternité). RGPD Article 22 : décision automatisée avec effet juridique significatif → droit d'opposition. EU AI Act : obligations techniques complètes Article 9-15.
Données : CV, données vérification antécédents partielles · Impactés : 8 000 candidats/an flaggés
UC06 · Risque élevé
Chatbot de pré-qualification automatisé
Annex III §4(a) — Screening or filtering applications, evaluating candidates · Article 6(2) + Article 50(1) — Transparency notice chatbot
Classifié high-risk Annex III §4(a) : le chatbot évalue et filtre les candidats dans le cadre du recrutement — décision automatisée sur l'accès à l'emploi. Double obligation : (1) EU AI Act high-risk Articles 9-15 pour le système de scoring sous-jacent, (2) Article 50(1) transparency notice obligatoire — le candidat doit savoir qu'il interagit avec un système d'IA (obligation en vigueur depuis 2026-08-02 pour high-risk, mais bonne pratique immédiate). RGPD Article 22 applicable.
Données : réponses textuelles candidat, métadonnées conversation · Impactés : Candidats postes < €35k (estimation 80 000/an)
UC07 · Risque élevé
Prédiction de performance post-embauche à 6 mois
Annex III §4(b) — Making decisions on promotion and termination of work-related contractual relationships (analogy: selection = accès emploi) · Article 6(2)
Classifié high-risk Annex III §4(a)/(b) : le système prédit une performance future pour influencer une décision d'embauche. Risque d'auto-réalisation des biais : si le modèle est entraîné sur des données de performance d'employés passés, il reproduit les biais de sélection historiques. RGPD Article 22 : impact 'juridique ou similaire' sur le droit au contrat de travail. Obligation FRIA renforcée : impact sur la dignité (jugement sur la valeur future de la personne) et l'égalité de traitement.
Données : CV, score entretien, données RH cohortes historiques, données RH anonymisées · Impactés : Candidats en phase finale (décision d'embauche influencée)
UC08 · Risque minimal
Génération automatique de descriptions de postes
N/A — outil B2B sans impact sur droits individuels de candidats · Article 95 — Codes of practice (volontaire)
Classifié minimal-risk EU AI Act : pas d'impact direct sur les droits des individus, révision humaine systématique avant tout effet externe, pas de données personnelles candidates traitées. Bonne pratique : vérifier que les outputs ne renforcent pas des biais discriminatoires (ex: formulations genrées). Code de conduite EU AI Act Article 95 applicable sur base volontaire.
Données : mots-clés recruteur, corpus secteur · Impactés : Recruteurs (outil B2B, révision humaine systématique)
UC09 · Risque élevé
Matching mobilité interne salariés
Annex III §4(b) — Making decisions on promotion and access to self-employment · Article 6(2)
Classifié high-risk Annex III §4(b) : le système influence l'accès des salariés aux opportunités de mobilité interne et de promotion, catégorie explicitement visée par Annex III §4(b). Complexité supplémentaire : TalentScope est fournisseur de systèmes IA à des entreprises (deployers au sens AI Act) — obligation de contractualiser les responsabilités (Articles 25-26 AI Act). Les entreprises clientes (deployers) ont des obligations propres; TalentScope (provider) doit les outiller avec la documentation nécessaire.
Données : profil salarié, compétences, évaluations performance, données RH client · Impactés : 20 000 salariés des entreprises clientes
UC10 · Risque minimal
Market intelligence offres d'emploi concurrentes
N/A — pas d'impact sur personnes physiques identifiables · Article 95 — Codes of practice (volontaire)
Classifié minimal-risk EU AI Act : outil d'analyse de marché sur données publiques sans impact sur les droits de personnes physiques identifiables. Vigilance RGPD : vérifier que le scraping ne collecte pas de données personnelles publiques (ex: noms de salariés dans des offres). CNIL recommande de limiter la collecte aux données strictement agrégées. Aucune obligation EU AI Act spécifique — code de conduite Article 95 sur base volontaire recommandé.
Données : données publiques offres emploi, données salariales marché · Impactés : Aucun impact individus (outil analytique B2B)
Heatmap de conformité — cas d'usage × frameworks
Lecture : chaque cellule = statut par framework pour ce cas d'usage
Conforme
Partiel
Non-conforme
N/A
P0= criticité critique
Top 10 risques — priorisés impact × probabilité
1
Analyse émotions vidéo — pratique potentiellement prohibited EU AI Act
EU AI Act Article 5(1)(f) · UC04 · Deadline : 2025-02-02 (déjà en vigueur)
Score 80/100
10.0M–35M€
L'analyse d'émotions faciales dans un contexte de recrutement (accès à l'emploi = workplace adjacent) constitue vraisemblablement une pratique prohibée EU AI Act Article 5(1)(f), en vigueur depuis le 2 février 2025. TalentScope expose potentiellement 45 000 candidats/an à cette analyse sans base légale valide. L'exception médicale/sécurité n'est pas applicable. La sanction maximale est de €35M ou 7% du CA mondial — pour TalentScope €38M CA, cela représente €2,66M sur le 7%. Le risque est binaire : soit le système est suspendu immédiatement, soit TalentScope encourt une amende catastrophique en cas de plainte d'un candidat à la CNIL ou à l'AI Office.
Impact : 10/10Probabilité : 8/10Priorité : critical
2
Scoring CV high-risk sans conformity assessment — deadline 2026-08-02
EU AI Act Articles 9-15, 43 · UC01 · Deadline : 2026-08-02 (EU AI Act high-risk application date)
Score 81/100
1.5M–15M€
Le scoring CV (Annex III §4(a)) est le cas d'usage cœur de TalentScope, affectant 280 000 candidats/an. Sans AQRM documenté, technical documentation (Art.11), data governance (Art.10) et conformity assessment (Art.43) au 2 août 2026, TalentScope sera en infraction caractérisée. La sanction va jusqu'à €15M ou 3% CA mondial (€1,14M). Mais le vrai risque est la mise en demeure d'arrêt de commercialisation par l'AI Office, qui bloquerait le produit principal de la société. Le temps de remédiation est estimé à 9 mois minimum avec les ressources actuelles — la fenêtre est critique.
Impact : 9/10Probabilité : 9/10Priorité : critical
3
Décisions automatisées sans RGPD Article 22 compliance sur 5 systèmes
RGPD Article 22 + Article 5(1)(a) · UC01, UC02, UC05, UC06, UC07 · Deadline : Immédiat (RGPD applicable depuis 2018)
Score 72/100
0.5M–20M€
Cinq systèmes de TalentScope prennent des décisions automatisées ayant un 'effet juridique ou similaire' sur les candidats (accès à l'emploi, contrat de travail) sans : (1) information aux candidats sur l'existence du traitement automatisé (RGPD Art.13/14), (2) procédure d'opposition documentée et accessible, (3) garantie d'intervention humaine sur demande. La CNIL peut infliger jusqu'à €20M ou 4% du CA mondial. Des plaintes individuelles de candidats écartés par le scoring sont le vecteur d'activation le plus probable — un seul arrêt rendu contre un concurrent HR-tech serait précédent suffisant pour une vague de plaintes.
Impact : 9/10Probabilité : 8/10Priorité : critical
4
Prédiction performance 6 mois — biais auto-réalisateur et discrimination indirecte
EU AI Act Annex III §4 + RGPD Art.22 + Loi Egalité · UC07 · Deadline : 2026-08-02 (EU AI Act) + immédiat (RGPD + droit anti-discrimination)
Score 63/100
0.8M–15M€
Ce système est le plus exposé aux litiges individuels : prédire la 'valeur future' d'un candidat pour une décision d'embauche crée un biais auto-réalisateur documenté (les groupes sous-représentés dans les données historiques de performance sont systématiquement sous-scorés). Si un candidat peut démontrer qu'une prédiction algorithmique discriminatoire l'a écarté d'un poste, TalentScope et ses clients deployers s'exposent à des actions en dommages et intérêts. La DPIA (EIVP) est obligatoire sous RGPD et non réalisée. Aucune analyse disparate impact par genre/âge/origine n'a été conduite.
Impact : 9/10Probabilité : 7/10Priorité : critical
5
Absence de documentation technique (Art.11) et logs (Art.12) sur tous systèmes high-risk
EU AI Act Articles 11, 12, Annex IV · UC01, UC02, UC05, UC06, UC07, UC09 · Deadline : 2026-08-02
Score 80/100
0.5M–8M€
Aucun des 5 systèmes high-risk ne dispose de la technical documentation requise par EU AI Act Annex IV (description générale, éléments d'architecture, données d'entraînement, métriques de performance, mesures de supervision humaine, mesures cybersécurité) ni du système de journalisation automatique (Art.12) permettant la traçabilité des décisions individuelles. Cette documentation est obligatoire avant toute mise sur le marché post-2026-08-02 et sera exigée par les autorités de surveillance du marché en cas de contrôle. Sanction : jusqu'à €7,5M ou 1,5% CA pour fourniture d'informations incorrectes.
Impact : 8/10Probabilité : 10/10Priorité : critical
6
Absence de FRIA pour tous systèmes high-risk
EU AI Act — obligation FRIA pour high-risk deployers + providers · UC01, UC02, UC05, UC06, UC07 · Deadline : 2026-08-02
Score 80/100
0.3M–5M€
La Fundamental Rights Impact Assessment (FRIA) est une obligation pour les deployers de systèmes IA high-risk relevant de l'Annex III §1-7, et pour les providers dans la documentation technique. Aucun FRIA n'a été réalisé pour les 5 systèmes high-risk de TalentScope. Le FRIA doit couvrir : droits à l'égalité de traitement (discrimination), vie privée, dignité, droit au recours effectif, droit à l'emploi. Son absence constitue une infraction autonome et fragilise la position de TalentScope en cas de contentieux (absence de due diligence documentée).
Impact : 8/10Probabilité : 10/10Priorité : high
7
Obligations deployer non contractualisées avec les 4 200 entreprises clientes
EU AI Act Articles 25-26 (deployer obligations) · UC02, UC09 · Deadline : 2026-08-02
Score 56/100
0.2M–3M€
TalentScope est provider de systèmes IA high-risk. Ses clients (4 200 entreprises) sont des deployers au sens EU AI Act. Les obligations se partagent : TalentScope doit fournir la technical documentation, les instructions d'utilisation et les informations de conformité aux deployers (Art.13(2)). Les deployers doivent mettre en place la human oversight, informer leurs salariés/candidats, et désigner un référent IA. Sans clauses contractuelles dédiées dans les CGV/SLA de TalentScope, les entreprises clientes sont exposées sans le savoir, et TalentScope encourt une responsabilité solidaire potentielle.
Impact : 7/10Probabilité : 8/10Priorité : high
8
Absence de test de biais et analyse disparate impact sur les systèmes de scoring
EU AI Act Art.10(3) + ISO 42001 Annex B B.5 + NIST AI RMF MEASURE.2.5 · UC01, UC02, UC05, UC07 · Deadline : 2026-08-02 + immédiat (droit anti-discrimination)
Score 72/100
0.3M–5M€
Aucun test de biais statistique n'a été réalisé sur les 4 systèmes de scoring. EU AI Act Article 10(3) impose que les données d'entraînement soient 'free from errors and complete' avec 'appropriate measures for detection and correction of biases'. La loi française anti-discrimination (art. L.1132-1 Code du travail) interdit les décisions influencées par le sexe, l'âge, l'origine dans l'accès à l'emploi. Un test disparate impact (rapport d'impact par groupe de genre, âge, code postal) est requis avant certification. Sans ce test, toute décision adverse documentée peut fonder une action judiciaire.
Impact : 8/10Probabilité : 9/10Priorité : high
9
Absence de mécanisme human oversight opérationnel
EU AI Act Article 14 · UC01, UC06, UC07 · Deadline : 2026-08-02
Score 63/100
0.2M–3M€
EU AI Act Article 14 exige que les systèmes IA high-risk soient conçus pour permettre aux personnes naturelles de surveiller, comprendre, intervenir et désactiver le système. Pour TalentScope, 'human oversight' ne peut pas être uniquement une mention dans les CGU — il faut une procédure documentée, accessible au recruteur, permettant de contester un score ou d'instruire manuellement un dossier. Le chatbot (UC06) est 100% automatisé sans aucun point d'intervention humaine documenté, ce qui constitue une violation directe de l'Article 14.
Impact : 7/10Probabilité : 9/10Priorité : high
10
Conformity assessment non réalisé — risque de mise hors marché post-2026-08-02
EU AI Act Article 43 · UC01, UC02, UC05, UC06, UC07 · Deadline : 2026-08-02
Score 81/100
0.5M–15M€
Le conformity assessment (Article 43) est obligatoire avant la mise sur le marché de tout système IA high-risk post-2026-08-02. Pour les systèmes Annex III autres que ceux des Annexes I (produits réglementés), le provider peut réaliser lui-même l'évaluation interne (self-assessment) à condition de disposer de toute la documentation requise (Annex IV). TalentScope n'a pas réalisé cet assessment pour aucun de ses 5 systèmes high-risk. Sans assessment validé, les systèmes ne peuvent légalement être mis sur le marché après la date butoir. Le marquage CE AI n'est pas requis pour Annex III non-produits mais la déclaration de conformité EU (Art.47) est obligatoire.
Impact : 9/10Probabilité : 9/10Priorité : critical
Plan de remédiation 12 mois — 4 quarters
Budget total : €483k sur 12 mois
Q1 2026— 5 actions · €73k
Suspension immédiate du déploiement de l'analyse émotions vidéo (UC04) dans l'UE et le RU + qualification juridique EU AI Act Article 5(1)(f) par un avocat spécialisé
Owner : DPO + Legal Counsel + CEOBudget : €25 000KPI : Déploiement suspendu J+7 + avis juridique rendu en 3 semainesEU AI Act Article 5(1)(f)
Inventaire complet des systèmes IA (tous cas d'usage, même non listés dans l'audit) + mise à jour du registre de traitement RGPD pour inclure les traitements automatisés IA
Owner : DPO + CTOBudget : €15 000KPI : Inventaire 100% complet validé DPO + registre RGPD actualiséISO 42001 Clause 4.3 + RGPD Art.30
Réalisation des DPIA (EIVP) manquantes pour UC01, UC07 (scoring CV + prédiction performance) — les plus exposés au risque RGPD
Owner : DPO + ProductBudget : €20 000KPI : 2 DPIA rédigées + validées CNIL (auto-évaluation) en Q1RGPD Art.35
Mise en place immédiate des notices de transparence RGPD Article 22 pour les candidats sur le scoring CV : information sur l'existence du traitement automatisé + droit d'opposition
Owner : DPO + LegalBudget : €8 000KPI : Notice ajoutée à la page candidature + email confirmation + CGU mises à jourRGPD Art.13/14 + Art.22
Désignation du Responsable IA (AI Officer) interne + constitution du comité gouvernance IA (DPO, CTO, Legal, Product, CDO) avec réunion mensuelle
Owner : CEO + DPOBudget : €5 000KPI : AI Officer désigné + comité constitué + première réunion tenueISO 42001 Clause 5.3 + NIST AI RMF GOVERN.1
Q2 2026— 6 actions · €220k
Réalisation des FRIA (Fundamental Rights Impact Assessment) pour les 5 systèmes high-risk UC01, UC02, UC05, UC06, UC07 — avec juriste externe spécialisé droits fondamentaux
Owner : Legal Counsel + DPOBudget : €45 000KPI : 5 FRIA rédigés + validés par avocat spécialisé + archivés avec version controlEU AI Act — obligation FRIA Annex III high-risk
Audit de biais statistique (disparate impact analysis) sur UC01 (scoring CV), UC02 (recommandation), UC07 (prédiction performance) — par data scientist externe avec rapport certifié
Owner : CDO + CTOBudget : €55 000KPI : Rapport de biais remis avec métriques (4/5ths rule, DI ratio) + plan corrective actions si biais > 0.8 seuilEU AI Act Art.10(3) + ISO 42001 Annex B B.5
Rédaction de la Technical Documentation EU AI Act (Annex IV) pour les 5 systèmes high-risk : architecture, données d'entraînement, métriques performance, mesures cybersécurité, human oversight
Owner : CTO + Product + LegalBudget : €40 000KPI : 5 dossiers Annex IV complets + revue legale conformité EU AI ActEU AI Act Article 11 + Annex IV
Implémentation du système de logs automatiques (journalisation) pour les 5 systèmes high-risk : traçabilité des décisions, inputs, outputs, timestamps — RGPD-compliant (rétention 6 mois)
Owner : CTO + EngineeringBudget : €35 000KPI : Logs opérationnels 100% des décisions UC01/UC02/UC05/UC06/UC07 + durée rétention configuréeEU AI Act Article 12
Mise à jour des CGV/SLA avec les 4 200 entreprises clientes (deployers) : clauses AI Act Articles 25-26, transfert de documentation technique, obligations human oversight deployers
Owner : Legal + SalesBudget : €30 000KPI : Nouveaux contrats signés avec clauses AI Act pour 100% nouveaux clients + avenant envoyé à 100% clients existantsEU AI Act Articles 25-26
Rédaction et implémentation des model cards pour UC01, UC02, UC07 (les 3 systèmes les plus complexes et les plus exposés)
Owner : CDO + ProductBudget : €15 000KPI : 3 model cards publiées en interne + transmises aux deployers clients dans la documentation techniqueEU AI Act Art.13 + ISO 42001
Q3 2026— 4 actions · €145k
Réalisation du self-assessment (conformity assessment interne) EU AI Act Article 43 pour les 5 systèmes high-risk + émission des 5 déclarations de conformité EU (Article 47)
Owner : Legal + DPO + CTOBudget : €50 000KPI : 5 assessments documentés + 5 déclarations de conformité signées + archivées 10 ansEU AI Act Articles 43, 47
Formation EU AI Act pour l'ensemble des équipes Product, Engineering, Sales, Support (obligation Art.4 — AI literacy) + certification interne sur les cas d'usage high-risk
Owner : DPO + HRBudget : €20 000KPI : 100% Product + Engineering formés + 100% Sales formés sur l'argumentaire conformitéEU AI Act Article 4 (AI literacy)
Mise en place du post-market monitoring system (Article 72) pour UC01, UC02, UC07 : surveillance continue des performances + détection de dérive + remontée incidents AI Office
Owner : CTO + CDO + LegalBudget : €40 000KPI : Système monitoring opérationnel + première revue mensuelle KPIs bias + procédure incident réponse testéeEU AI Act Article 72 — post-market monitoring
Implémentation du mécanisme human oversight opérationnel (Article 14) dans l'interface recruteur : bouton 'Contester le score', 'Instruire manuellement', 'Exclure du scoring IA'
Owner : Product + EngineeringBudget : €35 000KPI : Feature human override déployée sur 100% interfaces recruteur + formaton recruteurs clientsEU AI Act Article 14
Q4 2026— 3 actions · €120k
Audit externe de conformité EU AI Act par un cabinet spécialisé (pré-certification) : revue de l'ensemble de la documentation, des systèmes, des procédures — simulation inspection AI Office
Owner : Legal + DPO + CEOBudget : €65 000KPI : Rapport d'audit externe rendu + findings corrigés avant 2026-08-02 + certification ISO 42001 lancéeEU AI Act + ISO 42001
Décision sur UC04 (analyse émotions vidéo) : soit redesign complet sans inférence émotions (transcription NLP uniquement) soit abandon définitif + communication clients
Owner : CEO + Legal + ProductBudget : €30 000KPI : Décision actée + si redesign : spécifications rédigées + roadmap planifiée pour H1 2027EU AI Act Article 5(1)(f)
Lancement de la certification ISO 42001:2023 avec un organisme accrédité (AFNOR Certification, Bureau Veritas) — processus 6-9 mois post-Q4
Owner : DPO + CTO + CEOBudget : €25 000KPI : Dossier de candidature soumis + audit à blanc planifié H1 2027ISO 42001:2023
Checklist documentation conformité
FRIA
Non-conforme
Fundamental Rights Impact Assessment — UC01 Scoring CV
EU AI Act Annex III high-risk · Deadline : Q2 2026
Évaluation de l'impact sur les droits fondamentaux des candidats : égalité de traitement, non-discrimination, dignité humaine, droit au travail, droit au recours effectif. Minimum 15 pages, validé par juriste droits fondamentaux.
Non-conforme
Fundamental Rights Impact Assessment — UC07 Prédiction performance
EU AI Act Annex III high-risk · Deadline : Q2 2026
FRIA spécifique sur le profilage prédictif : impact sur la dignité (jugement sur la valeur future), égalité des chances, droit à l'erreur. Analyse des populations sous-représentées dans les données d'entraînement.
Model Card
Non-conforme
Model card UC01 — Scoring CV (gradient boosting + NLP)
EU AI Act Art.13 + ISO 42001 · Deadline : Q2 2026
Intendeduse, out-of-scope use, training data description, performance metrics (AUC-ROC, précision par groupe démographique), bias analysis (disparate impact ratio), limitations, human oversight procedure.
Non-conforme
Model card UC07 — Prédiction performance 6 mois
EU AI Act Art.13 + ISO 42001 · Deadline : Q2 2026
Métriques : RMSE prédiction performance, corrélation prédictions vs performance réelle sur cohortes précédentes, analyse biais auto-réalisateur, instructions deployers pour usage conforme.
Technical Documentation
Non-conforme
EU AI Act Annex IV Technical File — UC01 Scoring CV
EU AI Act Article 11 + Annex IV · Deadline : Q2 2026
Description générale du système, éléments architecture (Annex IV §1-3), données d'entraînement et méthodes (§4), métriques de performance (§5), mesures de supervision humaine (§6), mesures cybersécurité (§7), déclaration de conformité EU.
Non-conforme
EU AI Act Annex IV Technical File — UC06 Chatbot pré-qualification
EU AI Act Article 11 + Annex IV · Deadline : Q2 2026
Documentation spécifique aux systèmes conversationnels : description du flux de décision, critères de filtrage automatique, procédure escalade humaine, métriques de performance sur l'évaluation des candidats.
Data Governance
Non-conforme
Data governance plan EU AI Act Art.10 — training data des 5 systèmes high-risk
EU AI Act Article 10 · Deadline : Q2 2026
Inventaire des données d'entraînement, validation que les données sont 'relevant, sufficiently representative, and to the best extent possible, free of errors and complete'. Mesures de détection et correction des biais dans les données.
Logging
Non-conforme
Système de journalisation automatique (Art.12) — UC01, UC02, UC05, UC06, UC07
EU AI Act Article 12 · Deadline : Q2 2026
Log automatique de chaque décision individuelle : timestamp, input summary (anonymisé RGPD), output (score ou décision), version modèle, identifiant session. Rétention minimum selon RGPD.
Transparency Notices
Non-conforme
Notice RGPD Art.22 pour les candidats — décision automatisée scoring CV
RGPD Art.13/14 + Art.22 · Deadline : Q1 2026 (immédiat)
Information claire sur : existence du traitement automatisé, logique impliquée, conséquences pour le candidat, droit d'opposition, droit de demander une intervention humaine. À inclure dans le parcours candidature et les emails de confirmation.
Non-conforme
Notice EU AI Act Art.50(1) — chatbot pré-qualification (UC06)
EU AI Act Article 50(1) · Deadline : Q1 2026 (recommandé immédiatement, obligatoire 2026-08-02)
Les candidats interagissant avec le chatbot doivent être informés au début de l'interaction qu'ils interagissent avec un système d'IA. Notice visible, en français, non dissimulée dans les CGU.
Human Oversight
Non-conforme
Procédure human override formalisée — UC01 Scoring CV
EU AI Act Article 14 · Deadline : Q3 2026
Procédure documentée permettant au recruteur de : (1) comprendre les facteurs de score, (2) contester et écarter le score, (3) instruire manuellement un dossier exclu. Implémentation UI + formation recruteurs clients.
AQRM
Non-conforme
AI Quality & Risk Management System (AQRM) — UC01 Scoring CV
EU AI Act Article 9 · Deadline : Q2 2026
Système de management des risques IA incluant : identification et analyse des risques, mesures de mitigation, tests continus, mise à jour post-incident. Cycle complet documenté avant mise sur le marché.
Post-Market Monitoring
Non-conforme
Post-market monitoring plan — UC01, UC02, UC07
EU AI Act Article 72 · Deadline : Q3 2026
Plan de surveillance continue incluant : KPIs de performance et d'équité à surveiller, fréquence de revue, seuils d'alerte, procédure de remontée d'incidents graves à l'AI Office, critères de retrait du marché.
Conformity Assessment
Non-conforme
Self-assessment + Déclaration de conformité EU (Art.47) — 5 systèmes high-risk
EU AI Act Article 43 + 47 · Deadline : Q3 2026 (avant 2026-08-02)
Réalisation du conformity assessment interne (auto-certification applicable Annex III non-produits réglementés). Émission des 5 déclarations de conformité EU signées par le représentant légal TalentScope. Archivage 10 ans.
Matrice juridictionnelle — deltas régulatoires
FR
Lois applicables : EU AI Act (JO UE 2024/1689) · RGPD (UE 2016/679) · Loi Informatique et Libertés modifiée 2018 · Code du travail Art.L.1132-1 (anti-discrimination) · Loi Sapin 2 (si applicable)
Deltas clés :
- CNIL = autorité compétente AI Act pour la FR (via coordination AI Office)
- CNIL peut prendre des mesures conservatoires immédiates
- Droit du travail FR ajoute des protections spécifiques candidats (Art.L.1221-6 à L.1221-8)
- Index Egapro : données scoring peuvent être utilisées comme preuve de discrimination systémique en cas de contentieux prud'homal
Autorité : CNIL (RGPD + AI Act coordination) + Inspection du travail (droit emploi) + AI Office UE (coordination)
Application : EU AI Act prohibited : 2025-02-02 (actif). High-risk : 2026-08-02. RGPD : depuis 2018.
Sanction max : €35M ou 7% CA (prohibited AI Act) + €20M ou 4% CA (RGPD) — cumulables
EU
Lois applicables : EU AI Act (JO UE 2024/1689) · RGPD (UE 2016/679) · Directive emploi égalité (2000/78/CE) · Charte des droits fondamentaux UE (Art.21 non-discrimination)
Deltas clés :
- AI Office = autorité de surveillance centralisée pour les providers de general purpose AI + coordination nationale
- Mécanisme de cohérence RGPD (EDPB) pour les traitements transfrontaliers
- Directive emploi égalité interdit discrimination indirecte — pertinent pour les biais algorithmiques RH
- EU AI Act = règlement d'application directe dans les 27 États membres — pas de transposition nationale requise
Autorité : AI Office (Commission Européenne) pour coordination + autorités nationales de surveillance du marché (ANSSI en FR) + APD nationales (CNIL)
Application : EU AI Act : phases 6/12/24/36 mois depuis 2024-08-01. High-risk : 2026-08-02.
Sanction max : €35M ou 7% CA mondial (prohibited) — les amendes AI Act sont les plus élevées en droit de la conformité EU
UK
Lois applicables : UK GDPR + Data Protection Act 2018 · Equality Act 2010 (discrimination emploi) · AI Governance Framework 2024 (non contraignant mais attendu par les grandes entreprises) · ICO Guidance on AI and data protection 2024
Deltas clés :
- PAS de loi AI unifiée UK en 2026 (approche sectorielle pro-innovation)
- ICO (Information Commissioner's Office) = autorité principale pour IA + données
- UK AI Code of Practice 2024 = guidelines volontaires sectorielles
- Bias testing encouragé mais pas obligatoire légalement (vs EU AI Act Art.10 obligatoire)
- Post-Brexit : transferts données EU→UK sous adéquation — vérifier que les données candidats UK respectent le UK GDPR séparément
Autorité : ICO (données + IA) + Equality and Human Rights Commission (EHRC pour discrimination emploi)
Application : UK GDPR : depuis 2021 (post-Brexit). AI Code : 2024 (volontaire).
Sanction max : £17,5M ou 4% CA mondial (UK GDPR) — pas d'équivalent sanctions AI Act
US-CA
Lois applicables : California Consumer Privacy Act (CCPA/CPRA) · California AB-331 Automated Decision Systems in Employment (projet de loi, statut 2026 à vérifier) · EEOC Guidance on AI in Employment (mai 2023) · Title VII Civil Rights Act (discrimination emploi)
Deltas clés :
- CCPA/CPRA : droit d'opt-out du traitement automatisé des données personnelles pour les résidents CA
- EEOC 2023 : guidance explicite — l'employeur reste responsable même si la discrimination provient d'un outil IA tiers
- Pas d'équivalent EU AI Act high-risk obligations : reporting et audit volontaires
- Class actions : risque spécifique US-CA — un seul litige discrimination peut déclencher une class action de candidats exclus par le scoring
Autorité : California Privacy Protection Agency (CPPA) pour CCPA + California Department of Fair Employment and Housing (DFEH) pour discrimination
Application : CCPA : depuis 2020. CPRA : depuis 2023.
Sanction max : $2 500 par violation non intentionnelle / $7 500 intentionnelle CCPA. Pas de plafond EU AI Act-equivalent. Class actions sans plafond.
Exposition sanctions — waterfall par framework
Probabilité high
Probabilité medium
Probabilité low
Exposition min
FRIA — Fundamental Rights Impact Assessment (extrait)
FRIA — UC01 Scoring IA de CV — TalentScope SAS
Référence : UC01 — Annex III §4(a) EU AI Act
Objectif : Évaluer l'impact du système de scoring automatique des CV sur les droits fondamentaux des candidats à l'emploi, conformément aux obligations EU AI Act pour les systèmes IA high-risk déployés dans le domaine de l'emploi (Annex III §4).
Groupes affectés
Candidats à l'emploi (280 000/an) — toutes nationalités EU et UKCandidats issus de groupes sous-représentés (femmes en tech, seniors > 50 ans, candidats d'origine étrangère)Candidats en situation de handicap (données non collectées explicitement mais potentiellement discriminées par des proxies)Candidats avec des gaps de CV (arrêts maladie, maternité, chômage longue durée)
Impacts sur les droits fondamentaux
Droit à l'égalité de traitement et non-discrimination (Art.21 Charte UE)Impact : high
Mitigation : Test disparate impact (4/5ths rule) obligatoire avant déploiement. Revue trimestrielle des métriques par groupe démographique. Seuil d'alerte : DI ratio < 0,8 sur un groupe → investigation + correction modèle obligatoire dans les 30 jours.
Droit au travail et liberté de chercher un emploi (Art.15 Charte UE)Impact : high
Mitigation : Mécanisme human override opérationnel permettant à tout recruteur de contester un score bas. Obligation de revue humaine pour tout candidat score < 40 et > 3 ans d'expérience (indicateur potentiel de biais). Suivi du taux de candidats 'faux négatifs' corrigés en intervention humaine.
Droit à la vie privée et protection des données (Art.8 Charte UE + RGPD)Impact : medium
Mitigation : Minimisation des données : seules les données directement pertinentes pour le poste utilisées dans le modèle. Exclusion des données démographiques directes. Durée de rétention des données de scoring limitée à 6 mois post-candidature. DPIA réalisée et actualisée annuellement.
Droit au recours effectif (Art.47 Charte UE)Impact : medium
Mitigation : Procédure d'opposition RGPD Art.22 documentée et accessible en 1 clic dans l'espace candidat. Délai de réponse : 72h maximum. En cas d'opposition : suspension du score automatique + instruction manuelle du dossier par un recruteur humain dans les 5 jours ouvrés.
Dignité humaine (Art.1 Charte UE)Impact : low
Mitigation : Le scoring est présenté aux recruteurs comme un 'indicateur de compatibilité' non comme une évaluation de la valeur de la personne. Formation recruteurs clients sur l'interprétation des scores. Interdiction contractuelle d'utiliser le score comme unique critère de décision.
Conclusion DPO : Le scoring IA de CV TalentScope présente un impact high sur les droits fondamentaux à l'égalité de traitement et à l'accès à l'emploi. Les risques sont mitigables mais exigent des mesures actives : (1) test de biais statistique avant tout déploiement ou mise à jour majeure du modèle, (2) mécanisme human override opérationnel et utilisé, (3) information transparente aux candidats sur l'existence et la logique du traitement automatisé. Sans ces 3 mesures, le déploiement post-2026-08-02 n'est pas recommandé par le DPO TalentScope.
Model Card — extrait système le plus critique
TalentScore-CV-v2.4 (gradient boosting + sentence-transformers NLP)
Référence : UC01 — Scoring IA de CV
Intended use
Aide à la décision pour les recruteurs : attribution d'un score de compatibilité 0-100 entre un CV et une fiche de poste. Conçu pour prioriser les dossiers à examiner en premier — NOT pour remplacer la décision humaine finale. Usage prévu : marché B2B RH européen (FR, EU, UK). Population cible : candidats adultes avec CV texte.
Out-of-scope use
Ne doit PAS être utilisé comme : critère unique de rejet sans révision humaine / outil d'évaluation de la personnalité ou du potentiel de performance (modèle entraîné sur compatibilité CV-poste uniquement) / outil de décision dans des secteurs non RH / évaluation de CV en dehors du domaine recrutement.
Training data
Corpus de 2,3M paires (CV anonymisé, fiche de poste) avec label 'hired/not-hired' issu de 8 années de données plateforme TalentScope (2016-2024). Anonymisation : suppression noms, prénoms, adresses, photos. Note : les données historiques reflètent les décisions de recruteurs humains passés — biais potentiels de sélection présents dans le corpus.
Human oversight
Chaque score < 40 pour un candidat avec > 5 ans d'expérience déclenche une notification au recruteur pour révision manuelle. Bouton 'Contester le score' dans l'interface recruteur — log de chaque override. Rapport mensuel d'override envoyé au CDO TalentScope pour détection de patterns de biais non identifiés.
Performance — AUC-ROC sur holdout set 2024 (10% du corpus, 230k paires)
0.82 AUC-ROC global. Précision @k10 (top 10 candidats retenus) : 0.71.
Holdout set 230k paires CV/poste 2024 — non utilisé en entraînement
Analyse de biais
Test disparate impact réalisé sur le holdout set 2024 par groupe genre (proxy prénom/congé maternité détecté). Résultats : DI ratio femmes vs hommes sur postes tech = 0.76 (sous le seuil légal 4/5ths = 0.80). Action corrective en cours : re-pondération des features et re-entraînement sans le proxy maternité. Test par tranche d'âge (proxy année diplôme) : DI ratio seniors > 50 ans = 0.71 — action corrective P0. Test par code postal (proxy origine socio-économique) : DI ratio arrondissements défavorisés = 0.83 — acceptable mais surveillé.
Limitations
- Performance dégradée sur les CV non-standards (portfolio, parcours atypiques, reconversions) — sous-représentés dans les données d'entraînement
- Sensible aux gaps de CV > 6 mois : modèle interprète les gaps comme signal négatif sans contextualisation (arrêt maladie, parentalité, formation non diplômante)
- Précision réduite pour les postes émergents (< 3 ans d'existence dans la base) faute de données historiques suffisantes
- Pas conçu pour évaluer les compétences non-textuelles (créativité, leadership, intelligence émotionnelle)
Board brief — 1-page executive summary
TalentScope est exposé à €2,7M–€43M de sanctions EU AI Act + RGPD et doit être conforme avant le 2 août 2026 — budget remédiation €485k, ROI asymétrique.
L'audit de gouvernance IA révèle que TalentScope opère 5 systèmes IA high-risk (EU AI Act Annex III §4) et 1 système potentiellement prohibited (analyse émotions vidéo), sans aucune conformité formelle. La date butoir réglementaire est le 2 août 2026. À cette date, les autorités de surveillance du marché (CNIL, AI Office) peuvent contrôler et sanctionner les opérateurs non conformes. La commercialisation des systèmes high-risk non certifiés devient illégale.
Risques clés
- UC04 analyse émotions vidéo — potentiellement prohibited Article 5(1)(f) EU AI Act depuis 2025-02-02 — sanction max €35M — action immédiate requise
- 5 systèmes high-risk sans documentation technique, FRIA, conformity assessment — risque €15M ou 3% CA
- RGPD Article 22 : 280 000 candidats/an décision automatisée sans information ni droit d'opposition — sanction €20M ou 4% CA
- Biais avérés (DI ratio femmes tech 0.76, seniors 0.71) sans plan correctif formalisé — risque contentieux discrimination + class action
- 4 200 entreprises clientes (deployers) non informées de leurs obligations EU AI Act — risque de résiliation contrats + litiges
Actions recommandées
- Décision immédiate UC04 : suspension déploiement analyse émotions UE/UK + qualification juridique Article 5(1)(f) par avocat spécialisé dans les 3 semaines
- Valider le plan de remédiation 12 mois (budget €485k) et désigner un AI Officer interne responsable du programme
- Prioriser Q1 : notices RGPD Art.22 aux candidats + DPIA UC01/UC07 + inventaire complet systèmes IA
- Engager un cabinet d'audit externe spécialisé EU AI Act pour Q4 pre-certification (budget inclus dans €485k)
- Mettre à jour les CGV/SLA avec les 4 200 clients deployers pour clarifier les responsabilités mutuelles EU AI Act
€485k
Budget remédiation 12 mois
Q1-Q4 2026 — deadline absolue : 2026-08-02 (EU AI Act high-risk application)
Calendrier
Sources réglementaires et méthodologie
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle. Annex III §4 : systèmes IA high-risk dans l'emploi et la gestion des travailleurs. Article 5(1)(f) : systèmes d'inférence des émotions dans les lieux de travail et les établissements d'enseignement — interdits sauf exception médicale/sécurité.
Norme internationale pour les systèmes de management de l'IA. Clause 6.1 : planification actions pour adresser risques IA. Annex A : 34 contrôles. Annex B : lignes directrices implementation. Certification possible via organismes accrédités (AFNOR, Bureau Veritas).
Cadre volontaire US structurant la gestion des risques IA en 4 fonctions : GOVERN (gouvernance), MAP (cartographie), MEASURE (mesure), MANAGE (gestion). 72 actions dans le Playbook associé. Référence internationale adoptée par de nombreuses entreprises EU en complément de l'EU AI Act.
La CNIL rappelle que tout traitement automatisé affectant les décisions de recrutement est soumis à l'Article 22 du RGPD. Les candidats doivent être informés et bénéficier d'un droit d'opposition. Les données biométriques (expressions faciales, ton de voix) sont des données sensibles Article 9 RGPD.
L'EEOC (États-Unis) clarifie que les employeurs restent légalement responsables des effets discriminatoires des outils IA de recrutement, même fournis par des tiers. Test 4/5ths rule applicable aux sélections algorithmiques.
L'AI Office de la Commission européenne est l'autorité centrale de supervision pour les modèles d'IA à usage général et la coordination du marché unique EU AI Act. Les providers de systèmes high-risk doivent notifier les incidents graves à l'AI Office et maintenir leur documentation technique disponible pour inspection.
Aucune personne ne peut être écartée d'une procédure de recrutement ou de l'accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire (…) à raison de son origine, de son sexe, de ses mœurs, de son orientation sexuelle, de son âge…
AFNOR Certification propose l'audit et la certification ISO 42001:2023 pour les organisations développant ou déployant des systèmes d'IA. Processus : audit documentaire + audit terrain + rapport de certification. Durée estimée : 6-9 mois.
Méthodologie Olivier — Chief Risk Officer : Audit structuré en 3 phases (1) inventaire et classification EU AI Act 2024/1689 par cas d'usage, (2) gap analysis croisée multi-cadres (EU AI Act, ISO 42001:2023, NIST AI RMF 1.0, RGPD Art.22), (3) priorisation par matrice impact × probabilité × fenêtre régulatoire. FRIA et model cards conformes aux obligations ex-ante EU AI Act Annex III §4 (emploi, accès à l'emploi). Budget remédiation calibré sur benchmarks cabinets conformité IA 2025.