Synthèse executive — Chief Risk Officer
TalentScope SAS opère 10 cas d'usage IA sur une plateforme RH traitant 280 000 candidats par an. L'audit révèle une exposition réglementaire majeure : 5 cas d'usage tombent dans la catégorie high-risk EU AI Act (Annex III §4 — Employment, workers management and access to self-employment), 1 cas est potentiellement prohibited (analyse émotions vidéo, Article 5(1)(f)), et l'ensemble des décisions automatisées affectant les candidats engage la responsabilité RGPD Article 22. La deadline critique est le 2 août 2026 : date d'application des obligations high-risk EU AI Act. À cette date, TalentScope doit disposer d'une conformité ex-ante complète — AQRM documenté, FRIA validé par un juriste, conformity assessment (auto ou notified body), transparence aux candidats, mécanisme human oversight opérationnel — sous peine de sanctions allant jusqu'à €15M ou 3% du CA mondial (€1,14M pour TalentScope), cumulables avec les pénalités RGPD (€20M ou 4% CA = €1,52M). Trois risques P0 exigent une action immédiate : (1) le scoring CV (décision automatisée sans opt-out RGPD Art.22 documenté), (2) l'analyse émotions vidéo (à suspendre ou à qualifier prohibited avant tout déploiement client UK/FR), (3) l'absence totale de FRIA et de model cards sur les 5 systèmes high-risk. Le plan de remédiation proposé — budget €485k sur 12 mois, piloté par le DPO et le Legal Counsel — permet d'atteindre la conformité avant la deadline avec une marge de 2 mois. Le ROI est asymétrique : €485k de budget vs €2,7M–€43M d'exposition sanctions, sans compter le risque de résiliation de contrats avec les grandes entreprises clientes (RGPD-aware procurement 2026).
Inventaire des cas d'usage IA — classification EU AI Act
Classification selon Règlement (UE) 2024/1689 — EU AI Act (JO 12 juillet 2024)
Heatmap de conformité — cas d'usage × frameworks
Lecture : chaque cellule = statut par framework pour ce cas d'usage
Top 10 risques — priorisés impact × probabilité
Plan de remédiation 12 mois — 4 quarters
Checklist documentation conformité
Matrice juridictionnelle — deltas régulatoires
- CNIL = autorité compétente AI Act pour la FR (via coordination AI Office)
- CNIL peut prendre des mesures conservatoires immédiates
- Droit du travail FR ajoute des protections spécifiques candidats (Art.L.1221-6 à L.1221-8)
- Index Egapro : données scoring peuvent être utilisées comme preuve de discrimination systémique en cas de contentieux prud'homal
- AI Office = autorité de surveillance centralisée pour les providers de general purpose AI + coordination nationale
- Mécanisme de cohérence RGPD (EDPB) pour les traitements transfrontaliers
- Directive emploi égalité interdit discrimination indirecte — pertinent pour les biais algorithmiques RH
- EU AI Act = règlement d'application directe dans les 27 États membres — pas de transposition nationale requise
Exposition sanctions — waterfall par framework
FRIA — Fundamental Rights Impact Assessment (extrait)
Model Card — extrait système le plus critique
Board brief — 1-page executive summary
- UC04 analyse émotions vidéo — potentiellement prohibited Article 5(1)(f) EU AI Act depuis 2025-02-02 — sanction max €35M — action immédiate requise
- 5 systèmes high-risk sans documentation technique, FRIA, conformity assessment — risque €15M ou 3% CA
- RGPD Article 22 : 280 000 candidats/an décision automatisée sans information ni droit d'opposition — sanction €20M ou 4% CA
- Biais avérés (DI ratio femmes tech 0.76, seniors 0.71) sans plan correctif formalisé — risque contentieux discrimination + class action
- 4 200 entreprises clientes (deployers) non informées de leurs obligations EU AI Act — risque de résiliation contrats + litiges
- Décision immédiate UC04 : suspension déploiement analyse émotions UE/UK + qualification juridique Article 5(1)(f) par avocat spécialisé dans les 3 semaines
- Valider le plan de remédiation 12 mois (budget €485k) et désigner un AI Officer interne responsable du programme
- Prioriser Q1 : notices RGPD Art.22 aux candidats + DPIA UC01/UC07 + inventaire complet systèmes IA
- Engager un cabinet d'audit externe spécialisé EU AI Act pour Q4 pre-certification (budget inclus dans €485k)
- Mettre à jour les CGV/SLA avec les 4 200 clients deployers pour clarifier les responsabilités mutuelles EU AI Act