Règlement IA et données RH : le 2 août 2026, la fonction RH change de régime juridique. Et personne n’en parle.
Dans cent jours, le règlement européen sur l’intelligence artificielle s’applique aux outils RH. Les sanctions sont en place, la jurisprudence est faite, les sources sont publiques. Il manque encore, dans la plupart des comités de direction d’entreprise de taille intermédiaire, l’instruction sérieuse du sujet.
Le 10 juin 2025, devant la commission d’enquête du Sénat sur la commande publique, le représentant d’un grand éditeur américain a prêté serment, puis a répondu à une question simple. Pouvez-vous garantir que les données françaises hébergées en Europe ne seront jamais transmises aux autorités américaines ? La réponse, sous serment, a été non. Le compte rendu est public. Il est consultable sur le site du Sénat.
Cette audition n’a rien révélé que les juristes spécialisés ne savaient déjà. Sa valeur est ailleurs : pour la première fois, le sujet est sorti du cercle des experts pour entrer dans un dossier législatif, avec une trace opposable. Quelques mois plus tard, le 22 janvier 2026, la CNIL a sanctionné France Travail à hauteur de 5 millions d’euros, pour défaut de sécurité d’un système dont l’intrusion avait exposé 43 millions de personnes. Le 29 janvier 2026, le tribunal judiciaire de Nanterre a suspendu le déploiement de deux outils RH intégrant de l’intelligence artificielle, faute de consultation préalable du comité social et économique, avec une astreinte de 500 euros par jour de retard. C’est la quatrième décision de ce type en un an.
Trois faits, trois juridictions, trois mois consécutifs. Aucun n’a fait la une. Tous concernent la fonction RH au premier chef
Règlement IA et données RH : une horloge qui tourne
Le règlement européen sur l’intelligence artificielle, adopté le 13 juin 2024 et publié au Journal officiel de l’Union européenne le 12 juillet 2024, classe les systèmes d’IA selon quatre niveaux de risque. Les outils utilisés en recrutement, en évaluation des performances, en répartition des tâches et en suivi du travail sont rangés en catégorie haut risque, à l’annexe III, point 4. Les obligations qui s’appliquent à eux sont les plus contraignantes du dispositif après les pratiques interdites.
Date d’entrée en vigueur de ces obligations : le 2 août 2026.
Une proposition de Digital Omnibus, publiée par la Commission européenne le 19 novembre 2025, viserait à reporter cette échéance au 2 décembre 2027. Le Parlement européen a adopté sa position le 26 mars 2026, le Conseil la sienne le 13 mars 2026. Les négociations entre institutions sont en cours, un accord est visé pour le 28 avril 2026. Tant que ce texte n’est pas publié, la date du 2 août 2026 reste légalement contraignante.
Et même si le report intervient, la préparation se fait maintenant. Une cartographie des outils ne se fait pas en six semaines. Une analyse d’impact relative à la protection des données ne se rédige pas le jour où l’inspecteur arrive. Une consultation du comité social et économique ne se programme pas en référé. Les obligations qui s’appliqueront le 2 août 2026 — ou le 2 décembre 2027 — exigent, à minima, six à douze mois de travail interne. Ce travail n’est pas commencé dans la majorité des entreprises de taille intermédiaire que je rencontre.
Pourquoi la fonction RH, et pas la direction des systèmes d’information
J’entends souvent l’objection. La conformité au règlement IA, c’est un sujet pour la DSI, ou pour la direction juridique, ou pour le délégué à la protection des données. Pas pour la DRH.
Cette répartition du travail est une erreur de cadrage. Elle découle d’une confusion entre le cadre technique et le cadre opérationnel.
Un outil RH n’est pas une brique parmi d’autres dans le système d’information de l’entreprise. Il manipule trois couches de données qui ne se superposent nulle part ailleurs :
- Première couche : des données personnelles soumises au RGPD, avec une particularité de droit du travail qui restreint le consentement comme base légale, parce que le salarié est dans un rapport de subordination.
- Deuxième couche : des données de santé au sens de l’article 9 du RGPD, qui apparaissent dès qu’un motif d’absence ou un justificatif médical entre dans le système.
- Troisième couche : des données relatives à la représentation du personnel, dont la fuite ou l’accès non autorisé ne pose pas seulement un problème de conformité, mais un problème de dialogue social.
Aucun directeur des systèmes d’information ne peut arbitrer seul sur ces trois couches. Aucune direction juridique non plus. C’est le DRH qui détient la connaissance fine des usages, qui connaît le périmètre exact des outils déployés, qui anime la relation avec les représentants du personnel, et qui est responsable de la finalité de chaque traitement. L’arbitrage est, par construction, le sien.
À cela s’ajoute un fait que les vingt-quatre derniers mois ont rendu impossible à ignorer. Quatre tribunaux judiciaires français ont successivement suspendu, en référé, le déploiement d’outils RH intégrant de l’IA : Nanterre en février 2025, Créteil en juillet 2025, Paris en septembre 2025, Nanterre à nouveau en janvier 2026.
Le motif est toujours le même : absence de consultation préalable du comité social et économique au titre de l’article L. 2312-8 du Code du travail.
La preuve écrite de la consultation est désormais la pièce centrale du dossier employeur. Sans elle, la suspension sous astreinte est obtenue en quelques semaines. Le règlement IA et les données RH cumulent sur la fonction RH une responsabilité que personne d’autre, dans l’organisation, ne peut assumer à sa place.
Trois décisions, et le calendrier d’un trimestre
Le sujet de l’articulation entre règlement IA et données RH appelle trois décisions concrètes, qui tiennent dans le périmètre d’un comité de direction. Je ne crois pas aux feuilles de route à dix-huit mois pour les sujets qui exigent une décision dans le trimestre. Sur la souveraineté des données RH, trois décisions tiennent dans le périmètre d’un comité de direction, et peuvent être instruites en quatre-vingt-dix jours.
La première décision est de cartographier. Lister, sur un document unique, l’ensemble des outils contenant de la donnée RH, leurs éditeurs, leurs lieux d’hébergement, la nationalité juridique de l’entité qui contrôle l’infrastructure, et la liste nominative des sous-traitants en cascade. Cette cartographie n’existe pas dans la plupart des ETI. Sa production, en trente jours, est la condition de tout le reste.
La deuxième décision est d’arbitrer une posture stratégique. Trois sont possibles. Le statu quo éclairé, qui consiste à rester sur les outils existants en cadrant fermement les usages. L’hybride par classification, qui segmente les données selon leur sensibilité et migre les plus exposées vers un hébergement qualifié SecNumCloud. Le souverain intégral, réservé aux entités essentielles au sens de la directive NIS2 et aux industries sensibles. Aucune n’est gratuite. Celle du statu quo a le coût le plus diffus, mais souvent le plus élevé sur trois à cinq ans.
La troisième décision est de nommer un porteur du sujet au comité exécutif, avec un mandat écrit et une échéance de revue à six mois. Sans nom, le sujet n’existe pas. Avec un nom, il avance.
Un livre blanc pour instruire la décision
J’ai publié, en avril 2026, un livre blanc qui développe ces points : *Souveraineté des données RH et Intelligence Artificielle*. Il fait une cinquantaine de pages, il est gratuit, et il est conçu pour être lu à trois niveaux selon le temps dont vous disposez : cinq minutes pour la synthèse exécutive, trente minutes pour les chapitres-clés, deux heures pour la lecture intégrale.
Il contient trois outils utilisables tels quels.
Un diagnostic auto-administrable en douze questions, qui permet, en une à deux heures avec les bons interlocuteurs internes, d’objectiver l’exposition de votre organisation et d’identifier les zones à traiter en priorité.
Une feuille de route en quatre-vingt-dix jours, qui ne nécessite ni budget voté, ni arbitrage préalable au comité de direction, ni mobilisation de prestataires externes. Elle relève du périmètre du DRH seul.
Dix questions à adresser par écrit à votre éditeur SIRH. La qualité des réponses, et surtout leur rapidité, vous diront ce que vous avez besoin de savoir avant la prochaine échéance contractuelle.
Hey HR ! est un cabinet de conseil indépendant, sans partenariat éditeur, sans revente de logiciel et sans commission d’apport. Le livre blanc reflète une analyse indépendante, dont les sources sont citées au fil du texte et regroupées en fin de chaque section.
Le règlement IA et les données RH ne sont plus deux sujets distincts. Ils convergent désormais sur le même périmètre opérationnel, celui du DRH.
Le sujet du règlement IA et des données RH ne s’arrête pas à la lecture d’un livre blanc. Il s’instruit, il se cartographie, il se décide. Vous pouvez le télécharger ici :
Si la lecture vous interpelle, ou si vous souhaitez confronter les résultats de votre diagnostic à un regard extérieur, je suis joignable directement.
Olivier Indovino
Fondateur de Hey HR !