RH, scoring, crédit : votre PME utilise-t-elle un système IA « à haut risque » sans le savoir ?

Introduction

« Haut risque » : l'expression évoque la chirurgie assistée par IA ou les voitures autonomes. La réalité de l'IA Act est plus proche de votre quotidien : l'outil qui trie les candidatures dans votre boîte RH, le module de scoring de votre CRM, le logiciel qui pré-évalue les demandes de financement de vos clients. Ce sont eux, les systèmes à haut risque de l'Annexe III.

Depuis l'accord Digital Omnibus de mai 2026, ces obligations s'appliquent au 2 décembre 2027, un répit de 16 mois (voir notre calendrier mis à jour). Voici comment savoir si vous êtes concerné, et quoi faire de ce délai.

Cet article fait partie de notre série IA Act pour les PME.

L'auto-diagnostic : les domaines de l'Annexe III qui touchent les PME

L'Annexe III liste les domaines où l'IA est considérée à haut risque. Quatre concernent directement les PME :

Emploi et gestion RH. Le domaine n° 1 pour les PME. Sont à haut risque les systèmes d'IA utilisés pour : publier des offres ciblées, trier ou filtrer les candidatures, évaluer les candidats en entretien, décider de promotions ou de licenciements, répartir les tâches sur la base du comportement ou de traits personnels, surveiller ou évaluer la performance. Si votre ATS (logiciel de recrutement) « score » ou « classe » automatiquement les candidats, vous êtes dedans.

Accès aux services privés essentiels. Évaluation de la solvabilité et scoring de crédit des personnes physiques, tarification en assurance vie et santé. Si vous accordez des facilités de paiement à des particuliers sur la base d'un score IA, vous êtes potentiellement concerné.

Éducation et formation professionnelle. Admission, évaluation des acquis, surveillance d'examens. Les organismes de formation utilisant l'IA pour noter ou surveiller sont concernés, un point que nous suivons de près pour nos propres activités hIAppy Learn.

Biométrie (hors interdictions). Identification biométrique à distance, catégorisation. Plus rare en PME, mais présent dans certains dispositifs de contrôle d'accès.

Précision qui change tout : un système n'est pas à haut risque s'il se contente d'une tâche procédurale étroite ou préparatoire sans influencer réellement la décision. Un outil qui extrait les coordonnées des CV pour remplir votre base n'est pas à haut risque ; celui qui classe les candidats par « adéquation au poste » l'est.

Ce qui vous attend en décembre 2027 si vous êtes concerné

En tant que déployeur d'un système à haut risque (votre cas le plus probable, voir notre article sur les rôles), vos obligations principales seront :

Utiliser le système selon sa notice, ce qui suppose de l'avoir lue et de pouvoir le prouver. Confier la supervision humaine à des personnes formées, disposant de l'autorité pour ignorer ou inverser la décision de la machine. Une « validation » presse-bouton ne suffit pas : le superviseur doit comprendre ce qu'il valide. Contrôler les données d'entrée : pertinentes, représentatives de votre contexte. Surveiller le fonctionnement et signaler tout incident grave au fournisseur et aux autorités. Conserver les journaux générés par le système. Informer les personnes concernées : candidats et salariés doivent savoir qu'un système IA participe aux décisions qui les concernent, et en France, le CSE doit être consulté.

Pour les usages RH, s'ajoute une analyse d'impact sur les droits fondamentaux dans certains cas, et l'articulation avec le RGPD (qui interdit déjà les décisions entièrement automatisées produisant des effets juridiques, sans intervention humaine).

16 mois : le bon plan de marche

D'ici fin 2026 : inventoriez et qualifiez. Listez tous les outils qui participent à des décisions sur des personnes. Pour chacun, demandez à l'éditeur sa classification IA Act et sa feuille de route de conformité. Un éditeur incapable de répondre est un signal d'alarme, c'est aussi un critère anti lock-in.

Premier semestre 2027 : organisez la supervision. Désignez et formez les superviseurs humains, documentez les processus de décision (où l'humain intervient, avec quel pouvoir), informez et consultez les instances représentatives.

Second semestre 2027 : testez et documentez. Vérifiez le dispositif en conditions réelles, constituez le dossier de conformité, prévoyez la procédure de signalement d'incidents.

Étalé sur 16 mois, c'est un projet tout à fait absorbable. Découvert en novembre 2027, c'est une crise.

Ce qu'il faut retenir

Le « haut risque » de l'IA Act ne vise pas la science-fiction mais les décisions qui comptent dans une vie : être recruté, évalué, financé. Si vos outils RH ou commerciaux scorent des personnes, vous êtes probablement concerné, avec une échéance au 2 décembre 2027 et un plan de marche raisonnable si vous démarrez maintenant.

Le premier pas tient en une question à poser à chaque éditeur de votre stack : « votre système est-il classé à haut risque au sens de l'IA Act, et quelle est votre feuille de route ? ». Leurs réponses dessinent votre plan d'action, c'est l'un des livrables du diagnostic hIAppy Vision.

Demain : qui contrôle tout cela en France, et que risquez-vous vraiment ? CNIL, sanctions et réalités du terrain.