Module 1
Dublin — NovaTech Financial HQ — Vendredi, 16h30
HR Business Partner chez NovaTech Financial — une fintech de taille moyenne comptant 1 200 employés répartis entre Dublin, Londres et Francfort.
La plupart des collègues ont quitté le bureau pour le week-end. Vous êtes sur le point de fermer votre ordinateur lorsqu’un nouvel e-mail arrive — une demande courtoise de la part d’un candidat dont la candidature a été rejetée.
Il s'agit d'un scénario à choix multiples. Vous serez confronté(e) à de véritables décisions que rencontrent les professionnels de la conformité en matière d'IA — et vos choix déterminent le déroulement de l'histoire.
Conseil : Repérez les textes mis en évidence tout au long du scénario :
§ Références aux articles — cliquez pour lire l'article correspondant du Règlement sur l'IA de l'UE
Termes clés — survolez pour obtenir une définition rapide
De : David Okonkwo <d.okonkwo@outlook.com>
À : Sarah Chen <sarah.chen@novatech-financial.com>
Objet : Candidature au poste d'analyste senior des risques — Demande de retour
Madame Chen,
J'espère que vous allez bien. J'ai récemment soumis ma candidature pour le poste d'analyste senior des risques (Réf. : NVT-2026-0847) et j'ai reçu une notification m'informant que ma candidature n'avait pas été retenue pour la phase d'entretien.
Je dispose de 30 ans d'expérience en gestion des risques, dont 8 ans spécifiquement dans la conformité réglementaire fintech. Je suis titulaire d'un master en gestion des risques financiers de la London School of Economics et je détiens la certification FRM.
Je comprends que la concurrence pour ce type de poste est forte, et je ne prétends pas nécessairement être le meilleur candidat. Toutefois, compte tenu de mon parcours, je souhaiterais sincèrement comprendre quels aspects de mon profil n'ont pas correspondu à vos exigences. Tout retour serait précieux pour la suite de ma recherche d'emploi.
Je vous remercie de l'attention que vous porterez à ma demande.
Cordialement,
David Okonkwo
Quelque chose dans cet e-mail vous tracasse. Le CV de David est solide — vraiment solide. 30 ans en gestion des risques, 8 ans en conformité fintech, diplômé de la LSE, certifié FRM. Pour un poste d'analyste senior des risques, il est sans doute surqualifié.
Vous ouvrez TalentScreen AI et consultez sa candidature. L'outil lui a attribué un score de 72 sur 100 — en dessous du seuil de 80 points que votre équipe a fixé pour les invitations à un entretien. Mais la plateforme n'indique pas pourquoi. Aucune explication sur le calcul du score. Juste un chiffre.
Par curiosité, vous exportez les données de refus des 3 derniers mois et les triez par âge. Vous sentez votre estomac se nouer.
Sur les 11 candidats refusés lors du dernier cycle de recrutement, 9 candidats de plus de 50 ans ont obtenu un score inférieur au seuil. Les facteurs communs ayant pénalisé leurs scores : « potentiel d'adaptabilité » et « adéquation culturelle » — des critères que vous n'avez jamais vus définis nulle part. Pendant ce temps, aucun candidat de moins de 35 ans n'a été refusé. Pas un seul.
| Candidat | Âge | Score | Motif principal de refus |
|---|---|---|---|
| D. Okonkwo | 58 | 72 | Potentiel d'adaptabilité (faible) |
| M. Petrov | 54 | 69 | Alignement culturel (insuffisant) |
| H. Nakamura | 61 | 71 | Potentiel d'adaptabilité (faible) |
| A. Balogun | 56 | 68 | Alignement culturel (insuffisant) |
| C. Fitzgerald | 52 | 74 | Potentiel d'adaptabilité (faible) |
| R. Kowalski | 59 | 70 | Alignement culturel (insuffisant) |
| T. Mensah | 63 | 66 | Potentiel d'adaptabilité (faible) |
| S. Hoffmann | 51 | 73 | Alignement culturel (insuffisant) |
| P. Chandra | 55 | 71 | Potentiel d'adaptabilité (faible) |
| L. Müller | 29 | 68 | Retenu(e) (seuil levé — recrutement en volume) |
| J. Park | 31 | 79 | — |
L'export confirme ce que vous soupçonniez. Chaque candidat rejeté de plus de 50 ans a perdu des points sur les deux mêmes critères non définis. Au titre du Règlement sur l'IA de l'UE, il ne s'agit pas seulement d'une question d'équité — c'est un manquement à la transparence au titre de l'Article 13 et un problème potentiel de classification à haut risque selon l'Annex III. Le système prend des décisions en matière d'emploi qu'il est incapable d'expliquer.
Il est à peine 17 heures. Les bureaux sont presque vides. Les entretiens pour les 12 candidats présélectionnés sont prévus lundi matin. Vous disposez d'un tableur indiquant une tendance qui pourrait être une coïncidence ou bien une discrimination systématique fondée sur l'âge.
Envoyer un e-mail à James Hartley pour suspendre les entretiens de lundi le temps de mener votre enquête
La tendance observée est suffisamment préoccupante pour justifier une suspension. Si l'outil fait preuve de discrimination, chaque entretien fondé sur sa présélection est entaché. James a coordonné les plannings de 12 candidats — il sera furieux. Et vous pourriez vous tromper.
Ajouter David manuellement à la liste de présélection et laisser les entretiens se dérouler
David mérite clairement un entretien. Vous pouvez régler ce cas précis maintenant et examiner la tendance plus générale la semaine prochaine. Le système reproduira ce comportement lors du prochain recrutement, mais au moins David aura une chance équitable lundi.
Rentrer chez vous — vous avez besoin de plus de données avant de formuler des accusations
9 candidats sur 11 représentent une tendance, mais c'est un petit échantillon. Si vous tirez la sonnette d'alarme et que vous avez tort, vous avez discrédité un outil que le VP a défendu et nui à votre crédibilité pour rien. David a déjà été rejeté — un week-end ne changera rien à cela.
De : Sarah Chen <sarah.chen@novatech-financial.com>
À : James Hartley <james.hartley@novatech-financial.com>
Objet : Urgent : Planning des entretiens du lundi — Vérification des données requise
James,
J'ai identifié une anomalie dans les données de rejet de TalentScreen AI qui, selon moi, justifie une vérification avant que nous procédions aux entretiens de lundi. Je préfèrerais en discuter les détails en personne plutôt que par e-mail.
Je sais que c'est extrêmement tard et je comprends les implications sur le planning. Je ne soulèverais pas ce point si je ne pensais pas que c'était important — tant pour les candidats que pour notre position en matière de conformité.
Pourrions-nous nous retrouver lundi à 8h00, avant le premier créneau d'entretien ?
Sarah
Sarah, j'ai passé deux semaines à coordonner ces entretiens. Le jury de recrutement a bloqué toute sa journée de lundi. Trois candidats viennent d'autres villes. Vous me demandez de tout annuler à cause d'une « anomalie de données » ? Il vaut mieux que ce soit sérieux.
C'est le cas. Je ne vous le demanderais pas si ce n'était pas justifié. Lundi à 8h — j'aurai les données prêtes.
Très bien. Mais je n'annule pas les entretiens. On se retrouve à 8h, et ils doivent toujours avoir lieu à 9h.
James est frustré mais n'a pas refusé. Vous vous êtes accordé le week-end pour vous préparer et le lundi matin pour présenter vos conclusions. En vertu de l'Article 26 du Règlement sur l'IA de l'UE, les déployeurs doivent surveiller les risques pour les droits fondamentaux.
Article 6 classe les systèmes d'IA de recrutement comme à haut risque en vertu de Annex III. Article 26 exige que les déployeurs surveillent les résultats et agissent lorsqu'ils identifient des risques.
Vous vous connectez à TalentScreen AI et ajoutez manuellement David Okonkwo à la liste restreinte des candidats retenus pour un entretien. Le système signale la substitution par un avertissement orange : « Score du candidat (72) inférieur au seuil (80). Substitution manuelle enregistrée. »
Sarah, j'ai vu que vous avez ajouté manuellement un candidat à la liste restreinte ? David Okonkwo — score 72 ? C'est en dessous du seuil. Que s'est-il passé ?
Son CV est exceptionnellement solide pour ce poste. J'ai estimé que le score ne reflétait pas ses qualifications.
D'accord, mais si nous allons passer outre l'IA, quel est l'intérêt de l'utiliser ? James n'appréciera pas.
C'est un seul candidat, Priya. Assurons-nous simplement qu'il bénéficie d'un entretien équitable.
Très bien. Mais si quelqu'un demande pourquoi nous sélectionnons des candidats en dehors des recommandations de l'IA, c'est votre responsabilité.
David obtiendra un entretien, mais vous avez traité un symptôme sans chercher à soigner la maladie. Les 9 autres candidats de plus de 50 ans rejetés ne bénéficieront pas d'une substitution manuelle. Conformément à Article 14, la supervision humaine doit être efficace — systématique, et non ponctuelle.
Article 14 exige une supervision humaine efficace, incluant la capacité de passer outre les décisions. Mais une simple substitution manuelle n'est pas de la supervision — c'est une exception. Une supervision efficace implique un processus reproductible.
David Okonkwo
Professionnel en gestion des risques
Rejeté encore une fois. 30 ans en gestion des risques. 8 ans en conformité réglementaire fintech. Master de la LSE. Certifié FRM. Je n'ai même pas obtenu d'entretien.
Je ne nomme pas l'entreprise — ce n'est pas à leur sujet en particulier. Mais je commence à me demander si les outils de « recrutement alimenté par l'IA » que les entreprises adoptent filtrent l'expérience plutôt que de la sélectionner.
D'autres personnes de plus de 50 ans vivent-elles cela ? J'aimerais vraiment le savoir.
1 247 mentions J'aime
Même expérience de mon côté. Trois refus consécutifs d'entreprises utilisant un tri automatisé. 28 ans dans les services financiers. Pas un seul entretien.
893 mentions J'aime
Je travaille dans les RH tech. Certains de ces outils utilisent des indicateurs de « compatibilité culturelle » et d'« adaptabilité » qui pénalisent effectivement la stabilité de carrière et l'âge. C'est un problème connu.
2 341 j'aime
Je suis journaliste au Financial Times et je travaille sur un article sur les biais de l'IA dans le recrutement. David, seriez-vous prêt à me parler ? DM ouvert.
Vous fermez votre ordinateur portable et rentrez chez vous. Sauf que David ne passe pas le week-end à attendre. Le lundi matin, la publication comptabilise 4 200 réactions et 380 commentaires. Quelqu'un a identifié NovaTech Financial.
James Hartley voit la publication avant vous. Il est à votre bureau à 7h30 le lundi.
Article 26 impose aux déployeurs d'agir face aux risques identifiés. Vous avez identifié un problème potentiel et avez choisi de ne pas agir. En vertu de l'Article 4 (Littératie en matière d'IA), en vigueur depuis février 2025, les organisations doivent veiller à ce que le personnel soit en mesure de reconnaître les risques liés à l'IA et d'y répondre.
Quelle que soit votre décision de vendredi, la situation a convergé. James Hartley est à votre bureau. Il a appris — par Priya, par LinkedIn, ou par votre e-mail — que vous avez « remis en question l'outil d'IA ».
Son expression est difficile à déchiffrer. Il n'est pas hostile, à proprement parler, mais il est sur ses gardes. Il ferme la porte de votre bureau et s'assoit.
James était le sponsor exécutif qui a introduit TalentScreen AI chez NovaTech. Il a présenté le dossier au conseil d'administration. Il a personnellement communiqué la réduction de 40 % du délai de recrutement. L'outil est, à bien des égards, son projet.
Sarah, je vais être direct. L'outil fonctionne. Notre délai de recrutement a diminué de 40 %. Le conseil d'administration l'a mentionné dans le rapport d'efficacité du dernier trimestre. Le directeur financier en est ravi. Allez-vous vraiment tout faire échouer parce qu'un candidat s'est plaint ?
Il ne s'agit pas d'un seul candidat, James. J'ai analysé les données de rejet. Neuf candidats rejetés sur onze ayant plus de cinquante ans se situaient en dessous du seuil. Aucun candidat de moins de trente-cinq ans n'a été rejeté.
Nous avons également rejeté des personnes de moins de 35 ans — pour d'autres postes, d'autres tours. Et regardez David en particulier : il est dans la même entreprise depuis 12 ans. Peut-être que l'outil a signalé une faible capacité d'adaptation sur la base de son parcours professionnel, et non de son âge.
Je ne dis pas d'ignorer ça. Je dis — êtes-vous certain de ne pas voir un schéma qui n'existe pas ? Parce que si vous soulevez cette question et que vous avez tort, vous venez de dire au conseil d'administration que leur initiative phare d'efficacité est discriminatoire. C'est une sonnette qu'on ne peut pas désactiver.
Présenter les données directement — il s'agit de discrimination par l'âge, que l'IA l'ait intentionné ou non
Le schéma est clair. 9 candidats sur 11 de plus de 50 ans rejetés sur des critères non définis. En vertu de l'Article 26, vous êtes tenu de surveiller les résultats discriminatoires. En tant que déployeurs, NovaTech est responsable des décisions de l'outil, et non du fournisseur.
Approuver publiquement James, mais signaler discrètement le problème au service juridique
James n'a pas tort — vous pourriez vous tromper. Mais le risque est trop élevé pour l'ignorer entièrement. Laissez le service juridique enquêter discrètement pendant que les entretiens se poursuivent.
Accepter l'explication de James — la trajectoire de carrière, et non l'âge, explique le schéma
Il a peut-être raison. L'« adaptabilité » pourrait légitimement corréler avec la trajectoire de carrière, et non avec l'âge. Vous ne disposez pas de suffisamment de données pour en être certain. Concentrez-vous sur l'obtention d'un entretien pour David et passez à autre chose.
James, j'entends ce que vous dites sur l'évolution de carrière. Mais laissez-moi vous montrer quelque chose. Voici les données de rejet. J'ai mis en évidence l'âge, le score et les deux indicateurs à l'origine des scores faibles : « potentiel d'adaptabilité » et « adéquation culturelle ». Ces indicateurs ne sont définis nulle part dans la documentation de la plateforme. J'ai vérifié.
Et alors ?
Alors nous utilisons un système d'IA à haut risque — les IA de recrutement sont explicitement classées comme à haut risque en vertu de Article 6 — et nous ne sommes pas en mesure d'expliquer comment il prend ses décisions. Si David Okonkwo dépose une plainte, nous n'avons aucune documentation sur la transparence à lui présenter.
Le fournisseur nous a assuré que l'outil était conforme.
La conformité du fournisseur est son problème. Notre conformité — en tant que déployeurs — est la nôtre. Article 26 est clair : nous devons surveiller les risques pour les droits fondamentaux. La question n'est pas de savoir si j'ai raison ou tort sur la cause. La question est de savoir ce que nous faisons maintenant que le schéma existe.
Qu'est-ce que vous proposez ?
Je veux faire appel aux Juridiques. Aujourd'hui. Et demander la documentation de transparence du fournisseur sur la façon dont ces indicateurs sont calculés. S'ils peuvent l'expliquer, très bien. S'ils ne le peuvent pas, nous avons une conversation plus importante à avoir.
Très bien. Mais je veux être présent lorsque les Juridiques examinent cela. Et je veux qu'il soit consigné que je coopère, que je ne fais pas l'objet d'une enquête.
Bien sûr. Il ne s'agit pas de blâmer qui que ce soit, James. Il s'agit de prendre les devants sur un problème avant qu'il ne nous dépasse.
James passe de « vous avez tort » à « que faisons-nous ». Vous avez présenté cela comme une question de conformité, non comme une accusation. C'est le résultat dont vous aviez besoin.
Le Règlement sur l'IA de l'UE distingue les fournisseurs (qui développent) des déployeurs (qui utilisent). En vertu de Article 26, les déployeurs doivent surveiller les résultats et signaler les incidents. Article 13 exige que le système soit suffisamment transparent pour que les déployeurs puissent le comprendre.
De : Sarah Chen <sarah.chen@novatech-financial.com>
À : Helen Park <helen.park@novatech-financial.com>
Objet : Confidentiel : Problème potentiel de conformité au Règlement sur l'IA de l'UE — TalentScreen AI
Helen,
J'ai identifié un schéma statistique dans les données de rejet de notre outil de recrutement par IA qui pourrait indiquer une discrimination fondée sur l'âge. 9 des 11 candidats de plus de 50 ans rejetés lors du dernier cycle ont obtenu un score inférieur au seuil sur des critères pour lesquels je ne trouve aucune documentation (« potentiel d'adaptabilité » et « adéquation culturelle »).
J'en ai informé James Hartley de manière informelle ; il estime que ce schéma a une explication non discriminatoire. Il a peut-être raison. Mais étant donné que les IA de recrutement sont classées comme étant à haut risque en vertu de Article 6, j'estime que le service juridique devrait examiner les données de manière indépendante.
Je suis disponible pour en discuter dès que vous le souhaitez.
Sarah
Vous soulevez un point valable, James. L'explication par la trajectoire de carrière pourrait rendre compte d'une partie du schéma observé. Je vais approfondir l'analyse des données avant de soulever quoi que ce soit formellement.
Bien. Ne faisons pas d'une coïncidence une crise. Les entretiens sont à 10h — on est prêts ?
On est prêts.
Helen répond dans l'heure. Vous vous êtes protégé(e) en laissant une trace écrite. Mais les entretiens se poursuivent avec une liste de candidats potentiellement viciée, et James estime que l'affaire est close.
En vertu de Article 26, les déployeurs doivent agir lorsqu'ils identifient des risques — et non se contenter de signaler en interne pendant que le système continue de fonctionner. Permettre au système de continuer à opérer peut être considéré comme une tolérance délibérée du risque.
Vous avez probablement raison. La trajectoire de carrière est un signal légitime. Je veillerai à ce que David obtienne un entretien et nous surveillerons les indicateurs à l'avenir.
C'est raisonnable. Écoutez, j'apprécie votre rigueur — c'est pour cela que vous êtes bonne dans votre travail. Mais parfois une tendance n'est qu'une coïncidence.
Les entretiens se déroulent. David ne figure pas parmi les candidats. Trois semaines plus tard, Helen Park vous transfère un article du FT : « Les outils de recrutement par IA sur la sellette alors que l'application du Règlement sur l'IA de l'UE commence. » Sa note : « Sarah — sommes-nous exposées ici ? »
Vous devez maintenant expliquer que vous avez identifié une tendance il y a trois semaines et que vous avez accepté l'explication de James sans mener d'enquête indépendante. L'intention importe peu — le cadre d'égalité de l'UE se concentre sur les résultats discriminatoires, et non sur l'intention.
Les systèmes d'IA peuvent discriminer par le biais de variables proxy. La « stabilité de carrière » est corrélée à l'âge. En vertu de Article 9, les fournisseurs et les déployeurs doivent identifier et atténuer ces risques. Le fait que l'outil n'utilise pas explicitement le terme « âge » est sans pertinence si le résultat est discriminatoire.
Le service juridique est désormais impliqué. Helen Park a contacté le fournisseur de TalentScreen AI. Un appel vidéo est prévu avec Marcus Webb, le directeur produit du fournisseur.
Marcus, nous devons comprendre comment le « potentiel d'adaptabilité » et « l'alignement culturel » sont calculés. Quelles données d'entrée déterminent ces scores ?
Ces éléments font partie de notre moteur de compatibilité des talents propriétaire. Les pondérations spécifiques et les interactions entre variables sont commercialement sensibles.
En vertu de l'Article 13 du Règlement sur l'IA de l'UE, les systèmes d'IA à haut risque doivent offrir une transparence suffisante pour que les déployeurs puissent comprendre les résultats. Nous sommes les déployeurs.
Nous fournissons un document récapitulatif de conformité. Je peux vous le transmettre.
Nous l'avons lu. « Les scores sont générés à l'aide d'un modèle multifactoriel intégrant des indicateurs de compétences liés au poste. » Cela ne nous indique pas comment « l'alignement culturel » est calculé.
Ce que je peux vous proposer, c'est notre Pack d'audit de conformité IA — une revue complète effectuée par notre équipe interne de conformité. 6–8 semaines, 30 000 EUR.
Six à huit semaines ?
Ils ne peuvent pas ou ne veulent pas expliquer comment leur propre outil prend ses décisions. C'est un problème au titre de l'Article 13 — pour eux comme pour nous.
Le fournisseur a confirmé ce que vous soupçonniez : une boîte noire. « Propriétaire » n'est pas une défense recevable au titre du Règlement sur l'IA de l'UE. L'Article 13 exige la transparence. Le fournisseur propose de s'auto-auditer pour 30 000 EUR — un conflit d'intérêts manifeste.
Sarah, nous avons investi 200 000 EUR dans cette plateforme. Le fournisseur en réclame 30 000 de plus. J'ai trois postes ouverts que nous n'arrivons pas à pourvoir assez vite. Le directeur financier va demander pourquoi le délai de recrutement est remonté. Que recommandez-vous exactement ?
Suspendre l'outil immédiatement jusqu'à ce que le fournisseur fournisse la documentation de transparence requise par Article 13
Si vous ne pouvez pas expliquer comment l'outil prend ses décisions, vous ne pouvez pas garantir que ces décisions sont légales. Acceptez le coût politique. NovaTech cesse potentiellement de discriminer aujourd'hui, et non dans 6–8 semaines.
Continuer à utiliser l'outil, mais ajouter une révision humaine obligatoire de chaque rejet émis par l'IA
Ajouter un point de contrôle humain : tout candidat en dessous du seuil fait l'objet d'une révision manuelle. Signaler tout candidat de plus de 50 ans échouant sur les critères « adaptabilité » ou « adéquation culturelle » pour une révision par les RH senior.
Commander l'audit de conformité à 30 000 EUR proposé par le fournisseur et continuer à utiliser l'outil
L'audit permettra de confirmer s'il existe un vrai problème. Six à huit semaines n'est pas idéal, mais cela vaut mieux que de suspendre un outil économisant 200 heures par trimestre sur la base d'un constat non vérifié.
James, je recommande de suspendre TalentScreen AI avec effet immédiat. Je rédigerai la recommandation formelle à l'attention de Helen et du directeur financier aujourd'hui.
Immédiatement ? Nous traitons 200 candidatures par mois via cet outil. Nous allons devoir revenir au tri manuel — c'est les 200 heures par trimestre que je nous avais économisées.
Je sais. Mais Article 99 autorise des amendes allant jusqu'à 15 millions EUR ou 3 % du chiffre d'affaires annuel mondial. Le chiffre d'affaires de NovaTech était de 340 millions EUR. Trois pour cent représente 10,2 millions EUR.
C'est le maximum. Aucun régulateur ne va nous infliger une amende de 10 millions EUR pour un outil de recrutement.
Même 1 %, c'est 3,4 millions EUR. Et ce, avant tout préjudice réputationnel. Si le FT publie un article sur la discrimination de l'IA de NovaTech à l'encontre des candidats plus âgés, qu'advient-il des relations du bureau de Francfort avec les régulateurs ?
Combien de temps ?
Jusqu'à ce que nous obtenions la documentation sur la transparence que nous pourrons examiner. Si le fournisseur est en mesure d'expliquer l'algorithme, nous le réactivons. Dans le cas contraire, nous trouvons un fournisseur qui le peut.
Le conseil d'administration va vouloir savoir pourquoi.
Mieux vaut qu'ils l'apprennent de notre bouche que de celle d'un régulateur.
La recommandation la plus difficile à formuler et la plus défendable. Vous avez donné à James une voie de retour claire : l'outil n'est pas interdit, il est suspendu dans l'attente d'une transparence accrue. Proportionné et professionnel.
Article 26 exige des déployeurs qu'ils suspendent le système lorsqu'ils ont des raisons de croire qu'il présente un risque pour les droits fondamentaux. Article 99 prévoit des sanctions pouvant atteindre 3 % du chiffre d'affaires. Démontrer que vous avez suspendu le système dès l'identification du risque constitue une preuve solide de bonne foi.
Je recommande de conserver l'outil, mais d'ajouter une révision humaine obligatoire. Tout candidat rejeté fait l'objet d'une révision manuelle. Tout candidat de plus de 50 ans se trouvant en dessous du seuil pour « adaptabilité » ou « adéquation culturelle » est transmis aux RH senior.
C'est plus de travail pour votre équipe.
Moins que lors d'une enquête réglementaire. Et nous pouvons continuer à utiliser l'outil de sélection pendant que nous demandons de la transparence au fournisseur.
Mesure provisoire raisonnable. Mais cela ne satisfait pas pleinement à Article 14. La supervision humaine doit être effective, et non de façade. Si les évaluateurs entérinent mécaniquement les scores de l'IA, nous sommes exposés.
D'accord. Les évaluateurs ne verront pas le score de l'IA avant d'avoir effectué leur propre évaluation. Examen en aveugle d'abord, puis comparaison.
Mieux. Mais nous avons toujours besoin de la documentation de transparence du fournisseur. Il s'agit d'une mesure temporaire, et non permanente.
Un compromis pragmatique. Mais vous ajoutez une supervision humaine pour pallier les lacunes d'un système que vous ne pouvez pas expliquer. En vertu de Article 14, la supervision humaine doit permettre une compréhension complète des capacités du système — ce que vous n'avez pas.
Article 14 exige que le superviseur comprenne les résultats de l'IA et détecte les anomalies. Sans accès à la logique de notation, la supervision se limite à la détection de tendances, et non à l'analyse des causes profondes. L'obligation de transparence prévue à Article 13 demeure non résolue.
Je pense que l'audit est la bonne voie à suivre. Le fournisseur connaît son système mieux que quiconque. Six à huit semaines, c'est gérable.
Sarah, j'ai des réserves. Nous demandons au fournisseur de s'auditer lui-même. C'est un conflit d'intérêts.
Ils ont des responsables conformité en interne. C'est une pratique courante.
Une pratique courante que les régulateurs n'acceptent pas. Si nous nous retrouvons face à une autorité nationale, « nous avons payé le fournisseur pour qu'il s'audite lui-même » n'inspirera guère confiance.
Si l'audit du fournisseur conclut à l'absence de problème — ce qui sera presque certainement le cas — et qu'un régulateur découvre par la suite le même schéma que vous avez identifié, dans quelle position nous retrouvons-nous ?
Faisons simplement l'audit du fournisseur et passons à autre chose.
Un auto-audit par le fournisseur a peu de chances de mettre en évidence des problèmes liés à son propre produit. Entre-temps, l'outil continue de traiter les candidatures pendant encore 6–8 semaines. Conformément à l'Article 9, la gestion des risques doit inclure des tests indépendants de détection des biais.
Article 9 exige une gestion des risques permettant d'identifier et d'atténuer les risques de discrimination. Les auto-audits sont intrinsèquement entachés de conflits d'intérêts. Un audit indépendant réalisé par un tiers est bien plus défendable auprès des autorités nationales.
Lundi, 8h15
Votre e-mail du vendredi a porté ses fruits. Mais durant la nuit, la situation a pris de l'ampleur.
Avant de commencer — le conseil d'administration a approuvé l'expansion à Francfort vendredi. TalentScreen gérera le recrutement dans les trois bureaux. Le contrat a été signé à 16h.
Cela modifie considérablement la situation en matière de conformité. Le déploiement transfrontalier d'un système d'IA à haut risque entraîne des obligations supplémentaires.
Le fournisseur nous a assuré que le système est conforme dans toutes les juridictions de l'UE. Helen a donné son accord. Êtes-vous en train de dire que la PDG a commis une erreur ?
TalentScreen traite désormais des candidats dans trois juridictions de l'UE. James bénéficie du soutien du conseil d'administration. Helen a signé le contrat. Que recommandez-vous ?
Mandater une évaluation de conformité indépendante conformément à Article 43 et suspendre le déploiement transfrontalier jusqu'à son achèvement
L'expansion transfrontalière constitue une modification substantielle. L'auto-évaluation du fournisseur n'est pas transférable. Article 26(5) exige la suspension si vous avez des raisons de croire qu'elle présente un risque.
Mettre en place un comité de révision humaine pour tous les candidats rejetés par l'IA tout en maintenant l'outil opérationnel
Traiter le risque immédiat de biais grâce à la supervision humaine prévue par Article 14. Assure la continuité opérationnelle. Examiner la question de conformité en parallèle.
Procéder au déploiement à Francfort avec des tableaux de bord de surveillance des biais renforcés
Les données indiquent un problème potentiel, non avéré. Mettre en place une surveillance afin de détecter les problèmes rapidement plutôt que de perturber une expansion approuvée par le conseil d'administration.
James, l'expansion à Francfort n'est pas simplement l'ouverture d'un nouveau bureau — c'est une nouvelle juridiction. L'autocertification du fournisseur portait sur le déploiement au Royaume-Uni. Une utilisation transfrontalière constitue une modification substantielle au sens de l'Article 43. Nous avons besoin d'une évaluation de conformité indépendante avant que TalentScreen traite le dossier d'un seul candidat à Francfort.
Vous me demandez de suspendre un outil que le conseil d'administration a approuvé il y a 72 heures. Vous imaginez à quoi ressemble cette conversation ?
Je sais exactement à quoi cela ressemble. Cela ressemble à l'équipe conformité qui fait son travail avant que le régulateur allemand ne le fasse à notre place. Le BfDI n'accepte pas « le fournisseur a dit que c'était conforme » comme moyen de défense. Et l'amende potentielle peut aller jusqu'à €15 millions ou 3 % du chiffre d'affaires mondial — le montant le plus élevé étant retenu.
(long silence) Combien de temps dure cette évaluation ?
De huit à douze semaines si nous faisons appel à un organisme accrédité cette semaine. Vous aurez une liste restreinte d'évaluateurs sur votre bureau en fin de journée.
James vient de m'envoyer un message. Sarah, est-ce aussi grave que vous le suggérez ?
Helen, je préfère expliquer un retard de dix semaines au conseil d'administration plutôt qu'une enquête réglementaire aux actionnaires. Je recommande une réunion d'urgence du conseil ce jeudi.
...Réservez ça. Et préparez-moi une note d'une page d'ici mercredi soir.
Vous avez identifié la distinction cruciale que la plupart des professionnels manquent. L'autocertification du prestataire ne se transfère pas lorsque le contexte de déploiement change. L'expansion transfrontalière constitue une modification substantielle qui déclenche de nouvelles obligations de conformité. James est contrarié, mais la réponse de Helen vous indique que le conseil d'administration sera à l'écoute lorsque le risque sera quantifié.
Lorsqu'un système d'IA à haut risque fait l'objet d'une modification substantielle — y compris un déploiement dans de nouvelles juridictions — une nouvelle évaluation de la conformité peut être requise. L'évaluation initiale ne couvre que le contexte de déploiement d'origine. L'expansion transfrontalière vers un nouvel État membre de l'UE modifie le cadre réglementaire, le cadre de protection des données et le profil de risque.
Je propose la mise en place d'un comité d'examen humain. Chaque candidat rejeté par TalentScreen sera examiné par un évaluateur formé avant que la décision ne soit finalisée. Nous maintenons l'outil en fonctionnement, mais personne ne passe entre les mailles du filet.
Voilà qui est plus raisonnable. De combien d'heures supplémentaires parle-t-on ?
Environ 30 heures par trimestre, réparties entre trois examinateurs. Bien moins que de revenir à une sélection entièrement manuelle.
Je peux faire avec ça. Mettez-le en place. Et cela résout le problème de conformité ?
Sarah, j'ai examiné votre proposition. La supervision humaine répond à Article 14, et je soutiens le panel. Cependant — je dois signaler que le déploiement transfrontalier à Frankfurt peut nécessiter une nouvelle évaluation de conformité au titre de Article 43. La révision humaine ne résout pas cette question. Nous devrions en discuter.
...Compris. Je vous réserverai du temps cet après-midi.
James est soulagé — vous avez trouvé une solution qui ne compromet pas l'expansion. Mais Priya a repéré la lacune que vous aviez manquée. La révision humaine traite les symptômes du problème de biais. Elle ne répond pas à la question de savoir si le système lui-même est légalement déployé dans une nouvelle juridiction. Si un régulateur allemand demande la documentation de conformité, « nous avons ajouté une révision humaine » ne suffit pas.
La supervision humaine est une exigence fondamentale pour les systèmes à haut risque. Mais il s'agit d'une obligation parmi d'autres. Un panel de révision détecte les résultats discriminatoires, mais ne peut pas expliquer la logique discriminatoire. Si le statut de conformité du système est incertain, la supervision seule ne résout pas les obligations du déployeur au titre de Articles 26 et 43.
Bonne nouvelle — le pipeline de Francfort se remplit déjà. TalentScreen a traité 45 candidats dans le premier lot. Les tableaux de bord semblent nets.
C'est... une bonne nouvelle. À quoi ressemble le profil des rejets ?
Je n'ai pas creusé les détails. Le tableau de bord indique que les indicateurs de biais se situent dans la plage normale. Pourquoi ?
Cet après-midi-là, Priya vous transfère un e-mail. Un candidat de 54 ans à Francfort, rejeté par TalentScreen avec un score de 68, a déposé une plainte auprès de l'autorité hessoise de protection des données. Son avocat cite directement le Règlement sur l'IA de l'UE. Il souhaite savoir comment le « potentiel d'adaptabilité » a été calculé et pourquoi ses 22 ans d'expérience bancaire ont obtenu un score inférieur à celui de diplômés ayant deux ans d'expérience.
Sarah, j'ai besoin de la documentation sur la transparence concernant la méthodologie de notation de TalentScreen. L'avocat du candidat nous a accordé 14 jours pour répondre. La possédons-nous ?
...Non. Nous ne l'avons pas.
La pression commerciale l'a emporté. Vous avez étendu un système potentiellement discriminatoire à une nouvelle juridiction en espérant que les tableaux de bord détecteraient ce que vous aviez déjà identifié. Les tableaux de bord mesuraient ce que TalentScreen avait choisi de mettre en évidence — et non les métriques à l'origine de la discrimination. En vertu de Article 26(5), les déployeurs doivent suspendre les systèmes dont ils ont des raisons de croire qu'ils présentent un risque. Vous aviez cette raison il y a deux semaines.
Les déployeurs qui ont des raisons de croire qu'un système à haut risque présente un risque doivent en suspendre l'utilisation et en informer le fournisseur. La « surveillance renforcée » ne satisfait pas à cette obligation. Le schéma de discrimination par l'âge que vous avez identifié dans les données britanniques constituait cette raison — et il a suivi TalentScreen jusqu'à Francfort.
Mercredi, 14h00 — Le prestataire contre-attaque
Notre équipe juridique a examiné Article 6. TalentScreen recommande — il ne décide pas. En vertu de l'Article 6(3), nous ne sommes pas à haut risque.
L'Article 6(2) fait directement référence à Annex III — qui répertorie les « systèmes d'IA destinés à être utilisés pour le recrutement » sans préciser le niveau d'automatisation.
Nous avons des clients dans 14 pays de l'UE. Aucun n'a soulevé ce point. Votre propre équipe juridique a validé notre dossier de conformité.
Le conseil d'administration se réunit jeudi. Si nous suspendons, je dois expliquer pourquoi nous revenons à la présélection manuelle, soit 200 heures par trimestre.
Le prestataire affirme ne pas être à haut risque. Votre conseiller juridique avait donné son accord il y a six mois. Le conseil d'administration se réunit demain. Que recommandez-vous ?
Présenter une évaluation formelle des risques au conseil d'administration — recommander un programme de conformité de 90 jours avec audit indépendant
Accepter le coût commercial. L'argument de l'Article 6(3) avancé par le fournisseur est pertinent, mais crée un risque inacceptable si un régulateur n'est pas d'accord. Une évaluation de l'impact sur les droits fondamentaux au titre de l'Article 27 est requise dans tous les cas.
Conserver TalentScreen, mais exiger une révision humaine de TOUTES les décisions, ainsi que des audits de biais trimestriels
Un juste milieu pragmatique. La révision humaine satisfait à l'Article 14, les audits de biais démontrent la diligence. Le conseil conserve son outil, les candidats bénéficient d'une supervision. Ce n'est pas parfait, mais c'est défendable.
Accepter la position du conseiller juridique selon laquelle TalentScreen est un « outil d'aide à la décision » et non un système à haut risque — consigner formellement vos préoccupations
Votre équipe juridique a donné son feu vert. Le fournisseur compte 14 clients dans l'UE. L'interprétation de l'Article 6(3) est peut-être correcte. Consignez vos préoccupations pour vous protéger, mais ne sabotez pas une stratégie approuvée par le conseil.
Permettez-moi de bien comprendre. Vous demandez au conseil d'approuver une pause de 90 jours sur un outil que j'ai personnellement validé il y a moins d'une semaine.
Je demande au conseil d'approuver un programme de conformité qui protège une entreprise de 340 millions d'euros contre une action réglementaire susceptible de coûter 15 millions d'euros. L'outil fonctionne. La question est de savoir s'il fonctionne légalement dans trois juridictions. À l'heure actuelle, nous ne pouvons pas le prouver.
Et la position du fournisseur selon laquelle il ne s'agit pas d'un système à haut risque ?
L'interprétation du fournisseur présente un mérite défendable au titre de l'Article 6(3). Mais si un régulateur n'est pas d'accord — et le Bureau européen de l'IA a signalé que les outils de recrutement feront l'objet d'un examen approfondi en priorité — c'est nous qui supportons le risque en tant que déployeurs. Pas eux. L'audit indépendant tranche la question avant qu'un régulateur ne la pose.
Pour ma part, je pense que c'est excessivement prudent. Mais je comprends la logique.
(au conseil) J'approuve le programme de 90 jours. Sarah, je veux des rapports d'avancement hebdomadaires. Et je veux le nom de l'évaluateur indépendant sur mon bureau d'ici vendredi.
Vous avez choisi l'intégrité en matière de conformité plutôt que la commodité commerciale, même lorsque votre propre conseiller juridique n'était pas d'accord et que la PDG était initialement hostile. La colère de Helen a cédé la place au respect lorsque vous avez quantifié le risque. Le programme de 90 jours avec audit indépendant représente la référence absolue — il exige un certain capital politique aujourd'hui, mais c'est la position que vous souhaitez avoir lorsque le régulateur vous contactera.
Les déployeurs d'IA à haut risque dans le domaine de l'emploi doivent procéder à une évaluation de l'impact sur les droits fondamentaux avant de mettre le système en service. Cette obligation incombe au déployeur, indépendamment de ce que le fournisseur affirme. Un programme d'audit indépendant satisfait à cette exigence et constitue un dossier de conformité défendable.
Je propose de maintenir TalentScreen en activité sous deux conditions : une révision humaine obligatoire de chaque décision, et des audits trimestriels des biais conduits par un cabinet externe. L'outil reste en place. Les candidats sont protégés.
Ça, je peux le défendre devant le conseil. Nous conservons les gains d'efficacité et démontrons que nous prenons la supervision au sérieux.
Approuvé. Sarah, veillez à ce que le premier audit soit achevé avant l'ouverture du bureau de Francfort au troisième trimestre.
Le conseil accepte. James est visiblement soulagé. Six mois plus tard, un e-mail arrive du Bureau européen de l'IA — une enquête réglementaire sectorielle portant sur les outils de recrutement par IA. Ils réclament une documentation de conformité, des évaluations d'impact sur les droits fondamentaux, ainsi que la preuve du respect des exigences de transparence prévues à l'Article 13.
Sarah, les journaux de révision humaine et les audits des biais sont utiles. Ils témoignent de notre bonne foi. Mais ils demandent une évaluation de conformité que nous n'avons jamais effectuée et une évaluation d'impact sur les droits fondamentaux que nous n'avons jamais réalisée. Nous disposons de 30 jours pour répondre.
Pragmatique, mais pas infaillible. La révision humaine combinée aux audits est défendable — elle témoigne d'une démarche rigoureuse et permet de traiter les cas individuels. Mais elle esquive la question fondamentale : ce système est-il déployé légalement ? Vous avez gagné du temps, pas la conformité. Le compromis est utile, mais il ne résiste pas à l'épreuve d'un contrôle réglementaire.
La surveillance humaine (Article 14) est l'une des nombreuses obligations. Elle traite du risque lié aux résultats mais pas de la conformité systémique. Un régulateur n'acceptera pas « nous avons examiné chaque décision » comme substitut à la documentation de conformité (Article 43) ou à une évaluation de l'impact sur les droits fondamentaux (Article 27). Le compromis réduit les préjudices mais n'élimine pas l'exposition juridique.
Vous avez consigné vos préoccupations dans une note de service formelle adressée à Priya il y a trois mois. Vous l'avez classée. Vous avez tourné la page. TalentScreen a continué à traiter les candidats dans les trois bureaux. La tendance liée à l'âge s'est poursuivie — 73 % des candidats de plus de 50 ans rejetés ont obtenu un score inférieur au seuil pour le « potentiel d'adaptabilité ». Vous avez vu le rapport trimestriel. Vous n'avez rien dit.
Le Bureau européen de l'IA annonce l'ouverture d'une enquête sur les IA de recrutement dans le secteur des services financiers. NovaTech figure sur la liste. Priya convoque une réunion d'urgence.
Ils veulent tout. L'évaluation de conformité, l'évaluation de l'impact sur les droits fondamentaux, la documentation de transparence, les journaux de déploiement. Nous avons 60 jours. Sarah — qu'est-ce que nous avons concrètement ?
Nous avons le pack de conformité original du fournisseur et ma note de service d'il y a trois mois signalant les préoccupations.
Vous avez identifié un risque, vous l'avez documenté, et le système a continué à fonctionner pendant trois mois supplémentaires. Cette note de service ne protège pas l'entreprise, Sarah. Elle nous incrimine. Elle prouve que nous étions au courant.
Comment en sommes-nous arrivés là ?
Se couvrir n'est pas se conformer. Documenter ses préoccupations vous protège personnellement dans un sens étroit — mais cela nuit activement à l'organisation en créant une trace écrite de risques connus et non traités. « Mon service juridique a dit que c'était acceptable » n'est pas une défense valable lorsque les déployeurs ont des obligations indépendantes. Et chaque candidat traité après votre note de service est un candidat que NovaTech a sciemment exposé à un système potentiellement discriminatoire.
Les déployeurs ont des obligations indépendantes au titre du Règlement sur l'IA de l'UE. Déléguer à l'interprétation juridique du fournisseur ne décharge pas de ces obligations. Lorsque vous disposez de preuves d'un risque et que vous les documentez sans agir, vous avez créé la pire position réglementaire possible : connaissance avérée et déploiement continu. Le Règlement sur l'IA de l'UE ne reconnaît pas « j'ai rédigé une note de service » comme une mesure d'atténuation des risques.
Dans la situation précédente, l'enjeu principal était de reconnaître que TalentScreen AI traite des candidatures d'emploi.
Article 6 classe l'IA dans l'emploi comme étant à haut risque. Cela déclenche : la supervision humaine (Art. 14), la transparence (Art. 13), la gouvernance des données (Art. 10) et la gestion des risques (Art. 9).
En tant que déployeurDéployeurUne organisation qui utilise un système d'IA sous son autorité — par opposition au fournisseur qui l'a conçu. En vertu du Règlement sur l'IA de l'UE, les déployeurs ont leurs propres obligations de conformité., NovaTech a des obligations indépendantes en vertu de Article 26 — même si le fournisseur affirme être en conformité.
Rappel : TalentScreen est à haut risque en vertu de Article 6. Vous avez des obligations en vertu de Article 26.
Lundi matin. James s'y oppose — l'outil a permis d'économiser 200 heures par trimestre. Que faites-vous face au schéma de biais ?
Présenter les données sur les biais et recommander de suspendre l'outil jusqu'à ce que le fournisseur fournisse la documentation de transparence
Article 26(5) stipule que les déployeurs doivent suspendre l'utilisation s'ils estiment qu'il existe un risque. Les données suggèrent une discrimination fondée sur l'âge. La documentation prévue par Article 13 devrait expliquer la manière dont l'outil prend ses décisions.
Ajouter un examinateur humain pour vérifier tous les rejets de l'IA avant qu'ils ne soient finalisés
La supervision humaine (Article 14) est requise pour les systèmes à haut risque. Cela permet d'intercepter les rejets discriminatoires avant qu'ils n'affectent les candidats.
Attendre davantage de données — un seul schéma ne prouve pas de discrimination
Le schéma est peut-être une coïncidence. Agir trop rapidement pourrait nuire à votre relation avec le conseil d'administration.
James, je dois vous montrer ceci. Neuf des onze candidats de plus de 50 ans rejetés ont obtenu un score inférieur au seuil. Aucun candidat de moins de 35 ans n'a été rejeté. Les deux indicateurs qui déterminent les scores — « potentiel d'adaptabilité » et « alignement culturel » — ne sont définis nulle part dans la documentation du fournisseur.
Ça nous a économisé 200 heures le trimestre dernier, Sarah. Vous voulez que je retourne devant le conseil pour dire qu'on le suspend à cause d'une feuille de calcul ?
Je veux que vous retourniez devant le conseil pour dire que nous avons détecté un possible schéma de discrimination fondée sur l'âge avant que l'avocat d'un candidat ne le fasse. En vertu de Article 26, nous sommes tenus de suspendre un système lorsque nous avons des raisons de croire qu'il présente un risque. Ces données SONT cette raison.
(long silence) ...Combien de temps ?
Jusqu'à ce que le fournisseur fournisse une documentation de transparence appropriée en vertu de Article 13. S'il peut expliquer le fonctionnement de ces indicateurs et que l'explication est non discriminatoire, nous le remettons en marche. S'il ne peut pas — nous aurons évité le pire.
Très bien. Mais c'est vous qui présentez ça à Helen. Et vous avez intérêt à avoir les calculs prêts.
James accepte à contrecœur. Il n'est pas satisfait, mais vous avez formulé le risque en des termes qu'il ne peut ignorer — un avocat d'un candidat qui découvrirait la tendance avant vous. Vous avez le week-end pour préparer un rapport formel à l'intention de Helen. L'outil est suspendu. Aucun autre candidat ne sera traité tant que vous n'aurez pas de réponses.
Lorsqu'un déployeur a des raisons de croire qu'un système d'IA à haut risque présente un risque pour la santé, la sécurité ou les droits fondamentaux, il doit suspendre son utilisation et en informer le fournisseur. Les données relatives aux biais — 9 candidats sur 11 de plus de 50 ans rejetés sur des critères inexpliqués — constituent ce motif. Demander la documentation de transparence prévue par Article 13 est la prochaine étape correcte.
Je recommande d'ajouter un examinateur humain pour vérifier chaque rejet émis par l'IA avant qu'il ne soit finalisé. Aucun candidat ne sera écarté sans qu'une personne confirme la décision.
C'est raisonnable. On conserve l'outil, les candidats bénéficient d'un second examen. Dans quel délai pouvez-vous mettre ça en place ?
D'ici la fin de la semaine. Trois examinateurs formés, selon un planning rotatif.
Bien. Problème résolu.
Le comité d'examen identifie trois autres rejets douteux au cours des deux premières semaines — tous des candidats de plus de 45 ans, tous ayant obtenu un score faible en « potentiel d'adaptabilité ». Les évaluateurs ignorent la décision de l'IA et les font progresser. Mais quelque chose vous préoccupe : les évaluateurs peuvent voir que l'outil rejette certains candidats. Ils ne peuvent pas voir pourquoi. Ils traitent les symptômes. Le système ne peut toujours pas expliquer sa logique.
Nous installons un filet de sécurité sous un pont dont nous ne sommes pas certains qu'il soit structurellement solide. Si quelqu'un demande comment le « potentiel d'adaptabilité » est calculé, nous ne pouvons toujours pas répondre.
L'examen humain répond aux exigences de l'Article 14 et permet de détecter des cas individuels de biais. Mais le système sous-jacent demeure une boîte noire. Sans documentation de transparence au titre de l'Article 13, vous ne pouvez pas expliquer pourquoi l'outil prend les décisions qu'il prend — seulement que vous n'êtes parfois pas d'accord avec le résultat.
La surveillance humaine est une exigence fondamentale pour les systèmes à haut risque — cet instinct est donc juste. Mais l'Article 14 fonctionne conjointement avec l'Article 13 (transparence), et non à sa place. Un évaluateur humain qui peut annuler des décisions mais ne peut pas comprendre la logique du système dispose d'une capacité limitée pour identifier une discrimination systémique par opposition à des erreurs individuelles.
Un autre lot traité. Douze nouveaux candidats. Trois rejets — tous de plus de 50 ans. Tous ont obtenu un score inférieur au seuil sur le critère « potentiel d'adaptabilité ». Ce n'est plus un seul schéma. Ce sont deux schémas.
Vous récupérez l'ensemble des données. En deux mois de fonctionnement de TalentScreen, 14 des 16 candidats rejetés de plus de 50 ans ont obtenu un score inférieur au seuil sur le même critère opaque. Aucun candidat de moins de 35 ans n'a été rejeté. Vous ouvrez LinkedIn pour vous changer les idées et vous filez.
Avez-vous vu le post LinkedIn de David Okonkwo ? Il a déjà 400 commentaires. Il nous cite nommément. Enfin, pas nous directement — mais « une fintech dublinoise qui utilise l'IA pour écarter les candidats expérimentés ». Son ancien collègue chez Barclays vient de le partager.
Je l'ai vu.
Helen veut une réunion. Aujourd'hui. Elle demande ce que nous savions et à quel moment nous le savions.
...J'avais signalé ce schéma il y a deux semaines. J'attendais d'avoir davantage de données.
Vous me l'avez signalé à MOI. Et je vous ai dit d'attendre. Helen va vouloir savoir pourquoi ni l'un ni l'autre n'avons escaladé l'affaire.
Attendre ne constituait pas une mise en conformité. Neuf sur onze représentait déjà un schéma problématique — 14 sur 16, c'est une crise. Chaque jour passé à attendre, davantage de candidats étaient potentiellement victimes de discrimination. En vertu de l'Article 26(5), vous aviez des raisons de croire que le système présentait un risque pour les droits fondamentaux. L'obligation était d'agir, et non de constituer un jeu de données statistiquement parfait.
Le seuil est celui de « la raison de croire » — et non celui de « la preuve au-delà de tout doute raisonnable ». Lorsque 9 candidats sur 11 appartenant à une catégorie protégée obtiennent un score inférieur au seuil sur un critère inexpliqué, cela CONSTITUE une raison de croire. Le Règlement sur l'IA de l'UE n'exige pas que vous meniez une étude à comité de lecture avant d'agir. Il exige que vous protégiez les droits fondamentaux dès lors que vous disposez d'éléments crédibles attestant d'un risque.
Les déployeurs et les fournisseurs ont des obligations distinctes. Même si TalentScreen affirme être conforme, NovaTech a ses propres obligations :
Article 26 : Les déployeurs doivent utiliser le système conformément aux instructions, assurer une surveillance humaine, surveiller les risques, conserver les journaux et suspendre l'utilisation en cas de risque.
Le fait que le fournisseur déclare « nous sommes conformes » ne décharge pas VOS obligations.
Rappel : En tant que déployeur, NovaTech a des obligations indépendantes en vertu de l'Article 26.
Le fournisseur demande €30 000 pour un audit de transparence. James indique que le directeur financier ne l'approuvera pas. Que recommandez-vous ?
Suspendre l'outil jusqu'à ce que le fournisseur fournisse une documentation appropriée
L'amende potentielle (jusqu'à 15 M€ ou 3 % du chiffre d'affaires) dépasse largement les coûts de sélection manuelle. Article 26(5) exige la suspension si vous estimez qu'il existe un risque.
Conserver l'outil mais ajouter une révision humaine de chaque rejet et tout documenter
Cela répond au risque immédiat. La révision humaine satisfait aux exigences de Article 14. La documentation démontre la bonne foi.
Ne rien faire — le fournisseur compte 14 clients dans l'UE et aucun n'a rencontré de problèmes
Peut-être réagissez-vous de manière excessive. Le fournisseur semble confiant et votre équipe juridique a validé le dossier.
Le directeur financier n'approuvera pas 30 000 € pour un audit dont nous n'avons peut-être pas besoin. Et maintenant vous souhaitez suspendre complètement l'outil ? Nous reviendrons à 200 heures de sélection manuelle par trimestre.
Permettez-moi de vous donner d'autres chiffres. Amende potentielle en vertu du Règlement sur l'IA de l'UE : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Le chiffre d'affaires de NovaTech l'an dernier était de 340 millions d'euros. Trois pour cent, c'est 10,2 millions d'euros. Le filtrage manuel coûte 48 000 £ par an. Quel chiffre souhaitez-vous présenter au directeur financier ?
(pause) ...Vous avez fait le calcul.
En effet. Et j'ai rédigé une note d'une page pour Helen. La recommandation est une suspension temporaire pendant laquelle nous exigeons du fournisseur qu'il fournisse une documentation conforme à Article 13. S'il s'y conforme, nous pourrions être de nouveau opérationnels dans quatre à six semaines. S'il n'est pas en mesure d'expliquer son propre système, nous trouvons un fournisseur qui le peut.
Quatre à six semaines, je peux l'accepter. Une amende de 15 millions d'euros, non. Envoyez-moi la note — je la cosignerai.
La suspension est la bonne décision. James est mécontent, mais le calcul est irréfutable — 48 000 £ de filtrage manuel contre 10,2 millions d'euros d'amendes potentielles n'est pas un choix difficile. L'outil est suspendu. Les candidats sont protégés. Et vous avez présenté cette mesure comme temporaire, non permanente — offrant ainsi au fournisseur une voie claire vers la réactivation par la mise en conformité.
La suspension n'est pas une sanction — c'est de la gestion des risques. Le Règlement sur l'IA de l'UE exige des déployeurs qu'ils suspendent les systèmes à haut risque lorsqu'ils ont des raisons de croire que ceux-ci présentent un risque pour les droits fondamentaux. Le coût des processus manuels temporaires est toujours inférieur au coût des mesures d'exécution réglementaire. Présenter la suspension comme une décision commerciale, et non comme un cours de conformité, est ce qui permet d'obtenir l'adhésion.
Le comité de révision a annulé 7 des 43 rejets en trois semaines. Les sept candidats avaient plus de 45 ans. Tous avaient obtenu un faible score sur le « potentiel d'adaptabilité ». Les examinateurs humains repèrent les décisions les plus problématiques.
James est satisfait. Le conseil d'administration a reçu votre documentation attestant d'une supervision proactive. Les candidats qui auraient été injustement rejetés obtiennent des entretiens. Sur le papier, le système semble responsable.
Le comité de révision fonctionne. Nous avons corrigé sept mauvaises décisions. Je considère que c'est un succès.
Nous avons corrigé sept résultats avec lesquels nous n'étions pas d'accord. Nous ne savons toujours pas pourquoi le système les génère. Si un régulateur demande comment le « potentiel d'adaptabilité » est calculé, nous pouvons lui montrer nos journaux d'annulation. Nous ne pouvons pas lui expliquer le fonctionnement de l'IA.
N'est-ce pas le problème du fournisseur ?
...C'est précisément ce dont je ne suis pas sûr(e).
La révision humaine associée à la documentation est mieux que rien — nettement mieux. Vous détectez des résultats discriminatoires et créez une piste d'audit témoignant de votre bonne foi. Mais le système sous-jacent n'a pas changé. L'IA traite toujours les candidats de la même façon. Vous filtrez ses décisions, vous ne corrigez pas sa logique. Si un régulateur détermine que le système lui-même n'est pas conforme, vos solutions de contournement ne satisfont pas l'ensemble des exigences de conformité.
Les systèmes d'IA à haut risque doivent être conçus avec une transparence suffisante pour permettre aux déployeurs d'interpréter et d'utiliser les résultats de manière appropriée. Si vous ne pouvez pas expliquer comment le « potentiel d'adaptabilité » est calculé, vous ne pouvez pas satisfaire à cette exigence — quel que soit le nombre d'examinateurs humains que vous ajoutez. La supervision sans compréhension n'est qu'une limitation des dégâts, pas une mise en conformité.
Deux mois de silence. TalentScreen continue de traiter les dossiers. Vous avez arrêté de consulter les données de rejet. Le fournisseur compte 14 clients dans l'UE. Votre équipe juridique a validé. Peut-être réagissiez-vous de manière excessive.
Vous avez vu LinkedIn ce matin ? David Okonkwo vient de publier un essai de 1 200 mots sur la discrimination par l'âge dans le recrutement fintech. Il cite les outils de sélection par IA. Il ne nous nomme pas explicitement, mais les détails sont sans équivoque. La publication a déjà recueilli 2 000 réactions.
Je suis en train de le lire.
La publication est accablante. Okonkwo évoque 22 ans d'expérience dans la banque, un bilan remarquable, et le fait d'avoir été rejeté par un outil d'IA qui a évalué son « potentiel d'adaptabilité » à 31 sur 100. Un journaliste du Financial Times a déjà commenté en demandant à le contacter en message privé. À l'heure du déjeuner, la publication totalise 8 000 réactions et trois anciens candidats de NovaTech ont répondu avec des témoignages similaires.
J'ai besoin que chaque personne sur cet appel me réponde : étions-nous au courant ? Y avait-il le moindre signe que notre outil d'IA discriminait les candidats plus âgés ?
(silence)
...J'ai identifié un schéma statistique il y a deux mois. J'ai décidé d'attendre davantage de données avant d'escalader.
Vous saviez. Depuis deux mois. Et le système a continué à fonctionner.
« Tout le monde le fait » n'a jamais constitué une défense — et maintenant c'est une crise. Les autres clients du fournisseur n'ont pas été publiquement nommés par un candidat rejeté qui compte 15 000 abonnés sur LinkedIn. La validation de votre service juridique était fondée sur des informations incomplètes. En vertu du Règlement sur l'IA de l'UE, l'ignorance que vous auriez pu corriger ne constitue pas une défense. Et vous disposiez des données pour la corriger il y a deux mois.
Le Règlement sur l'IA de l'UE impose des obligations indépendantes aux déployeurs. « Le fournisseur compte 14 clients dans l'UE » et « notre service juridique a validé le système » ne constituent pas des défenses lorsque vous disposez de preuves d'un risque. L'inaction face à un risque connu constitue en elle-même un manquement à la conformité. Le préjudice réputationnel — une publication virale sur LinkedIn, l'intérêt du FT, des candidats qui comparent publiquement leurs expériences — aggrave l'exposition réglementaire.
Les décisions que vous avez prises en tant que Sarah Chen ont eu des répercussions en cascade — sur David Okonkwo, sur le conseil d'administration de NovaTech, sur les 200 candidats suivants. Voici ce qui s'est passé.
Article 4
Connaissance de l'IA
Article 6 + Annex III
Classification à haut risque
Article 9
Gestion des risques
Article 13
Transparence
Article 14
Surveillance humaine
Article 26
Obligations des déployeurs
Article 50
Transparence à l'égard des utilisateurs
Article 99
Sanctions
Demandez à votre équipe Formation & Développement de partager le classement d'équipe depuis votre tableau de bord LMS. Votre département peut-il surpasser les autres ?
Dans le Module 2, vous incarnerez Elena Vasquez, Directrice Marketing de NovaTech Financial. Un journaliste a un délai de 48 heures. Un chatbot a fait des promesses qu'il ne peut pas tenir. Et il n'existe aucune politique de divulgation de l'IA.
Ressource complémentaire
Un résumé imprimable de tous les articles clés couverts dans les cinq modules — Article 4, 5, 6, 9, 13, 14, 25, 26, 27, 50 et 99. Enregistrez en PDF pour une consultation hors ligne.
Module 1 Terminé
Vous avez navigué dans le dilemme de conformité. Essayez un chemin différent pour voir comment l'histoire change.