Décisions automatisées en recrutement : l'ICO britannique brise l'illusion du contrôle humain
Le 31 mars 2026, l'Information Commissioner's Office (ICO), équivalent britannique de la CNIL, a ouvert une consultation publique sur ses lignes directrices consacrées aux décisions automatisées (ADM) et au profilage. Le régulateur a aussi publié un rapport ciblé sur ces outils dans le recrutement. Le constat est sévère : nombre d'employeurs croient garder la main, alors que leurs algorithmes décident à leur place.
Ce qui s'est passé
L'ICO formalise pour la première fois sa lecture des modifications introduites par le Data (Use and Access) Act (DUAA) au UK GDPR. Le changement de paradigme est explicite : on passe « d'une interdiction assortie d'exceptions à un droit de contestation accompagné de garanties ». Le nouvel article 22C du UK GDPR autorise plus largement les décisions automatisées, à condition que des protections opérationnelles soient effectivement en place.
La consultation, ouverte jusqu'au 29 mai 2026, fixe quatre lignes de force. D'abord, le périmètre de la « décision » est large : tout résultat issu d'une analyse susceptible d'affecter les droits ou actions d'une personne tombe dans le champ — sauf les systèmes qui ne font qu'appliquer mécaniquement des règles déjà fixées par un humain. Ensuite, l'« effet significatif » dépend du contexte : geler le compte bancaire d'un client peut être anodin pour certains, dévastateur pour d'autres. Dans le doute, l'ICO invite à appliquer les garanties à toutes les décisions concernées.
Surtout, le régulateur durcit la définition de l'intervention humaine significative. La personne en charge doit être formée, qualifiée, capable de comprendre la logique du système, ses limites et ses risques — et, fait notable, concevoir l'outil ne suffit pas : seul un contrôle exercé sur la décision elle-même compte.
Le rapport joint sur le recrutement, fondé sur l'analyse de plus de 30 employeurs entre mars 2025 et janvier 2026, livre un message brutal : « Beaucoup d'employeurs sous-estiment à quel point leurs outils prennent de véritables décisions plutôt qu'ils n'aident des décideurs humains. »
Pourquoi c'est important pour les DPO européens
Le UK GDPR n'a plus force de loi sur le continent depuis le Brexit, mais sa proximité avec le RGPD en fait un thermomètre précieux. L'article 22 du RGPD reste, lui, plus restrictif : il pose un principe d'interdiction des décisions exclusivement automatisées produisant des effets juridiques ou significatifs, sauf consentement explicite, contrat ou base légale explicite. Mais la lecture pratique de ce qu'est une « décision exclusivement automatisée » et ce qu'est une « intervention humaine significative » est en train de se durcir des deux côtés de la Manche.
La CNIL et ses homologues européens convergent en effet sur le même constat : les agents IA qui décident à la place des humains engagent la responsabilité juridique des organisations qui les déploient. Le validateur de coin de table, qui clique sur « accepter » sans relire, ne suffit plus à sortir un traitement du périmètre de l'article 22.
Pour les directions RH et les DPO, le sujet est explosif. Le tri automatisé de CV, le scoring d'entretiens vidéo ou les tests cognitifs en ligne sont massivement déployés sans toujours respecter les règles de profilage du RGPD. L'AI Act renforce d'ailleurs l'obligation de vigilance sur ces métiers, en classant les systèmes d'aide au recrutement comme à haut risque (annexe III).
Ce que ça change pour les organisations
Trois chantiers prioritaires s'imposent dès maintenant pour les responsables de traitement, qu'ils opèrent côté UK ou dans l'UE.
Cartographier honnêtement la chaîne de décision. L'erreur la plus fréquente, selon l'ICO, consiste à étiqueter en « aide à la décision » des outils qui décident en réalité seuls. Le test pratique : si le recruteur valide à plus de 95 % les recommandations algorithmiques sans pouvoir expliquer la logique sous-jacente, il n'y a plus d'intervention humaine significative au sens de l'article 22 RGPD.
Renforcer la transparence vers les candidats et les personnes concernées. L'ICO exige des informations compréhensibles, pas un copier-coller de la politique de confidentialité du fournisseur. Cela suppose d'expliquer quand l'automatisation intervient, quel niveau de précision affiche l'outil et quelles voies de recours sont ouvertes — droit de contester, droit de demander une intervention humaine, droit d'obtenir une explication. Notre guide des 11 pratiques RGPD à adopter en recrutement détaille ces obligations point par point.
Mener une AIPD systématique et surveiller les biais. Le projet britannique reprend une exigence déjà bien établie en France : pour tout traitement à risque élevé — et un outil qui prend des décisions automatisées sur des candidats l'est par définition — une analyse d'impact est obligatoire. Cette logique est la même que celle qui structure la conformité à l'AI Act.
Ce que Leto pense de cette décision
Le coup de pression britannique est salutaire. Pendant des années, les services RH ont déployé des outils IA en se rassurant avec un alibi sémantique — « décision support », « scoring indicatif », « validation humaine finale » — qui ne résistait pas à l'examen factuel. L'ICO, comme la CNIL et l'EDPB, ferme cette zone grise. Mieux vaut anticiper : un audit honnête de la place réelle de l'humain dans la chaîne de décision coûte infiniment moins cher qu'un contentieux prud'homal sur la sélection algorithmique d'un candidat.
Sources : UK ICO Consults on Draft Automated Decision-Making Guidance and Sets Expectations for ADM in Recruitment — Inside Privacy (Covington), 24 avril 2026 · Consultation officielle ICO — Draft Updated Guidance on ADM and Profiling
