Approfondissez vos Connaissances

Explorez nos ressources complètes pour maîtriser l'IA en recrutement et transformer vos processus RH.

Guide Complet IA

Le guide définitif pour implémenter l'intelligence artificielle dans vos processus de recrutement.

Comparatif ATS

Analyse comparative des meilleures solutions d'ATS alimentées par l'IA du marché.

Tous les Articles

Retournez au blog pour découvrir tous nos articles et ressources sur l'IA en RH.

Passez de la veille à l’action

Découvrez comment RHIA structure votre recrutement IA et transforme ces recommandations en résultats concrets.

Voir les solutionsVoir les tarifs
Audit Fournisseurs IA

Audit due diligence des fournisseurs d'IA RH : conformité AI Act, logs et mitigation des risques

11 décembre 202418 min de lectureDRH, Procurement, Compliance

Audit complet pour sélectionner et contrôler vos fournisseurs IA RH : obligations AI Act, exigences GPAI, logs, supervision humaine et clauses contractuelles.

À retenir

  • Cadre légal : l'AI Act impose marquage CE, logs et supervision humaine pour les systèmes RH à haut risque.
  • GPAI : les modèles >10^25 FLOP sont réputés systémiques ; des seuils intermédiaires (≈10^23 FLOP) servent de référence pour des obligations de documentation et d'assistance.
  • Responsabilité partagée : le déployeur reste sanctionnable (jusqu'à 15 M€ ou 3 % du CA) même si le fournisseur est en faute.
  • Obligations pratiques : conservation des logs pour la durée minimale prévue par l'AI Act et vos exigences d'audit, FRIA pour les usages concernés, supervision humaine et droit d'accès aux preuves.

Pourquoi un audit fournisseur rigoureux

Risques de la non-diligence

  • Responsabilité légale : l'entreprise reste responsable vis-à-vis de l'AI Act et peut être sanctionnée en cas de non-conformité, même si le fournisseur est en faute
  • Risques opérationnels : arrêt forcé des processus RH
  • Risques réputationnels : discrimination ou dérive non détectée
  • Coûts de remédiation : migration d'urgence vers d'autres outils

Bénéfices de l'audit

  • Meilleure conformité : identification des écarts et préparation aux obligations
  • Choix éclairé : sélection de fournisseurs alignés avec vos besoins et réglementations
  • Gestion proactive des risques : anticipation des dérives et réduction des incidents
  • Négociation renforcée : contractualisation protective

Données et benchmarks à connaître

Cadre légal et seuils GPAI

Domaines à haut risque, seuils 10^23 / 10^25 FLOP et obligations AI Act

• Les systèmes IA utilisés pour l'emploi, la gestion des travailleurs ou le recrutement sont classés « à haut risque » (AI Act).

• Certains seuils d'entraînement (≈10^23 FLOP) servent de repères dans l'AI Act pour déclencher des obligations de documentation et d'assistance des clients ; au-delà de 10^25 FLOP, les modèles GPAI sont réputés présenter un risque systémique et doivent notifier la Commission et fournir une documentation technique renforcée (FAQ Commission).

• Les sanctions peuvent atteindre 35 M€ ou 7 % du CA pour les pratiques prohibées et 15 M€ ou 3 % pour la violation des obligations de conformité (AI Act).

Obligations clés du déployeur

Logs, supervision humaine et FRIA

• Utiliser le système selon les instructions, assurer une supervision humaine et conserver les logs pendant la durée minimale prévue par l'AI Act et vos obligations de preuve (souvent au moins plusieurs mois selon le rôle).

• Pour certains déployeurs (notamment acteurs publics ou usages à fort impact), une évaluation d'impact sur les droits fondamentaux (FRIA) peut être requise ; vérifiez si votre cas est concerné (analyse AI Act).

• Demander un accès aux preuves : logs horodatés et non altérables, métriques de performance, analyses de biais et plans de mitigation.

Checklist Détaillée par Catégorie

Conformité Réglementaire

Le fournisseur a-t-il réalisé une évaluation de conformité AI Act et obtenu le marquage CE ?

Critique

Vérifier l'existence d'une évaluation de conformité AI Act et du marquage CE (déclaration UE de conformité)

Preuves à demander :
  • Marquage CE
  • Déclaration UE de conformité
  • Rapport d'évaluation de conformité

Le fournisseur respecte-t-il les obligations applicables aux modèles d'IA à usage général (GPAI) ?

Important

Pour les modèles à usage général présentant un risque systémique (≈ 10^25 FLOPS) selon l'AI Act

Preuves à demander :
  • Documentation GPAI
  • Évaluations de risques systémiques
  • Mesures d'atténuation

La conformité GDPR est-elle démontrée ?

Critique

Protection des données personnelles et droits des candidats

Preuves à demander :
  • Analyse d'impact DPIA
  • Registre des traitements
  • Politiques de rétention

Le fournisseur dispose-t-il d'un système de management de l'IA (norme volontaire ISO/IEC 42001) ?

Standard

Gouvernance et management des systèmes IA

Preuves à demander :
  • Certification ISO 42001
  • Manuel qualité IA
  • Procédures de gouvernance

Transparence Technique

La documentation technique est-elle complète ?

Critique

Architecture, algorithmes, données d'entraînement

Preuves à demander :
  • Documentation technique
  • Spécifications algorithmes
  • Méta-données d'entraînement

Les métriques de performance sont-elles fournies ?

Important

Précision, rappel, taux d'erreur par catégorie démographique

Preuves à demander :
  • Rapports de performance
  • Tests de benchmark
  • Analyses de biais

Les limites du système sont-elles documentées ?

Important

Cas d'usage non recommandés, limitations connues

Preuves à demander :
  • Guide des limitations
  • Cas d'usage déconseillés
  • Alertes techniques

L'explicabilité des décisions est-elle disponible ?

Critique

Capacité à expliquer les décisions automatiques

Preuves à demander :
  • Mécanismes d'explicabilité
  • Rapports d'interprétation
  • APIs d'explication

Logs et Traçabilité

Tous les événements sont-ils loggés automatiquement ?

Critique

Enregistrement automatique des décisions et actions

Preuves à demander :
  • Spécifications de logging
  • Exemples de logs
  • Politique de rétention logs

Les logs incluent-ils les méta-données requises ?

Important

Horodatage, utilisateur, données d'entrée, décision, confiance

Preuves à demander :
  • Structure des logs
  • Échantillons de logs
  • Dictionnaire des données

L'accès aux logs est-il sécurisé et auditable ?

Important

Contrôle d'accès, intégrité, non-répudiation

Preuves à demander :
  • Politique d'accès logs
  • Mécanismes d'intégrité
  • Audit trails

Les logs permettent-ils la reconstruction des décisions ?

Standard

Capacité à rejouer et analyser les décisions passées

Preuves à demander :
  • Outils de replay
  • Procédures de reconstruction
  • Tests de traçabilité

Mitigation des Risques

Des tests de biais sont-ils réalisés régulièrement ?

Critique

Détection automatique et correction des biais discriminatoires

Preuves à demander :
  • Rapports de tests de biais
  • Métriques de fairness
  • Plans de correction

Un monitoring continu est-il en place ?

Important

Surveillance des performances et dérive des modèles

Preuves à demander :
  • Tableaux de bord monitoring
  • Alertes automatiques
  • Seuils de performance

Des mesures de fallback sont-elles prévues ?

Important

Procédures en cas de dysfonctionnement ou performance dégradée

Preuves à demander :
  • Plans de contingence
  • Procédures de fallback
  • Tests de robustesse

La supervision humaine est-elle garantie ?

Critique

Possibilité d'intervention humaine et override des décisions IA

Preuves à demander :
  • Interfaces de supervision
  • Procédures d'override
  • Formation des superviseurs

Clauses Contractuelles Essentielles

Garanties de Conformité

Le fournisseur garantit la conformité continue aux réglementations applicables

  • Garantie de conformité AI Act à la date de signature
  • Engagement de mise à jour en cas d'évolution réglementaire
  • Notification immédiate en cas de non-conformité détectée

Accès aux Preuves

Droit d'accès aux documents et preuves de conformité

  • Accès aux logs et métriques de performance
  • Droit d'audit sur site ou à distance
  • Communication des certifications et évaluations

Gestion des Incidents

Procédures en cas d'incident ou de dysfonctionnement

  • Notification sous 24h des incidents majeurs
  • Plans de remédiation avec échéanciers
  • Compensation en cas d'impact sur les processus RH

Résiliation pour Non-Conformité

Conditions de résiliation en cas de défaut de conformité

  • Droit de résiliation immédiate en cas de sanction réglementaire
  • Période de cure limitée pour les non-conformités mineures
  • Migration des données sans frais en cas de résiliation

Processus d'Audit Recommandé

Phase 1 : Audit Documentaire

Analyse des documents et certifications

  1. Demande du dossier de conformité complet
  2. Vérification des certifications et leur validité
  3. Analyse de la documentation technique
  4. Review des rapports de tests et performance
  5. Évaluation des mesures de sécurité

Phase 2 : Audit Technique

Tests et vérifications opérationnelles

  1. Tests de performance sur données représentatives
  2. Vérification des mécanismes de logging
  3. Tests de biais et fairness
  4. Validation des interfaces de supervision
  5. Tests de robustesse et fallback

Red Flags : Signaux d'Alerte

Signes de Non-Conformité Critique

  • Refus de fournir les certifications ou documents de conformité
  • Absence de logging automatique des décisions IA
  • Impossibilité d'expliquer les décisions du système
  • Pas de tests de biais ou résultats non communiqués
  • Clauses d'exclusion de responsabilité trop larges
  • Références clients non vérifiables ou absentes
  • Pas de plan de mise à jour pour la conformité AI Act
  • Support technique insuffisant pour les questions de conformité

FAQ - Questions Fréquentes

Pourquoi auditer un fournisseur d'IA RH alors que l'éditeur est responsable ?

L'AI Act impose des obligations distinctes aux déployeurs et aux fournisseurs. Un système non conforme peut exposer l'entreprise à des amendes allant jusqu'à 15 M€ ou 3 % du CA, même si le manquement provient du fournisseur. Un audit préalable démontre votre diligence et réduit les risques.

Comment vérifier l'authenticité d'une évaluation de conformité et du marquage CE ?

Demandez la déclaration UE de conformité, vérifiez les registres publics des organismes notifiés et contrôlez les références du marquage CE. En cas de doute, contactez directement l'organisme d'évaluation.

Un fournisseur doit-il être certifié ISO/IEC 42001 ?

La norme ISO/IEC 42001 est volontaire. Elle fournit un cadre pour la gouvernance de l'IA et la gestion des risques. Une certification ou un système de management aligné démontre la maturité, mais l'absence de certification n'exonère pas des obligations AI Act.

Que faire si le fournisseur refuse de partager ses logs ou ses métriques ?

Un tel refus est un signal d'alerte. L'AI Act impose la conservation de logs pertinents et leur accessibilité pour les audits. Exigez des garanties contractuelles ou envisagez une alternative plus transparente.

Quelle est la fréquence idéale pour auditer un système d'IA RH ?

Un audit annuel est recommandé, avec des vérifications trimestrielles pour les systèmes critiques ou après une mise à jour majeure. Accélérez la fréquence en cas d'incident ou d'évolution réglementaire.

Outils d'Audit Prêts à l'Emploi

Kit Complet d'Audit Fournisseurs IA

Checklists, grilles d'évaluation et modèles contractuels

Checklist interactive
Grille de scoring
Clauses contractuelles
Télécharger le kit d'auditAudit accompagné