Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

DPO face à l’IA agentique : quand l’agent IA de votre prestataire traite des données personnelles

par | Juin 15, 2026 | DPO

Illustration d’un agent IA RGPD utilisé par un prestataire, avec flux de données personnelles, supervision du DPO et points de vigilance conformité.

Les agents IA traitant des données personnelles de vos candidats, clients ou salariés sont désormais une réalité opérationnelle. Selon les chiffres partagés par Pierre Matuchet, SVP IT Digital Transformation chez Adecco, lors de l’AgentForce World Tour Paris le 5 juin 2026, la société a déployé AgentForce sur ses 900 agences françaises : 220 000 conversations terminées avec des candidats, 60% en dehors des heures de bureau.

Pour le DPO, la question centrale n’est pas de savoir si l’IA fonctionne, c’est de qualifier ce traitement pour le RGPD.

Ce que fait concrètement un agent IA dans les processus RH

Contrairement à un chatbot classique, un agent IA agentique prend des décisions et déclenche des actions : Pour une analyse complémentaire, lisez comprendre la pseudonymisation dans le RGPD.

  • Contacter les candidats par SMS ou messagerie, recueillir leurs disponibilités, poser des questions de pré-sélection
  • Analyser les réponses et scorer les candidats par rapport au profil recherché
  • Planifier des entretiens ou transmettre les dossiers aux recruteurs
  • Opérer hors heures ouvrées : des décisions automatisées peuvent donc affecter des candidats sans intervention humaine en temps réel

Chacune de ces actions implique un traitement de données personnelles : identité, coordonnées, contenu des échanges, profilage, qualification.

Agent IA RGPD : sous-traitant ou co-responsable ?

C’est la première question juridique à résoudre. La réponse dépend de la marge de décision laissée au prestataire IA.

Le prestataire est sous-traitant si…

Il déploie l’agent IA selon vos instructions et finalités. Vous définissez les critères de sélection, le script de conversation, les règles de qualification. Le prestataire n’a aucune autonomie sur la finalité. Un accord de sous-traitance conforme à l’article 28 RGPD est alors obligatoire.

Le prestataire est co-responsable si…

Il détermine conjointement avec vous les finalités et moyens du traitement — par exemple s’il applique ses propres algorithmes de scoring ou réutilise les données pour améliorer son modèle. Un accord de co-responsabilité transparent selon l’article 26 RGPD est requis.

En pratique, la frontière est souvent floue. Documentez cette analyse dans votre registre des traitements.

Quelle base légale pour les échanges de l’agent IA avec vos candidats ?

  • L’exécution de mesures précontractuelles (article 6(1)(b)) : si la conversation s’inscrit directement dans un processus de recrutement auquel le candidat a postulé. Ne couvre pas les contacts non sollicités.
  • Le consentement (article 6(1)(a)) : plus solide pour les échanges initiés envers des contacts qui n’ont pas expressément postulé. Doit être explicite, informé et révocable.
  • L’intérêt légitime (article 6(1)(f)) : possible mais à documenter rigoureusement via un test de mise en balance.

Point d’attention : si l’agent IA prend des décisions significatives pour le candidat (sélection, rejet, transmission ou non à un recruteur), l’article 22 RGPD sur la prise de décision automatisée entre en jeu. Le candidat doit être informé, et une intervention humaine doit être possible sur demande.

Par ailleurs, le recrutement figure parmi les thématiques prioritaires de contrôle CNIL 2026, un signal fort pour les DPO.

Voir également l’article : Programme CNIL 2026 pour les DPO : ce qui vous attend concrètement

Comment documenter dans le registre des traitements

  • Intitulé du traitement : ex. « Pré-sélection candidats via agent IA »
  • Finalité précise : recrutement, qualification initiale, planification d’entretiens
  • Base légale retenue et justification
  • Catégories de données traitées : identité, coordonnées, contenu des échanges, scoring
  • Destinataires : recruteurs, équipes RH, prestataire IA
  • Durée de conservation des échanges et du scoring
  • Qualification du prestataire : sous-traitant ou co-responsable (avec référence au contrat)
  • Décision automatisée : oui/non, et si oui, mécanisme de recours humain
  • AIPD : réalisée ou non (obligatoire si décision automatisée à effets significatifs)

Ce que MDP Data protection propose

Qualifier juridiquement un traitement IA agentique dans les processus RH requiert de croiser le RGPD, l’AI Act (qualification haut risque pour le domaine « emploi ») et les règles du droit du travail. MDP accompagne les DPO et équipes RH pour :

  • Qualifier la relation contractuelle avec le prestataire IA
  • Déterminer la base légale adaptée et rédiger les mentions d’information
  • Réaliser l’AIPD si elle est obligatoire
  • Documenter le traitement dans le registre et préparer les clauses contractuelles

Votre organisation déploie ou envisage de déployer un agent IA en contact avec des candidats ou des clients ? Prenez rendez-vous pour faire le point.

FAQ – Agent IA et données personnelles RGPD

Un agent IA est-il automatiquement un sous-traitant au sens du RGPD ?

Non. S’il déploie l’outil selon vos seules instructions, c’est un sous-traitant. S’il détermine conjointement avec vous les finalités ou moyens du traitement, il peut être co-responsable. Cette qualification doit être documentée dans le registre des traitements.

Faut-il informer les candidats qu’ils interagissent avec un agent IA ?

Oui. L’article 13 RGPD impose une information sur le traitement, y compris l’existence de décisions automatisées. L’AI Act impose également la transparence sur les systèmes IA en contact avec des personnes (article 50).

L’article 22 RGPD s’applique-t-il aux agents IA de recrutement ?

Potentiellement oui, si l’agent prend des décisions à effets significatifs sur le candidat (sélection, rejet, transmission ou non). Le candidat a alors droit à une intervention humaine, à exprimer son point de vue et à contester la décision.

Faut-il réaliser une AIPD pour un agent IA de recrutement ?

Oui, dans la plupart des cas. Le recrutement IA implique un profilage à grande échelle ou des décisions automatisées, deux critères qui déclenchent l’obligation d’AIPD selon les lignes directrices de l’EDPB.

L’AI Act s’applique-t-il à un agent IA de recrutement ?

Probablement oui. Le domaine « emploi » figure à l’Annexe III de l’AI Act. Un agent IA qui évalue ou sélectionne des candidats peut être qualifié de système IA à haut risque, avec toutes les obligations qui en découlent.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

Le déploiement d’agents IA en contact avec des candidats ou des clients génère des traitements de données personnelles que le DPO doit qualifier et documenter. Les deux questions centrales sont : le prestataire est-il sous-traitant ou co-responsable, et y a-t-il prise de décision automatisée au sens de l’article 22 RGPD ? Dans les deux cas, le registre doit être mis à jour, une AIPD peut être obligatoire, et les personnes concernées doivent être informées. Le recrutement étant une priorité de contrôle CNIL 2026, la mise en conformité de ces traitements ne peut pas attendre.

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.