TL;DR. Le Parlement européen a voté le 16 juin 2026 (423 pour, 57 contre, 174 abstentions) le report des obligations IA haut-risque emploi du 2 août 2026 au 2 décembre 2027 — soit 16 mois de vide juridique AI Act côté ATS. Mais le RGPD art. 15 + 22 reste 100 % activable dès aujourd'hui.
Tu pensais que l'AI Act allait protéger ta candidature en août 2026 ? Mauvaise nouvelle.
Le Parlement européen a voté le 16 juin 2026 le report des obligations IA haut-risque emploi au 2 décembre 2027. Seize mois de glissement supplémentaires.
Donc tu fais quoi pendant ces 16 mois — tu attends sagement décembre 2027 que Bruxelles te protège ?
Digital Omnibus, 7 mai → 16 juin 2026 : la chronologie chirurgicale du report
L'histoire s'est jouée en deux temps. Le 7 mai 2026, la présidence chypriote du Conseil (Marilena Raouna, vice-ministre aux affaires européennes) annonce un accord provisoire avec le Parlement sur le « Digital Omnibus on AI » porté par la Commission (Computerworld, mai 2026). Le 16 juin, plénière à Strasbourg : 423 votes pour, 57 contre, 174 abstentions (Sofia Globe, juin 2026).
Ce qui glisse : les systèmes stand-alone high-risk (Annex III), qui couvrent emploi, éducation, accès aux services publics et privés. Date d'application : 2 décembre 2027 (European Parliament Press Room).
Ce qui ne glisse pas : l'Article 50(2) sur le watermarking des contenus IA générative — avancé au 2 décembre 2026. Les sandboxes réglementaires des États membres, elles, sont repoussées au 2 août 2027.
La raison technique avouée : le CEN-CENELEC JTC 21, l'organisme de normalisation européen, a manqué sa cible d'août 2025 sur les standards harmonisés (Tech Times, mai 2026). Pas de standards = pas d'évaluation de conformité possible. La mécanique normative grippe, le calendrier suit.
Annex III point 4 vs Article 50 : ce qui couvre vraiment ton ATS
Annex III point 4 = emploi. Résumé-screening, ranking ATS, scoring vidéo, classification de candidats. Toute la mécanique qui décide si ton CV passe ou pas. Repoussé au 2 décembre 2027 (IAPP, mai 2026).
Article 50(2) = transparence des contenus générés par IA. Le mail de refus rédigé par GPT, l'évaluation auto-générée, le résumé d'entretien produit par un LLM. Avancé au 2 décembre 2026 (3 mois plus tôt que la version initiale du Digital Omnibus, qui le ciblait à février 2027).
L'asymétrie est piquante : un recruteur qui te répond avec un mail ChatGPT devra le déclarer un an avant que l'ATS qui t'a écarté soit régulé.
Arba Kokalari (EPP, co-rapporteure IMCO) défend le report comme un « pause button on the AI Act » couplé à de la « red tape » en moins (Sofia Globe, juin 2026). Michael McNamara (Renew, LIBE) tient une ligne plus technique : « establishing legal certainty by extending certain timelines while preserving the AI Act's architecture ».
Marilena Raouna, côté Conseil, assume l'angle économique : « reducing recurring administrative costs » pour les entreprises (Computerworld, mai 2026). Traduction côté candidat : moins de friction pour les vendors ATS, plus de friction pour toi.
- ✓Périmètre : résumé-screening, ranking ATS, scoring vidéo, classification candidat
- ✓Régime : haut-risque (évaluation conformité, registre, supervision humaine)
- ✓Date d'application : 2 décembre 2027
- ✓Levier opposable en 2026 : aucun via AI Act — uniquement RGPD
- ✗Périmètre : contenus générés par IA (mail, évaluation, résumé d'entretien)
- ✗Régime : transparence (marquage, déclaration au candidat)
- ✗Date d'application : 2 décembre 2026
- ✗Asymétrie : applicable un an avant l'ATS qui t'a écarté
La carte des 16 mois : août 2026 → décembre 2027
Pendant 16 mois, l'AI Act haut-risque n'est pas opposable aux ATS emploi (Tech Times, mai 2026). Le règlement existe, le calendrier glisse. Pendant ces 16 mois, le RGPD reste ton seul filet.
Et il y a un piège supplémentaire. Le règlement prévoit un mécanisme d'antériorité : les systèmes mis sur le marché avant le 2 août 2027 ne basculent dans l'obligation haut-risque qu'à compter d'une modification substantielle. Un ATS déployé en 2024 peut donc échapper longtemps à la qualification haut-risque.
La « tactique du vide », c'est ça : Bruxelles construit le cadre, les vendors gagnent du temps, et toi tu candidates dans un système non régulé par l'AI Act. Trimestre après trimestre, jusqu'à fin 2027, le seul levier opposable côté candidat reste le RGPD.
Playbook activable AUJOURD'HUI : RGPD art. 15 + art. 22
RGPD article 15 — droit d'accès. Le responsable de traitement doit te livrer, sous un mois, « l'existence d'une prise de décision automatisée (y compris en cas de profilage), le fonctionnement de celle-ci » (CNIL — droit d'accès). Pas une faveur — une obligation légale, sanction CNIL à la clé.
RGPD article 22 — décision entièrement automatisée. La CNIL liste explicitement comme exemple-type : « refus automatique de votre candidature à un emploi déposée en ligne » (CNIL — art. 22). Tu peux exiger la logique, les critères, un réexamen humain, et contester.
Reality check noyb 2026 : sur 121 demandes art. 15 envoyées entre 2018 et 2026, seulement 16,5 % étaient satisfaisantes, 53,7 % incomplètes, et près de 30 % n'ont jamais reçu de réponse (noyb, 2026).
Autrement dit : 83,5 % des demandes RGPD art. 15 sont mal répondues. Prépare ta saisine CNIL en amont, pas en réaction. Le silence du recruteur est statistiquement plus probable que sa réponse.
Lettre-type RGPD-only : différente du courrier AI Act
La nuance qui fait la différence en 2026 : tu ne cites pas l'AI Act. Les obligations Annex III ne sont pas encore exigibles. Si tu invoques un texte non opposable, le DPO te le retournera, et tu perdras l'effet de surprise.
Structure minimale :
- Entête. Identité complète, poste candidaté, date de la candidature, intitulé de la réponse négative reçue (ou son absence).
- Qualification juridique. « Sur le fondement du RGPD art. 15 §1 h) et art. 22 §3, je vous demande communication de : (a) la logique sous-jacente à la décision automatisée, (b) les critères de scoring utilisés, (c) un réexamen humain de ma candidature, (d) la possibilité d'exprimer mon point de vue. »
- Délai. « Délai légal d'un mois à compter de la réception. »
- Escalade. « À défaut de réponse complète, je saisirai la CNIL via le formulaire en ligne. »
Pourquoi ça marche : le DPO sait que le formulaire CNIL est une procédure réelle, traçable, qui mobilise des ressources internes. Le coût asymétrique penche en ta faveur. Et en 2026, c'est la seule porte ouverte — l'AI Act ne l'est pas encore.
Objet : Demande RGPD art. 15 et 22 — candidature [poste] du [date]
Madame, Monsieur,
Sur le fondement du RGPD art. 15 §1 h) et art. 22 §3, je vous demande communication, dans le délai légal d'un mois à compter de la réception, des éléments suivants :
(a) la logique sous-jacente à la décision automatisée appliquée à ma candidature ; (b) les critères de scoring utilisés par votre ATS ; (c) un réexamen humain de ma candidature ; (d) la possibilité d'exprimer mon point de vue avant décision définitive.
À défaut de réponse complète sous un mois, je saisirai la CNIL via le formulaire en ligne.
[Prénom, Nom — signature]
Grandfathering 2 août 2027 : ce qui change pour les ATS déjà déployés
Le règlement IA prévoit un mécanisme d'antériorité. Les systèmes mis sur le marché avant le 2 août 2027 ne basculent dans l'obligation haut-risque qu'à compter d'une « modification substantielle ». En clair : tant que le vendor ATS ne touche pas substantiellement à son moteur, il reste hors champ.
Risque réel : un gel implicite des mises à jour pour éviter la requalification. Pourquoi améliorer ton scoring si la moindre refonte t'oblige à passer évaluation de conformité ?
Implication candidat : ton CV peut être scoré par un système conçu en 2024, déployé en 2025, jamais re-qualifié haut-risque, et qui te recale jusqu'en 2028 et au-delà. Le seul angle ouvert reste le RGPD.
Sur Hacker News, l'utilisateur Yaina résume bien la dynamique communautaire : « It's an attrition game » (HN). Lobbying constant côté Bruxelles, vigilance constante côté société civile. Activer tes droits, c'est refuser de céder par fatigue.
« I like the EU, but what's annoying about things like this, or the Chat Control law that keeps getting pushed, is that civil society and privacy advocacy groups always need to stay vigilant and keep mobilizing people. It's an attrition game. » — fil HN
Questions fréquentes
L'AI Act est-il annulé ?
Non. Il est repoussé. Le Parlement européen a voté le 16 juin 2026 (423/57/174) le report de l'application aux systèmes IA haut-risque emploi (Annex III) du 2 août 2026 au 2 décembre 2027. L'architecture du règlement est préservée, seul le calendrier glisse.
Mon ATS reste-t-il légalement sans cadre pendant 16 mois ?
Non. L'AI Act haut-risque s'efface, mais le RGPD (art. 15, 22) reste pleinement applicable. Tu peux exiger la logique de la décision automatisée et un réexamen humain dès aujourd'hui.
Quelle est la différence entre Article 50 et Annex III ?
Article 50(2) couvre la transparence des contenus générés par IA (mail recruteur écrit par GPT) — applicable au 2 décembre 2026. Annex III point 4 couvre les systèmes d'emploi (ATS, scoring) — repoussé au 2 décembre 2027.
Combien de temps a un recruteur pour répondre à une demande RGPD art. 15 ?
Un mois à compter de la réception, prolongeable de deux mois en cas de complexité. La CNIL peut être saisie en cas de silence.
Quelle est la probabilité d'obtenir une réponse satisfaisante ?
Faible. Selon noyb (2026), sur 121 demandes art. 15 envoyées entre 2018 et 2026, 16,5 % étaient satisfaisantes, 53,7 % incomplètes, près de 30 % sans réponse. Prépare l'escalade CNIL en amont.
Pourquoi ce report ? Lobby ou raison technique ?
Officiellement raison technique : le CEN-CENELEC JTC 21 a manqué sa cible d'août 2025 sur les standards harmonisés. Officieusement, pression industrielle assumée par Marilena Raouna côté Conseil sur la baisse des coûts administratifs récurrents.
Les ATS déployés avant 2027 sont-ils concernés ?
Partiellement. Le règlement prévoit un grandfathering : les systèmes mis sur le marché avant le 2 août 2027 ne basculent en haut-risque qu'à compter d'une modification substantielle. D'où l'importance du levier RGPD.
Puis-je citer l'AI Act dans ma lettre au recruteur en 2026 ?
Non, c'est contre-productif : les obligations haut-risque ne sont pas encore exigibles. Calibre ta lettre exclusivement sur RGPD art. 15 et 22 — c'est le seul socle opposable d'ici décembre 2027.
Et si le recruteur dit « c'est l'IA qui a décidé, pas moi » ?
Réponse RGPD art. 22 §3 : tu as droit à une intervention humaine, à exprimer ton point de vue et à contester la décision. La CNIL liste explicitement le refus automatique de candidature en ligne comme exemple type.
L'article existant Velyq sur les droits candidat AI Act est-il toujours valide ?
Il est mis à jour en parallèle pour refléter la date du 2 décembre 2027. Les 10 droits restent identiques, seul le calendrier d'opposabilité bascule.
Ce qu'on retient
- Vote PE du 16 juin 2026 : 423/57/174 — Annex III emploi repoussé au 2 décembre 2027.
- 16 mois de vide AI Act côté ATS, d'août 2026 à décembre 2027.
- Article 50(2) (watermarking IA générative) reste au 2 décembre 2026 — asymétrie exploitable.
- RGPD art. 15 + 22 = seul levier activable aujourd'hui côté candidat.
- 83,5 % des demandes art. 15 mal répondues (noyb) — prévoir l'escalade CNIL en amont.
- Grandfathering 2 août 2027 = ton ATS 2024 peut rester non-régulé bien après 2028.
- Lettre-type calibrée RGPD-only, jamais AI Act, jusqu'à fin 2027.
Prépare l'entretien que l'ATS ne t'a (peut-être) pas laissé passer. Et audite ton CV avant qu'un scoring 2024 te recale jusqu'en 2028.
À lire aussi
- Droits candidat IA recrutement AI Act : 10 droits + 4 jurisprudences (calendrier 2027)
- Ghosting × EU AI Act repoussé 2027 : la mécanique combinée
- Comment passer le filtre ATS en 2026 : tactiques de scoring
- Procès Workday 2026 : audit biais IA secret
- Monocultures algorithmiques ATS : rejet systémique
