Procès Workday 2026 : audits biais IA restent secrets

TL;DR. Le 29 mai 2026, la magistrate Laurel Beeler (N.D. Cal.) a placé sous privilège avocat-client le bias-testing interne de Candidate Skills Match dans Mobley v. Workday — affaire née de plus de 100 rejets en 7 ans pour Derek Mobley. Côté US, l'audit est secret. Côté FR, RGPD art. 15(1)(h) + 22 et AI Act Annexe III + art. 86 ouvrent 4 leviers concrets contre ton employeur déployeur.

Tu candidates via un ATS Workday. Tu es recalé·e. Tu veux comprendre pourquoi.

Mauvaise nouvelle : depuis le 29 mai 2026, l'audit biais de Workday est officiellement verrouillé côté américain.

Bonne nouvelle : tu n'es pas un·e plaignant·e US. Tu es un·e candidat·e européen·ne. La règle du jeu change.

Question d'amorce : que peux-tu encore obtenir quand le rapport d'audit lui-même est protégé par le privilège avocat-client ?

Mobley v. Workday : ce que la décision du 29 mai 2026 a réellement fermé

Posons le décor procédural. Le 29 mai 2026, la magistrate Laurel Beeler (N.D. Cal.) rend une ordonnance discovery dans Mobley v. Workday. Elle applique le eight-part Ruehle test au bias-testing interne de Candidate Skills Match et conclut : couvert par le privilège avocat-client (McCoy Blog, Josh Gafni, 2026).

Le périmètre est précis. Seul le bias-testing volontaire de Candidate Skills Match tombe sous privilège. Spotlight et Fetch — les deux outils acquis avec HiredScore en 2024 (McCoy, 2026) — ne sont pas couverts au même titre. Spotlight, en particulier, a fait l'objet d'un audit obligatoire au titre de la NYC Local Law 144 en 2023 : cet audit-là reste accessible parce qu'il est réglementairement imposé.

Rappel du contexte. Derek Mobley, plaignant principal, dit avoir été rejeté à plus de 100 reprises sur 7 ans via la plateforme Workday, en raison de son âge, de sa race et de ses handicaps (CNN Business, Clare Duffy, 2025). Le 16 mai 2025, la juge Rita Lin a accordé la certification préliminaire d'une collective action ADEA (Fisher Phillips, Anne Yarovoy Khan, 2025) couvrant tous les candidats US de 40 ans et plus ayant postulé via Workday depuis le 24 septembre 2020.

L'effet de l'ordonnance Beeler : tu n'obtiendras pas les données de test, les seuils ni les métriques de disparate impact internes au vendor par voie de discovery américaine. Cette porte est fermée.

Privilège avocat-client sur un audit : comment ça verrouille

La mécanique est simple. L'audit biais est requalifié de communication confidentielle préparée à la demande d'un avocat, en prévision d'un litige. Couverture par le privilège, inaccessible aux plaignants.

Conséquence pratique pour qui veut prouver une discrimination algorithmique : la preuve se retrouve dans une boîte noire technique (les poids du modèle de scoring) et juridique (le privilège). Double serrure.

Mais lis la suite. Le privilège protège le volontaire. Il ne protège pas l'obligatoire. Tout audit imposé par une loi reste hors privilège : NYC Local Law 144 hier, FRIA AI Act demain, registres Annexe III tous les jours. Garde ce point en tête pour la suite européenne.

Mobley 2026 vs iTutorGroup 2023 : pourquoi le précédent EEOC ne se rejoue pas

Compare deux affaires séparées par trois ans. Septembre 2023 : EEOC v. iTutorGroup. La société paie 365 000 $ et signe un consent decree (EEOC, 2023) après avoir programmé son logiciel pour rejeter automatiquement les candidates de 55 ans et plus et les candidats de 60 ans et plus, bloquant plus de 200 candidats qualifiés (EEOC, 2023).

La différence est clé. iTutorGroup, c'est une règle codée en dur : "si âge ≥ X alors reject". Preuve directe, visible à l'œil nu dès qu'on accède au code de l'application. Pas besoin d'audit statistique pour démontrer la discrimination.

Mobley 2026, c'est l'inverse. La discrimination présumée n'est pas dans une ligne de code visible — elle est distribuée dans les poids d'un modèle de scoring. La seule façon de la mettre en évidence ? Le bias-testing interne. Celui-là même qui vient d'être placé sous privilège.

Leçon brutale : plus l'IA de recrutement est sophistiquée, plus la preuve dépend d'un audit interne — et plus le privilège avocat-client devient un bouclier efficace pour le vendor.

Levier européen n°1 : RGPD art. 15(1)(h) — viser les sorties, pas les poids

Tu n'es pas Derek Mobley. Tu es candidat·e en France. Tu as une autre arme : l'article 15(1)(h) du RGPD.

Ce que l'article couvre : "meaningful information about the logic involved, as well as the significance and the envisaged consequences" du traitement automatisé (RGPD art. 15). Traduction opérationnelle : tu peux exiger les variables d'entrée déclarées, le score sortant, les seuils de décision côté employeur et la trace de la décision individuelle sur ton dossier.

Ce que l'article ne couvre pas : les poids du modèle, le code source, le bias-testing volontaire du vendor. Si tu demandes ça, refus immédiat au titre du secret des affaires — et tu auras grillé une cartouche pour rien.

L'astuce procédurale : adresse ton DSAR à l'employeur déployeur EU, pas à Workday US. DSAR = Data Subject Access Request, ta demande d'accès RGPD aux données qui te concernent. C'est l'employeur français qui est responsable de traitement au sens du RGPD. Le privilège américain lie une procédure américaine ; il ne lie pas un employeur français devant la CNIL.

Leviers européens 2 à 4 : RGPD art. 22, AI Act Annexe III §4(a), Article 86

Trois autres armes cumulables.

Levier 2 — RGPD article 22. Si ton rejet est solely automated (auto-knockout sur score, sans intervention humaine), tu as droit "not to be subject to a decision based solely on automated processing" et tu peux exiger une intervention humaine et contester la décision (RGPD art. 22). C'est le levier classique contre le filtrage opaque silencieux.

Levier 3 — AI Act Annexe III §4(a). L'Annexe III §4(a) qualifie de haut risque les "AI systems intended to be used for the recruitment or selection of natural persons, in particular to … analyse and filter job applications, and to evaluate candidates" (AI Act Annexe III). Workday Recruiting, Candidate Skills Match, Spotlight, Fetch déployés en UE entrent dans la case. Cela déclenche les obligations des Articles 11-15 (documentation technique) et 27 (FRIA pour les déployeurs publics et certains privés).

Levier 4 — AI Act Article 86. Entrée en vigueur : 2 août 2026. À cette date, tout candidat affecté par un système haut risque Annexe III aura le droit d'obtenir du déployeur des "clear and meaningful explanations of the role of the AI system in the decision-making procedure and the main elements of the decision taken" (AI Act art. 86). Opposable au déployeur EU, pas au vendor US.

Quatre leviers. Quatre angles d'attaque. Aucun ne touche au bias-testing privilégié — et c'est précisément ce qui les rend efficaces.

Stratégie candidat FR : séquence opérationnelle en 90 jours

Concrètement, voici la séquence.

J+0 — DSAR RGPD art. 15(1)(h). Mail à l'employeur. Ciblage : logique impliquée, variables, score, seuils, conséquences. Délai légal de réponse : 30 jours, prolongeable de 2 mois pour demande complexe (RGPD art. 12(3)).

J+15 — Activation art. 22(3). Si l'employeur reconnaît un auto-rejet sur score, demande formelle de réexamen humain documenté et de contestation de la décision.

J+30 — Demande FRIA. Si l'employeur est public ou opérateur essentiel, demande l'accès à la Fundamental Rights Impact Assessment au titre de l'art. 27 de l'AI Act.

J+60 puis J+90 — Article 86. À partir du 2 août 2026, demande formelle d'explication écrite sur le rôle du système d'IA dans ta décision et les éléments principaux retenus. C'est le levier qui te donne, en théorie, la matière qualitative la plus dense.

Une fois cette séquence ouverte, prépare ton dossier candidat en parallèle : la qualité du DSAR dépend aussi de ce que tu as documenté côté CV avant de postuler.

Questions fréquentes

Le jugement Mobley s'applique-t-il à un candidat français ?

Non sur le fond procédural — l'ordonnance est une décision américaine. Mais oui comme précédent indicatif : tu n'obtiendras pas le bias-testing US par discovery. C'est ce qui justifie de basculer immédiatement sur RGPD + AI Act, opposables à ton employeur déployeur FR.

Qu'a exactement décidé la magistrate Beeler le 29 mai 2026 ?

Elle a appliqué le Ruehle test en 8 critères au bias-testing interne de Candidate Skills Match et conclu qu'il était couvert par le privilège avocat-client (McCoy Blog, Josh Gafni, 2026).

Les 3 outils Workday cités sont-ils tous protégés ?

Non. Seul le bias-testing volontaire de Candidate Skills Match l'est. Spotlight et Fetch sont arrivés via l'acquisition HiredScore en 2024 — Spotlight, soumis à un audit NYC Local Law 144 obligatoire en 2023, reste accessible sur ce périmètre.

Quelle différence avec iTutorGroup 2023 ?

iTutorGroup avait codé en dur le rejet des candidates 55+ et candidats 60+ : preuve directe, settlement EEOC à 365 000 $, plus de 200 candidats US qualifiés bloqués. Mobley attaque un scoring probabiliste — démontrable uniquement via un audit interne désormais verrouillé.

Puis-je demander les poids du modèle Workday via RGPD art. 15 ?

Non. L'art. 15(1)(h) couvre la logique impliquée au sens fonctionnel : variables, score, conséquences. Pas le code ni les poids (secret des affaires).

L'AI Act Article 86 est-il déjà applicable en juin 2026 ?

Non. Entrée en vigueur le 2 août 2026. À partir de cette date, tout déployeur EU d'un système Annexe III §4(a) — donc tout ATS de recrutement — doit fournir une explication claire et significative au candidat qui en fait la demande.

Mon employeur FR peut-il invoquer le privilège US pour refuser des infos ?

Non. Le privilège lie la procédure US. En France, l'employeur déployeur est responsable au titre du RGPD et de l'AI Act, indépendamment du vendor américain.

Que faire si le rejet n'est pas solely automated ?

L'art. 22 ne joue pas, mais l'art. 15(1)(h), l'AI Act Annexe III §4(a) et l'art. 86 restent activables. La qualification haut risque suffit à ouvrir ces leviers.

Combien de temps a l'employeur pour répondre à un DSAR ?

30 jours, prolongeables de 2 mois si la demande est complexe (RGPD art. 12(3)). Garde l'accusé de réception — il sert pour saisir la CNIL en cas de silence.

La collective ADEA de Mobley couvre-t-elle les candidats EU ?

Non. La certification du 16 mai 2025 ne couvre que les candidats US de 40 ans et plus ayant postulé via Workday depuis le 24 septembre 2020 (Fisher Phillips, 2025).

Ce qu'on retient

1. Le 29 mai 2026, le bias-testing US de Candidate Skills Match est passé sous privilège avocat-client : oublie la discovery côté Workday.
2. Le précédent iTutorGroup 2023 (365 000 $, plus de 200 candidats) ne se rejoue pas : le scoring probabiliste verrouille la preuve directe.
3. RGPD art. 15(1)(h) vise les sorties du modèle, jamais les poids — c'est ce qui le rend recevable.
4. RGPD art. 15(1)(h) + art. 22 + AI Act Annexe III §4(a) + Article 86 (2 août 2026) = quatre leviers cumulables côté déployeur EU.
5. Cible toujours l'employeur français, jamais Workday US : c'est lui le responsable au sens AI Act.
6. La séquence DSAR → art. 22 → FRIA → art. 86 tient en 90 jours.
7. Le privilège protège l'audit volontaire, jamais l'audit réglementaire : NYC LL 144, FRIA, registres Annexe III restent ouverts.

Quand l'ATS t'a déjà filtré sans explication, simule l'entretien que tu n'as pas eu pour préparer la suite — pendant que ta séquence DSAR tourne en parallèle.

À lire aussi

• Droits du candidat face à l'IA de recrutement sous AI Act
• Monocultures algorithmiques ATS : le rejet systémique
• Ghosting et AI Act repoussé à 2027 : ce qui change
• Greenhouse MCP : les agents IA dans l'ATS en 2026