Conformité du recrutement par IA · Biais multi-juridictionnels & accessibilité
En avril 2026, le DRH ou le directeur juridique qui exploite des AEDT à New York, dans le Colorado, l'Illinois, le Texas, la Californie ou l'UE se trouve dans une fenêtre réglementaire pour laquelle la plupart de ses fournisseurs n'ont pas été conçus. La loi HB 3773 de l'Illinois est entrée en vigueur le 1er janvier. La loi TRAIGA du Texas est entrée en vigueur le 1er janvier. Les amendements ADS à la FEHA de Californie sont entrés en vigueur en octobre dernier. La loi SB 24-205 du Colorado prend effet le 30 juin. Le règlement européen sur l'IA traite le recrutement comme à haut risque à compter du 2 août. Le contrôleur de l'État de New York vient de publier, en décembre 2025, un audit constatant 17 infractions à la LL144 là où le DCWP n'en avait trouvé qu'une, et le DCWP a accepté de passer à une application proactive. L'affaire Mobley v. Workday est en phase d'instruction. L'affaire Kistler v. Eightfold pose la question de savoir si les plateformes de recrutement par IA sont des agences d'évaluation du consommateur au sens de la FCRA. Cette page existe parce qu'aucun fournisseur de votre liste restreinte ne peut répondre honnêtement à tout cela pour vous.
17 contre 1
infractions à la LL144 relevées par les auditeurs de l'État de New York contre le DCWP dans le même échantillon de 32 entreprises
Contrôleur de l'État de New York, 2 déc. 2025
4,6 %
des 391 employeurs new-yorkais avaient publié un audit de biais — le constat de « conformité nulle »
Cornell / Data & Society / Consumer Reports, FAccT 2024
64 M
dossiers de candidats exposés lorsqu'un compte administrateur McHire / Paradox utilisait le mot de passe « 123456 »
Divulgation Carroll & Curry, 30 juin 2025
Trois de ces événements sont déjà en vigueur. Deux deviennent brûlants avant la fin de l'été. Deux font l'objet de contentieux actifs. Aucun n'attend votre cycle de conformité annuel.
Les employeurs doivent conserver les entrées, sorties, résultats des tests de biais et critères de sélection des ADS pendant au moins quatre ans. La responsabilité s'attache aux pratiques d'emploi discriminatoires causées par un ADS, intentionnelles ou non. S'applique à tout employeur recrutant en Californie, quel que soit l'emplacement de son siège.
Interdit l'utilisation d'une IA ayant un effet discriminatoire sur le recrutement, l'embauche, la promotion, la discipline ou le licenciement. Interdit explicitement les codes postaux comme indicateurs indirects de classes protégées. Notification obligatoire chaque fois que l'IA est utilisée pour « influencer ou faciliter » une décision d'emploi. Application assurée par l'Illinois Department of Human Rights, qui a publié un projet de règles de notification fin 2025.
Interdit la discrimination intentionnelle via l'IA. Le Texas a explicitement rejeté l'impact disparate comme théorie autonome, s'écartant des cadres de la LL144 et du Colorado. Application exclusivement assurée par le procureur général du Texas. Les contrevenants reçoivent une notification et un délai de régularisation de 60 jours ; les sanctions vont de 12 000 $ pour les infractions régularisables à 200 000 $ pour celles qui ne le sont pas.
Les auditeurs de l'État ont relevé 17 infractions potentielles à la LL144 dans le même échantillon de 32 entreprises où le DCWP n'en avait trouvé qu'une. 75 % des 311 appels de plaintes relatives aux AEDT ont été mal aiguillés. Le DCWP a admis manquer de l'expertise technique pour évaluer les AEDT et a accepté d'adopter une application proactive. La structure des sanctions reste inchangée : jusqu'à 1 500 $ par jour et par infraction. La « conformité nulle » — auto-classer son outil hors champ — n'est plus une posture défendable à New York.
La juge Rita F. Lin a rejeté la requête de Workday en irrecevabilité, jugeant qu'un fournisseur de recrutement par IA peut être directement responsable en tant qu'« agent » des employeurs lorsque son outil participe à la prise de décision en recommandant ou en filtrant des candidats. La certification collective préliminaire a été accordée le 16 mai 2025 ; la fenêtre d'adhésion (opt-in) pour les candidats de plus de 40 ans s'est refermée le 7 mars 2026. Le tribunal a ensuite ordonné à Workday de produire une liste exhaustive des employeurs ayant activé HiredScore Spotlight et Fetch, rejetant la tentative de Workday d'exclure du recours collectif les produits acquis après l'acquisition.
Premier test de la question de savoir si les plateformes de recrutement par IA sont des « agences d'évaluation du consommateur » au sens de la FCRA. Les plaignants allèguent qu'Eightfold a extrait des données de LinkedIn, GitHub, Stack Overflow et de bases de données publiques, a constitué des dossiers de candidats à partir de « plus de 1,5 milliard de points de données mondiaux » et a produit un score de « probabilité de succès » de 0 à 5 sans certification, notification, divulgation, autorisation ni processus de contestation du candidat. Si le tribunal juge qu'Eightfold est une CRA, chaque plateforme similaire doit à chaque candidat noté un avis d'action défavorable et un dispositif de contestation. Les dommages-intérêts légaux prévus par la FCRA sont de 100 à 1 000 $ par consommateur et par infraction.
Le gouverneur Polis a signé la loi de report le 28 août 2025, déplaçant la date d'entrée en vigueur du 1er février au 30 juin 2026. Les déployeurs doivent adopter un programme de gestion des risques, réaliser des évaluations d'impact initiales et annuelles, émettre des avis pré-décision et de décision défavorable aux consommateurs, et publier des divulgations sur leur site web. Le procureur général du Colorado détient l'autorité d'application exclusive. La défense par présomption réfragable exige une diligence raisonnable documentée.
Le recrutement, le tri, le ciblage des offres d'emploi, le filtrage des candidatures et l'évaluation des candidats relèvent tous du haut risque de l'annexe III. D'ici le 2 août 2026, les fournisseurs doivent réaliser des évaluations de conformité, publier la documentation technique (art. 11 / annexe IV), mettre en œuvre un programme de gouvernance des données (art. 10), garantir une supervision humaine (art. 14), s'enregistrer dans la base de données de l'UE et apposer le marquage CE. Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les infractions aux pratiques interdites, 15 M€ ou 3 % pour les obligations à haut risque. La proposition de Digital Omnibus de fin 2025 pourrait reporter l'annexe III à décembre 2027, mais ce report n'a pas été adopté et une conformité prudente considère le 2 août comme contraignant.
Le tableau ci-dessous n'est pas un guide d'achat. C'est une cartographie de la position de chaque plateforme par rapport au régime juridique actuel, et de ce que cela signifie pour un DRH qui doit renouveler ou remplacer un contrat en 2026. Nous sommes neutres vis-à-vis des fournisseurs et n'avons aucune relation commerciale avec les entreprises listées ici.
| Fournisseur / Produit | Posture réglementaire actuelle | L'écart honnête qui incombe au DRH |
|---|---|---|
| Workday + HiredScore (Spotlight, Fetch) | A publié une analyse tierce de Secretariat ; livre des configurations d'audit LL144 ; se défend activement dans Mobley | La juge Lin a rejeté la tentative de Workday d'exclure HiredScore du recours collectif. Si un client a déployé Spotlight pendant la période du recours, le nom de ce client figure sur la liste ordonnée par le tribunal. |
| Eightfold AI (Match) | Publie une documentation d'audit de biais ; ses clients entreprise incluent Microsoft, Morgan Stanley | Défendeur nommé dans Kistler. Si la théorie FCRA résiste, chaque client ayant utilisé la notation Match pourrait devoir rétroactivement aux candidats des avis d'action défavorable. |
| HireVue | A abandonné l'analyse de codage facial en janvier 2021 ; a pivoté vers des évaluations structurées texte-et-vidéo | Nommé dans la plainte de l'ACLU de mars 2025 (D.K. v. Intuit/HireVue) sur le fondement de l'ADA, du Title VII et du Colorado Anti-Discrimination Act. Le PDG de HireVue nie que l'évaluation par IA ait été utilisée ; le pipeline ASR lui-même reste sujet au problème disparate de WER documenté dans la recherche sur l'accessibilité. |
| Paradox (Olivia) | Aucune différenciation spécifique en matière de conformité ; correctifs réactifs | A exposé 64 M de dossiers en juin 2025 parce qu'un compte de test administrateur de 2019 utilisait 123456 comme mot de passe. La cause racine était la configuration, non le ML. Votre DPO et votre RSSI doivent être présents à chaque conversation de renouvellement. |
| Pymetrics / Harver | Évaluation par jeu avec un historique public d'audits de biais | Toujours sujet à la théorie ADA dans la plainte FTC de l'ACLU contre Aon/Cangrade : les instruments de traits de personnalité qui reflètent des critères de diagnostic clinique fonctionnent comme des dépistages de handicap. |
| iCIMS, Greenhouse, Lever, SmartRecruiters, Ashby | Couche ATS — certains exportent des rapports de biais LL144 ; généralement pas défendeurs nommés | L'ATS est un entrepôt de données, pas un AEDT en soi. La question de conformité porte sur le module de notation ou de classement que vos recruteurs ont activé, que le fournisseur de l'ATS n'audite pas pour vous. |
| FairNow, Holistic AI, Credo AI, Warden AI, Fairly AI | Plateformes de gouvernance et outillage d'audit ; certaines spécialisées LL144 | Une plateforme vous indique à quoi ressemblent vos métriques. Elle ne remplace pas la diligence raisonnable sur les fournisseurs, elle n'audite pas l'accessibilité séparément de l'impact défavorable, et elle ne réconcilie pas les régimes contradictoires. Surtout utile comme tableau de bord une fois la stratégie définie. |
| DCI Consulting, ORCAA, Secretariat | Auditeurs LL144 indépendants reconnus légalement ; environ 50 000 à 200 000 $ par système et par an | Référence absolue pour l'instantané annuel qu'exige la LL144. Non continu, non transjuridictionnel, et non conçu pour réécrire l'architecture de votre AEDT. |
| Deloitte, KPMG, EY, PwC Pratiques IA | Branches de conseil dotées de relations en droit du travail et d'une crédibilité d'audit | Les missions démarrent généralement à 500 000 $ et atteignent 2 M$+. Solides sur les livrables de gouvernance, faibles sur la livraison de code fonctionnel. Bonne réponse pour une Fortune 50 au budget illimité, mauvaise réponse pour un DRH du marché intermédiaire ayant un trimestre pour se mettre en conformité. |
La réponse honnête est que Deloitte, KPMG, EY et PwC sont le bon choix si vous avez besoin d'un rapport de gouvernance prêt pour le conseil d'administration et que le montant de la facture vous est égal. Leur méthodologie est solide, leur marque vous protège politiquement, et leurs relations réglementaires sont réelles. Ils sont le mauvais choix lorsque le problème sous-jacent est un réseau de neurones produisant des scores de 0 à 5 sur 2 M de candidats par trimestre, que votre échéance est dans douze semaines, et que vous avez besoin de quelqu'un qui s'assoira avec votre équipe ML pour réécrire les pipelines d'ingénierie des caractéristiques. Les grands cabinets sous-traitent ce travail ; les petits cabinets spécialisés le font directement. Nous facturons une fraction du coût d'une mission d'audit du Big 4 parce que nous ne finançons pas une tour de bureaux, et nous livrons du code fonctionnel plutôt qu'un deck de 200 slides. Si vous avez besoin du deck, engagez le Big 4. Si vous avez besoin du code, continuez à lire.
Un audit de biais qui satisfait la LL144 de New York ne satisfait pas le Colorado. Un audit qui satisfait le Colorado ne satisfait pas le règlement européen sur l'IA. Certaines exigences sont techniquement incompatibles. Ce n'est pas un défaut de conception que le marché corrigera — c'est l'environnement juridique dans lequel vous vous engagez.
La LL144 exige des ratios d'impact intersectionnels calculés selon race × sexe pour chaque étape de sélection. La norme de « diligence raisonnable » du Colorado dans la SB 24-205 ne précise pas de méthodologie, et l'Illinois Human Rights Act se concentre sur l'effet discriminatoire sans prescrire de test statistique. Mener un audit universel unique produit des sorties trop grossières pour la LL144 et trop détaillées pour être reconnues comme l'évaluation d'impact spécifique au Colorado. Chaque juridiction obtient un livrable de forme différente, ou chacune échoue selon ses propres termes.
La loi HB 3773 de l'Illinois interdit explicitement l'utilisation des codes postaux comme indicateurs indirects de classes protégées. L'article 10(3) du règlement européen sur l'IA exige que les données d'entraînement soient « pertinentes, représentatives et, dans toute la mesure du possible, exemptes d'erreurs et complètes » — ce qui implique généralement d'inclure des caractéristiques géographiques pour éviter les lacunes de couverture régionale. Supprimez les codes postaux et vous échouez à l'audit de représentativité de l'UE ; conservez-les et vous violez la loi de l'Illinois. La réponse pratique est une caractéristique de résidence explicite avec une granularité géographique plus grossière pour les données d'entraînement de l'UE et un masquage géographique complet pour l'inférence en Illinois — ce qui nécessite deux configurations de déploiement du même modèle, et non une seule.
Sous la LL144, l'employeur détermine lui-même si un outil « assiste substantiellement » une décision d'embauche. Sous Mobley, le fournisseur est directement responsable lorsque son outil recommande ou filtre des candidats, indépendamment de ce que l'employeur affirme. Une note d'auto-classification de 2024 affirmant « notre déploiement de Workday Spotlight n'est pas un AEDT » est désormais la pièce A des plaignants. La seule posture défendable consiste à traiter tout outil de notation, de classement, de filtrage ou d'aiguillage comme étant dans le champ et à documenter en conséquence.
La TRAIGA du Texas est la première loi d'État à rejeter explicitement l'impact disparate comme fondement autonome de responsabilité pour le recrutement par IA. Cela ne signifie pas que les employeurs du Texas sont à l'abri — les recours fédéraux au titre du Title VII et du Texas Commission on Human Rights Act s'appliquent toujours — mais cela signifie que le livrable de conformité TRAIGA est axé sur l'intention plutôt que sur les statistiques. Une analyse fédérale d'impact défavorable au titre du Title VII, un rapport des quatre cinquièmes LL144 et une évaluation d'intention TRAIGA sont trois missions distinctes avec trois normes de preuve distinctes.
Kistler v. Eightfold n'est pas une affaire d'impact défavorable. Le cadre de la FCRA demande si la plateforme fonctionne comme une agence d'évaluation du consommateur, indépendamment de l'équité de ses scores. Une plateforme parfaitement non biaisée peut tout de même devoir à chaque candidat noté un avis pré-action défavorable, une copie du « rapport » et une voie de contestation. Les audits de biais ne produisent aucun de ces artefacts. Un acheteur n'optimisant que pour la conformité LL144 et Colorado peut tout de même être défendeur dans un recours collectif parce que la question FCRA n'a jamais été posée.
La LL144 n'exige pas de test d'impact sur le handicap. Le Colorado l'exige au titre de la norme générale de « diligence raisonnable » mais ne précise pas de méthodologie. La plainte de l'ACLU au nom d'une salariée autochtone sourde (D.K. v. Intuit / HireVue) soutient que les entretiens vidéo pilotés par ASR désavantagent de manière disparate les personnes dont les schémas d'élocution étaient sous-représentés dans les données d'entraînement. Le problème technique sous-jacent est mesurable : la recherche publiée montre que le WER moyen multilingue de Whisper est environ trois fois supérieur à son WER en anglais, et l'équipe gagnante du Speech Accessibility Project Challenge d'Interspeech 2025 a atteint un WER de 8,11 % sur la parole atteinte d'un trouble — encore plusieurs multiples des références standard. Les audits de biais qui ne suivent que la race et le sexe ne feront pas apparaître cela, et une entreprise qui réussit la LL144 peut tout de même faire face à une plainte ADA.
La violation Paradox / McHire a exposé 64 M de dossiers de candidats parce qu'un compte de test administrateur de 2019 était toujours actif avec 123456 à la fois comme nom d'utilisateur et mot de passe, sans MFA, et avec une faille IDOR dans une API interne. Rien de tout cela n'avait quoi que ce soit à voir avec le ML. Tout cela incombe désormais au DRH, car les données de candidats exposées via un outil de recrutement restent des données de recrutement, soumises à la notification de violation du RGPD, au droit d'action privé de la CCPA, et à la perte de base légale pour le traitement continu. La diligence raisonnable sur les outils de recrutement par IA doit couvrir l'hygiène des identifiants, les limites d'autorisation des API et les audits de mots de passe par défaut — ce que ne vous dit pas une attestation SOC 2 standard.
Ce sont des missions de conseil, pas des produits. Chacune est sur mesure. Ce qui nous rend utiles, c'est que nous écrivons du code et que nous siégeons à vos réunions de fournisseurs. Nous sommes neutres vis-à-vis des fournisseurs : nous ne revendons pas de technologie RH, et nous vous dirons quand votre déploiement Workday ou Eightfold est défendable tel quel.
Nous recensons chaque outil qui touche à une décision d'embauche — modules ATS, moteurs de notation, robots de planification, intervieweurs vidéo, API de vérification de références, intégrations de vérification d'antécédents, l'IA native de LinkedIn Recruiter, tout ce qui fait remonter ou cache des candidats. Pour chaque outil, nous le classons au regard de la définition « assiste substantiellement » de la LL144, de la distinction déployeur/développeur du Colorado, du test « influencer ou faciliter » de l'Illinois, du test d'intention uniquement du Texas, et de la classification à haut risque de l'annexe III de l'UE. Le résultat est un registre AEDT qui tient face à une enquête réglementaire et une liste de fournisseurs qui indique au service juridique quels contrats doivent être amendés.
Livrable : registre AEDT, matrice d'exposition juridictionnelle, liste d'amendements de contrats fournisseurs, file de priorisation des remédiations.
Nous menons l'analyse complète des quatre cinquièmes au niveau intersectionnel qu'exige la LL144, calculons l'évaluation d'impact « diligence raisonnable » du Colorado dans le format vers lequel s'oriente le projet de règles du procureur général du CO, générons les artefacts de notification de l'Illinois, et produisons la documentation de gouvernance des données au titre de l'article 10 du règlement européen sur l'IA. Là où les régimes entrent en conflit, nous rédigeons une note indiquant exactement où et pourquoi, et nous formulons la recommandation de stratégie juridique (pour quel régime vous optimisez, sur lequel vous acceptez l'exposition, quelle est réellement l'ampleur de cette exposition). Nous ne sommes pas un auditeur indépendant au sens de la LL144 — ce rôle revient à DCI, ORCAA ou Secretariat — mais nous amenons votre système dans l'état où l'audit indépendant ne trouve rien qui mérite d'être signalé.
Livrable : rapport intersectionnel LL144, évaluation d'impact Colorado, modèle de notification Illinois, dossier de documentation UE art. 10/11, note sur les conflits.
Nous traitons cela comme une discipline distincte parce qu'aucun cadre d'audit de biais ne le couvre. Nous comparons votre pipeline ASR d'entretien vidéo au corpus du Speech Accessibility Project et aux disparités de WER publiées pour les locuteurs sourds, malentendants et à accent. Nous évaluons les instruments de personnalité au regard de la théorie Aon de l'ACLU : si les questions reflètent des critères de diagnostic clinique, elles fonctionnent comme un dépistage de handicap au sens de l'ADA. Nous concevons le parcours d'escalade avec intervention humaine pour les candidats qui déclarent un besoin d'aménagement, y compris un SLA de prestataire CART qui ne laisse pas les candidats attendre 72 heures. C'est ici que commence une plainte de l'ACLU ou une enquête ADA du DOJ, aussi le documentons-nous selon la norme de preuve qu'exigent ces procédures.
Livrable : rapport sur les disparités de WER de l'ASR, examen ADA des instruments de personnalité, spécification du flux d'aménagement, modèle de SLA de prestataire CART.
Nous évaluons si vos fournisseurs de recrutement par IA correspondent au schéma factuel que poursuivent les plaignants Kistler : extraction de données tierces, constitution de profils de candidats, production de scores numériques, et utilisation de ces scores pour filtrer. Là où le schéma s'applique, nous construisons le pipeline d'avis d'action défavorable FCRA, le flux de contestation côté candidat, le journal de provenance des données qui montre quelles informations ont servi à un score, et le calendrier de résolution des litiges que votre directeur juridique peut défendre devant un tribunal. Si le tribunal de Kistler juge qu'Eightfold est une CRA, vous êtes prêt dès le premier jour. Si ce n'est pas le cas, vous disposez d'une expérience candidat dont votre équipe DEI vous remerciera de toute façon.
Livrable : note sur l'applicabilité de la FCRA, modèles d'avis d'action défavorable, spécification du portail de contestation candidat, architecture de journalisation de la provenance des données.
Après McHire, une attestation SOC 2 ne suffit pas. Nous effectuons un examen de sécurité tenant compte de l'IA sur chaque fournisseur de technologie RH de votre stack : identifiants par défaut, application du MFA sur les comptes administrateurs, limites d'autorisation des API (en particulier les bogues de classe IDOR comme celui qui a exposé 64 M de dossiers), conservation des transcriptions de chat des candidats, durcissement contre l'injection de prompt sur les interfaces conversationnelles, et résidence des données pour l'analyse de la base légale au titre du RGPD. Le livrable est une note de risque fournisseur que le RSSI peut cosigner et un avenant contractuel que votre équipe achats peut joindre à chaque renouvellement.
Livrable : note de risque fournisseur, résultats des tests IDOR / limites d'autorisation, avenant de sécurité contractuel, mise à jour de la DPIA pour le RGPD.
Lorsque l'audit révèle un outil qui ne peut être rendu conforme sans modifier le modèle, nous avons deux options. Option un : le remplacer par une architecture en boîte de verre que nous construisons — un appariement de compétences par graphe de connaissances ou un moteur de règles symboliques sous contrainte où chaque décision se trace jusqu'à un nœud auditable plutôt qu'à un poids en virgule flottante. Option deux : superposer une couche de conformité par-dessus le fournisseur existant, interceptant les scores, appliquant des ajustements spécifiques à chaque juridiction, et générant une piste d'audit indépendante qui survit à l'instruction. Nous ne repartons pas de zéro sauf si l'alternative est réellement pire ; la plupart du temps, une couche étroite résout le problème.
Livrable : note sur les options de remédiation, prototype ou code de couche de surcharge, spécification d'intégration pour l'ATS existant.
Nous ne vendons pas d'abonnements. Chaque phase ci-dessous constitue son propre énoncé de travail avec son propre livrable. Des clients s'arrêtent après la phase 1 et en sont satisfaits ; d'autres poursuivent jusqu'à la remédiation architecturale. Aucune phase ne dépend de l'engagement dans la suivante.
Nous observons un cycle de recrutement complet, recensons chaque AEDT, cartographions vos juridictions d'exploitation, et produisons une note d'exposition qui indique quels régimes s'appliquent et où vous êtes actuellement en non-conformité. Sessions de travail avec les RH, le Juridique, les Achats et la Sécurité informatique. Forfait. État final : votre directeur juridique peut entrer dans une réunion du conseil avec une liste numérotée.
Le travail statistique proprement dit. Tableaux d'impact défavorable intersectionnels, évaluation d'impact Colorado, artefacts de notification Illinois, documentation UE art. 10/11, note sur l'applicabilité de la FCRA, références de WER de l'ASR. Nous produisons le dossier pré-audit que l'auditeur LL144 indépendant de votre choix (DCI, ORCAA, Secretariat) acceptera sans le réécrire. Nous identifions les conflits irréconciliables et rédigeons la note de stratégie juridique qui indique à la direction quelles expositions elle accepte en connaissance de cause.
Pour chaque fournisseur nommé, nous réalisons un examen de sécurité tenant compte de l'IA, examinons les DPA au regard des sept zones de collision, et rédigeons les avenants contractuels que votre équipe achats joindra au renouvellement. Pour les clients Workday / HiredScore, nous examinons spécifiquement l'exposition Mobley et documentons en quoi votre déploiement diverge du schéma factuel. Pour les clients Eightfold, nous signalons le risque Kistler et recommandons des mesures d'atténuation provisoires.
Uniquement si nécessaire. Une couche de surcharge qui intercepte les scores avant qu'ils n'atteignent l'écran d'un recruteur, un portail de contestation côté candidat intégré à votre ATS, un appariement de compétences par graphe de connaissances pour la seule famille de postes où le fournisseur existant ne peut pas passer. Nous construisons, nous remettons le code, nous le documentons pour votre équipe d'ingénierie. Mission typique : un à trois trimestres.
Nous vous aidons à mettre en place une surveillance continue par-dessus une plateforme de gouvernance que vous possédez déjà ou que vous avez choisie (FairNow, Holistic AI, Credo AI conviennent toutes pour cela ; nous n'en revendons aucune). Nous formons votre équipe interne à interpréter les tableaux de bord dans le langage qu'utilise chaque régulateur. Puis nous nous retirons.
Sur les délais et l'honnêteté : Une entreprise qui n'a pas touché à cela depuis 2024 ne peut pas être pleinement conforme aux six régimes d'ici le 2 août 2026. Nous vous indiquerons exactement quelles expositions subsistent, rédigerons la note, et vous aiderons à prendre une décision de stratégie juridique éclairée sur ce que vous acceptez. L'alternative — revendiquer une couverture complète à une date qui n'était jamais réalisable — crée précisément le dossier de « mauvaise foi » que recherchent les régulateurs et les plaignants.
Indiquez où vous recrutez et ce que vous utilisez. L'outil calcule quels régimes s'appliquent, lesquels de vos fournisseurs ont un contentieux en cours ou une exposition réglementaire, et quel est l'ordre de priorité de la remédiation. Rien n'est envoyé nulle part — cela s'exécute entièrement dans votre navigateur. Utilisez le résultat lors de votre prochaine réunion de conformité, que vous nous engagiez ou non.
Formulées telle que les clients les formulent réellement lors du premier appel, non retouchées pour le site web.
Pas des audits distincts, mais des livrables distincts issus d'un seul audit bien conçu. Le travail statistique sous-jacent — ratios d'impact défavorable, analyse intersectionnelle, attributions de caractéristiques — est commun. La mise en forme et ce qui est calculé ne le sont pas. La LL144 exige des ratios d'impact intersectionnels race-par-sexe et un résumé publiquement affiché dans un format spécifique. Le Colorado veut une évaluation d'impact documentée dans le cadre d'un programme de gestion des risques, sans exigence explicite des quatre cinquièmes. L'Illinois a besoin d'un artefact de notification et d'une documentation des variables indirectes. L'UE veut des registres de gouvernance des données au titre de l'art. 10 et une documentation technique au titre de l'art. 11, ce qui est bien plus profond que tout cadre américain. Un auditeur unique menant un audit LL144 « universel » et le déclarant valable pour le Colorado vous donne quelque chose qu'un régulateur rejettera. Une seule mission d'audit produit quatre ou cinq livrables de formes différentes si elle est conçue correctement. Nous concevons les missions ainsi ; la plupart des fournisseurs d'audit généralistes ne le font pas.
Vous pouvez l'être ou non. Le recours collectif ayant reçu une certification préliminaire en mai 2025 couvre les candidats à l'emploi de 40 ans et plus qui ont été écartés par un client de Workday utilisant les outils de Workday. La juge Lin a ensuite rejeté la tentative de Workday d'exclure HiredScore Spotlight et Fetch du recours collectif, même si ces produits ont été acquis après le dépôt de la plainte, et a ordonné à Workday de produire une liste exhaustive des employeurs ayant activé les fonctionnalités HiredScore. La fenêtre d'adhésion (opt-in) pour les candidats de plus de 40 ans s'est refermée le 7 mars 2026, ce qui signifie que l'instruction se poursuit désormais sur les membres identifiés du recours. Vos actions immédiates sont : extraire l'historique de déploiement de votre HiredScore avec les dates, identifier les postes et zones géographiques où Spotlight ou Fetch ont filtré des candidats, conserver toutes les données au niveau candidat de cette période, et documenter le point de contrôle de revue humaine s'il y en avait un. Une défense « c'est le fournisseur qui s'en est occupé » est exactement ce que la décision sur l'« agent » de la juge Lin a été conçue pour défaire. Plus tôt votre directeur juridique disposera d'une note factuelle, meilleure sera votre posture lorsque l'avocat des plaignants prendra contact.
Les auditeurs indépendants reconnus au titre de la LL144 — principalement DCI Consulting, ORCAA, Secretariat, et une poignée de cabinets plus petits — facturent généralement de 50 000 à 200 000 $ par AEDT et par an selon le volume de données, la disponibilité des données démographiques, et la complexité du flux de sélection. Le délai entre la disponibilité des données et l'audit signé est de 15 à 20 jours ouvrés une fois que l'auditeur a tout ce dont il a besoin. La phase « atteindre la disponibilité des données » est celle où disparaît le plus de temps, et c'est ce que nous faisons : pipeline de données, choix de la méthode d'imputation démographique, regroupement intersectionnel, calcul du taux de sélection, mise en forme des artefacts. Un auditeur qui reçoit de notre part un dossier pré-audit propre peut donner son aval dans les 15 à 20 jours affichés ; un auditeur qui doit nettoyer vos données lui-même facturera dans le haut de la fourchette et prendra plus de temps. Nous ne sommes pas un auditeur indépendant — nous ne pouvons pas signer le livrable LL144 final, par conception — mais nous sommes la raison pour laquelle l'audit que signe votre auditeur indépendant est propre.
Non. Le règlement européen sur l'IA est le régime le plus exigeant en matière de documentation, de gouvernance des données et de supervision humaine, mais il n'exige pas les ratios d'impact défavorable intersectionnels spécifiques qu'exige la LL144, et il ne produit pas le format d'évaluation d'impact du Colorado qu'envisage le projet de règles du procureur général du CO. La conformité UE est nécessaire mais non suffisante pour la conformité aux États américains. Dans l'autre sens, la conformité LL144 ne vous met pas à portée du niveau de l'UE — la LL144 est essentiellement un audit statistique étroit et un résumé affiché, alors que le règlement européen sur l'IA veut un système complet de management de la qualité (art. 17), une évaluation de conformité, un dossier de documentation technique, une surveillance après commercialisation et le marquage CE. Si votre empreinte est à la fois américaine et européenne, prévoyez deux chantiers. Les zones de conflit où l'exigence d'un régime viole celle d'un autre (le code postal étant l'exemple le plus clair) sont réelles et nécessitent une décision de stratégie juridique, et non une décision d'ingénierie.
Vous vous défendez avec un examen distinct du pipeline ADA, que la plupart des fournisseurs d'audit de biais ne proposent pas parce qu'il s'agit d'une théorie juridique différente et d'une base de preuve différente. Pour les outils d'entretien vidéo, cela signifie comparer votre composant ASR au corpus du Speech Accessibility Project et à des jeux de test similaires de locuteurs sourds, malentendants et à accent anglais. Les disparités publiées sont importantes : l'équipe gagnante du SAP Challenge 2025 a atteint un WER de 8,11 % sur la parole atteinte d'un trouble, ce qui reste plusieurs multiples du WER de référence pour l'anglais standard, et la performance multilingue de Whisper est en moyenne environ 3 fois pire que sa performance en anglais. Pour les évaluations de personnalité et par jeu, la question est de savoir si l'instrument reflète des critères de diagnostic clinique — la théorie de la plainte FTC contre Aon de l'ACLU. Pour l'expérience candidat, vous avez besoin d'un flux d'aménagement qui ne laisse pas un candidat sourd attendre 72 heures un support CART humain, car « le processus était disponible » n'est pas une défense lorsque le processus exige du candidat qu'il sache devoir le demander. La plainte D.K. v. Intuit/HireVue est le modèle que l'avocat des plaignants utilise actuellement ; lisez-la et alignez vos contrôles sur chaque allégation spécifique, car c'est exactement ce que l'instruction parcourra.
Cela dépend de la théorie qui vous rattrape. La LL144, c'est 1 500 $/jour par infraction, ce qui atteint 547 500 $ par an et par outil non audité avant tout droit d'action privé qui viendrait s'y ajouter. La TRAIGA du Texas plafonne à 200 000 $ par infraction non régularisable. Le règlement européen sur l'IA plafonne au plus élevé de 15 M€ ou 3 % du chiffre d'affaires annuel mondial pour les obligations à haut risque. L'EEOC a réglé sa première affaire de recrutement par IA (iTutorGroup, 2023) pour 365 000 $, ce qui est faible jusqu'à ce que l'on réalise que c'est désormais le plancher pour les plaintes individuelles de discrimination. Les recours collectifs s'échelonnent différemment : le recours de Mobley couvre potentiellement une fraction significative des candidats de plus de 40 ans qui sont passés par l'écosystème de Workday, ce qui, comme l'a noté le tribunal, pourrait dépasser le milliard. La théorie FCRA de Kistler, si elle tient, attache des dommages-intérêts légaux de 100 à 1 000 $ par consommateur et par infraction à chaque candidat noté par une plateforme jugée être une agence d'évaluation du consommateur. Une entreprise notant 2 millions de candidats par an et jugée redevable même du bas de la fourchette s'expose à 200 M$ par an d'exposition. Le coût d'un programme d'audit et de remédiation multi-régimes se mesure en bas des six chiffres pour la plupart de nos clients, et en bas des sept chiffres uniquement pour les plus grands. Le calcul assurance contre exposition n'est pas serré.
Oui, et pour la surveillance continue une plateforme de gouvernance est réellement utile. Nous avons des clients qui font tourner FairNow pour le suivi continu de la LL144 et Holistic AI pour la visibilité transversale des risques, et nous recommandons les deux dans le bon contexte. Ce qu'une plateforme ne fait pas, c'est siéger à votre examen de sécurité fournisseur avec votre RSSI, rédiger la note de stratégie juridique lorsque les exigences de l'Illinois et de l'UE entrent en collision, exécuter une référence ASR sur corpus SAP sur votre déploiement HireVue, ou réécrire un pipeline de notation pour intercepter les sorties avant qu'elles n'atteignent l'écran du recruteur. Une plateforme est un tableau de bord ; la mission que nous menons est ce qui alimente d'abord le tableau de bord en données significatives. Faites tourner la plateforme et engagez le spécialiste pour la mission. Ce ne sont pas des substituts.
C'était suffisant en 2024. Ce ne l'est plus aujourd'hui. La recherche de Cornell / Data & Society / Consumer Reports a forgé le terme « conformité nulle » pour exactement ce schéma : 391 employeurs new-yorkais étudiés, seuls 4,6 % avaient publié un audit de biais, et les autres s'appuyaient sur des arguments d'auto-classification qui plaçaient l'outil hors du champ de la LL144. L'audit du contrôleur de l'État de New York de décembre 2025 a ensuite démontré que l'auto-classification ne survit pas à une revue tierce rigoureuse — les auditeurs de l'État ont relevé 17 infractions potentielles dans le même échantillon de 32 entreprises où le DCWP n'en avait trouvé qu'une. Le DCWP a accepté d'adopter une application proactive, ce qui signifie que le régulateur mène désormais sa propre analyse plutôt que d'attendre que les employeurs divulguent. Du côté de la responsabilité du fournisseur, la théorie de l'« agent » de Mobley rejette explicitement l'idée qu'un outil de tri qui recommande ou filtre des candidats ne participe pas à la décision. La posture pratique pour tout DRH est : supposer que tout outil de notation, de classement ou de filtrage est dans le champ, traiter la note « le fournisseur a dit que nous ne sommes pas un AEDT » comme une future pièce d'instruction, et auditer en conséquence. Une défense d'auto-classification qui exige que le régulateur et le plaignant soient d'accord avec la caractérisation du fournisseur n'est pas une défense, c'est un espoir.
Cette page de solution s'appuie sur huit de nos livres blancs interactifs. Chacun couvre une part distincte du problème de conformité du recrutement par IA. L'acheteur sérieux devrait les survoler tous avant toute conversation d'engagement.
Le document d'ancrage de cette page. Analyse l'audit de la LL144 par le contrôleur de l'État de New York de décembre 2025, le « trilemme de conformité » entre New York, le Colorado, l'Illinois et l'UE, et les exigences architecturales pour des systèmes de recrutement par IA prêts pour l'audit.
Approches par graphe de connaissances du recrutement explicable. Comment une ontologie de compétences permet le type de traçage de décision qu'exigent les art. 13 et 14 du règlement européen sur l'IA, et où l'approche atteint les limites du biais indirect.
Équité contrefactuelle et modèles causaux structurels. Pourquoi le débiaisage adversarial est instable en pratique et à quoi ressemble réellement le compromis avec la précision prédictive.
L'exposition ADA que les audits de biais ne couvrent pas. Analyse la théorie de la plainte FTC contre Aon de l'ACLU et les limites techniques de l'apprentissage de représentation causale pour des évaluations attentives au handicap.
Analyse post-mortem de la violation McHire / Paradox de 64 M de dossiers. Hygiène des identifiants, bogues de classe IDOR, et pourquoi une attestation SOC 2 ne se substitue pas à une diligence raisonnable fournisseur tenant compte de l'IA.
Plongée en profondeur sur la décision relative à l'« agent » dans Mobley v. Workday. Comment les architectures neuro-symboliques produisent les pistes de décision auditables qui survivent à l'instruction.
Applicabilité de la FCRA aux plateformes de recrutement par IA, le schéma factuel de Kistler v. Eightfold, et les flux de provenance des données et de « droit de contestation » qu'un fournisseur classé CRA devra construire.
L'angle de l'accessibilité et de la fusion multimodale. Disparités de WER de l'ASR pour les locuteurs sourds, malentendants et autochtones anglophones ; le schéma factuel de D.K. v. Intuit / HireVue ; et une conception réaliste d'escalade avec intervention humaine (HITL).
Un AEDT non audité à New York entraîne jusqu'à 547 500 $ par an de sanctions LL144 à lui seul. Mobley et Kistler ajoutent une exposition aux recours collectifs qui s'échelonne avec votre volume de candidatures. Le coût d'une véritable mission d'audit multi-régimes représente une petite fraction d'une seule défense en recours collectif.
Nous commençons par une découverte et un examen de l'exposition au forfait. Vous repartez avec un registre AEDT défendable et une note numérotée — que vous poursuiviez la mission ou non.