Votre IA de recrutement envoie peut-être les CV de vos candidats sous droit américain

Le 12 juin 2026, une décision administrative a débranché un modèle d'intelligence artificielle pour tous les ressortissants étrangers de la planète. En une journée.

Ce jour-là, le Department of Commerce américain a ordonné à Anthropic de suspendre l'accès à ses modèles Claude Fable 5 et Mythos 5 pour tout ressortissant étranger, qu'il soit hors des États-Unis ou à l'intérieur du pays. Faute de pouvoir filtrer ses utilisateurs par nationalité, Anthropic a désactivé les deux modèles. Le motif officiel : une faille de sécurité contestée. La portée réelle : la première utilisation connue d'un contrôle à l'export pour réguler un modèle d'IA frontière au nom de la sécurité nationale.

Retenez le mécanisme, pas l'affaire. Un modèle qu'on croyait disponible a cessé de l'être par une décision unilatérale de Washington. Pour tout outil qui en dépendait, le point de coupure n'était pas dans le contrat, il était dans la juridiction.

On s'est trompé de débat

Pendant des années, la souveraineté numérique s'est résumée à une question d'adresse. Où sont mes données ? En France ? On coche la case. Sauf que la géographie n'a jamais été le vrai sujet.

Un datacenter à Marseille appartenant à une société américaine reste soumis au droit américain. Le Cloud Act, adopté en 2018, permet aux autorités américaines d'obtenir les données détenues par une entreprise américaine, où qu'elles soient stockées. La localisation physique n'y change rien. Ce qui compte, c'est l'entité qui opère et le droit qui la gouverne. Nous avons déjà détaillé ce piège du "hébergé en France" dans un précédent article : la juridiction s'attache à l'acteur, pas à la donnée.

Ce raisonnement vaut pour le stockage. Il vaut désormais aussi pour l'IA.

La souveraineté a trois couches

Pensez à un outil de recrutement comme à un immeuble : le terrain, la structure, et ce qui tourne à l'intérieur. Trois couches, trois propriétaires possibles, trois droits applicables.

La première couche, c'est la donnée. Les CV, les coordonnées, les évaluations. On a appris à demander où elle réside et qui peut y accéder.

La deuxième couche, c'est l'hébergeur. La société qui opère les serveurs, son capital, son droit. C'est là que se joue l'exposition au Cloud Act, indépendamment du pays où sont les machines.

La troisième couche, on l'a longtemps ignorée parce qu'elle est récente : c'est l'IA. Le modèle qui lit, classe, score les candidatures. Et c'est précisément la couche qui vient de montrer qu'elle pouvait être coupée.

On a sécurisé le terrain et la structure. On a oublié qui tient l'interrupteur de l'étage du dessus.

Le Cloud Act ne coupe pas seulement, il aspire

La coupure du 12 juin a un mérite : elle est visible. Mais le Cloud Act a deux visages, et le second est plus discret et plus grave. Le premier, c'est la disponibilité : on vous retire l'accès. Le second, c'est la confidentialité : on accède à vos données. Couper, c'est gênant. Aspirer, c'est durable.

Le mécanisme est juridique, pas technique. Dès qu'un modèle édité par une société américaine traite une donnée, cette donnée entre dans le périmètre du droit américain. Elle devient réquisitionnable, croisable, conservable sans que vous le sachiez. Elle n'a pas bougé de serveur, elle a changé de juridiction. Et une donnée qui a changé de juridiction ne revient pas.

Prenez le cas le plus banal du recrutement. Un candidat français envoie son CV à une entreprise française qui, pour gagner du temps, le fait analyser par un modèle américain. À cet instant précis, le CV, les coordonnées, le parcours, les éventuels signaux sensibles ont quitté la juridiction française. Le candidat ne l'a pas choisi, l'entreprise ne l'a souvent pas mesuré, et la bascule a quand même eu lieu.

Pourquoi est-ce sérieux ? Parce qu'un CV n'est pas une donnée neutre. Il peut contenir des déplacements, des engagements associatifs, des indices d'opinion ou de santé. Le type de donnée qui ne devrait jamais sortir de son droit d'origine. Un exemple suffit : depuis 2021, un simple voyage à Cuba fait perdre l'éligibilité à l'ESTA, qui permet d'entrer aux États-Unis sans visa. Une administration étrangère traite donc déjà un déplacement comme une information qui change un statut. C'est exactement le genre de donnée que l'on confie sans y penser à un modèle.

Soyons précis sur la limite. Rien ici ne dit qu'un modèle transmet un CV à un service des frontières, ni qu'une analyse de candidature déclenche un refus d'entrée. Ce n'est ni démontré ni l'objet. Le seul fait certain est juridique : une donnée traitée par un acteur américain devient réquisitionnable sous le droit américain. Le reste relève de la prudence, et en recrutement la prudence est une obligation envers le candidat.

Le candidat scoré par un modèle qu'on peut éteindre

Voici le scénario concret. Un éditeur d'ATS français héberge ses données chez un acteur français. Sur le papier, deux couches sur trois sont souveraines. Mais pour analyser les CV et proposer un classement, il appelle un grand modèle américain via une API. Pratique, performant, invisible pour le client.

Le jour où l'accès à ce modèle est suspendu, comme le 12 juin, la fonction de tri s'arrête. Pas parce que l'éditeur a fait une erreur, pas parce qu'un serveur a brûlé, mais parce qu'une administration étrangère a décidé que ce modèle ne serait plus accessible aux non-Américains. Le recruteur qui ouvre son ATS ce matin-là découvre que la moitié de son outil ne répond plus. Et il n'y peut rien.

Ce n'est pas une hypothèse de salle de réunion, c'est un précédent daté. Le Center for Strategic and International Studies l'a noté sans détour : des responsables européens ont cité cet épisode comme la preuve qu'il faut développer une IA souveraine. La dépendance technologique n'est pas un détail d'architecture. C'est un point de rupture activable par un tiers qui ne vous connaît pas.

En recrutement, ce n'est plus une option

Dans la plupart des métiers, une coupure d'IA est une gêne. En recrutement, c'est un risque réglementaire.

Le recrutement est classé activité à haut risque par l'AI Act, le Règlement européen 2024/1689, à son Annexe III. La raison est simple : on traite des données personnelles sensibles et on prend des décisions sur des personnes. À cela s'ajoute le socle déjà en vigueur. Le RGPD interdit depuis 2018, à son Article 22, la décision fondée exclusivement sur un traitement automatisé qui affecte significativement une personne. La jurisprudence SCHUFA de la CJUE, le 7 décembre 2023, a durci cette lecture. Et l'AI Act ajoutera des sanctions jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial, avec une application principale au 2 décembre 2027.

Dans ce cadre, dépendre d'un modèle qu'on ne contrôle pas pose deux problèmes en même temps. Un problème de continuité : votre processus peut s'interrompre sans préavis. Et un problème de maîtrise : vous devez documenter, auditer et superviser un système de tri dont vous ne possédez ni les clés ni la garantie de disponibilité. La souveraineté de la couche IA cesse d'être un argument marketing. Elle devient une condition de conformité.

La vraie question à poser

Faites l'exercice cette semaine. Prenez votre outil de recrutement, ou celui que vous évaluez, et posez une seule question à l'éditeur : quel modèle d'IA analyse les candidatures, qui l'édite, et sous quel droit ?

Trois réponses possibles. Pas d'IA du tout : la question ne se pose pas encore. Un modèle américain via API : vous venez d'identifier votre point de coupure, et vous savez désormais qu'il est réel. Un modèle français, auto-hébergé chez l'éditeur : l'interrupteur est entre des mains soumises au même droit que vous.

La souveraineté ne se déclare pas, elle se vérifie couche par couche. Données, hébergeur, IA. Si une seule des trois répond à un droit étranger, l'ensemble n'est pas souverain. La géographie vous rassure, la juridiction vous protège, l'indépendance technologique vous garde en marche.

Pour JobAffinity, on a fait coïncider les trois couches sous un même droit. Les données candidats restent en France, l'hébergement est opéré par un acteur français, et notre IA tourne sur nos propres infrastructures, sans jamais déléguer l'analyse d'un CV à un modèle américain. Un DRH qui nous choisit peut donc répondre à son DPO une chose simple : non, le CV de votre candidat n'a jamais quitté la juridiction française. C'est moins un argument de vente qu'une ligne que l'on s'interdit de franchir.

Sources

• National Law Review, "Anthropic Suspends Access to Claude Fable 5, Claude Mythos 5 Following US Export Control Directive", juin 2026
• Al Jazeera, "US asks Anthropic to block global access to top AI models: Why it matters", 14 juin 2026
• CSIS, "The Department of Commerce Restricted Access to Anthropic's Latest Models. What Comes Next?", juin 2026
• The Conversation, "Why the US government shut down Anthropic's latest Claude AI model", juin 2026
• Congress, CLOUD Act H.R. 4943, 2018
• EUR-Lex, Règlement (UE) 2024/1689 (AI Act)
• Fragomen, "CBP Fully Implements ESTA Ineligibility Due to Cuba Travel", 2023