Gouvernance IA — Spiribase
Périmètre : Systèmes d'IA intégrés dans la plateforme Spiribase
Référents IA
| Rôle | Nom | Email | Responsabilités |
|---|
| Référent IA & DPO technique | Kamel Msaoubi | kamel@spiritek.io | Architecture flux IA, pseudonymisation, audit technique, conformité Art. 10 AI Act, DPA fournisseurs |
| Responsable conformité IA | Nader Laroussi | nader@spiritek.io | Politique de conformité, registre traitements, relations CNIL, enregistrement base UE |
Modèles IA utilisés
Architecture multi-fournisseurs via createAIClient() (src/lib/ai/client.ts) :
| Fournisseur | Modèles | Usage principal | Localisation |
|---|
| OpenAI | GPT-4o, GPT-4-turbo | Parsing CV, scoring, matching | États-Unis |
| Anthropic | Claude 3.5 Sonnet, Claude 3 Opus | Parsing CV, analyses | États-Unis |
| Google Gemini | Gemini 1.5 Pro, Gemini Flash | Parsing CV, extraction document | États-Unis / Multi-région |
Flux IA actifs
| Fonctionnalité | Fichier principal | Données traitées |
|---|
| Parsing CV | src/features/analyzis/lib/convert-resume.ts | Texte CV complet (avec PII) |
| Matching | src/inngest/functions/matching.ts | Profil candidat + offre |
| Matching Express | src/inngest/functions/matching-express.ts | cvData JSON + offre |
| Rapport matching | src/features/analyzis/lib/express-matching-report.ts | CV texte + offre |
| Extraction document | src/features/analyzis/lib/extract-document-text.ts | Document PDF/DOCX |
| Test technique (US-078) | Génération IA | Description offre |
| Script appel initial (US-077) | Génération IA | Profil + offre |
| Détection biais (US-089) | src/features/ai-ethics/ | Analyse IA |
Système de crédits IA
Tous les flux IA déduisent des crédits via CreditService.deductCredits() (src/config/ai-costs.ts) :
| Usage | Coût |
|---|
Parsing CV (PARSING) | 500 crédits |
Scoring/Matching (SCORING) | 125 crédits |
Génération offre (OFFER_GENERATION) | 200 crédits |
Processus de validation humaine (Art. 14 AI Act)
HumanValidationPanel (US-070) : validation, modification ou rejet possible par le recruteur. Les décisions de sélection restent humaines.
Processus de revue de nouveaux flux IA
Avant tout nouveau flux IA :
- Identifier si le flux traite des données personnelles
- Vérifier si relève de l'Annexe III AI Act
- Minimiser les données envoyées
- Implémenter le masquage des PII avant envoi
- Ajouter
auditLog() pour tracer
- Validation technique par Kamel Msaoubi
- Mise à jour
data-protection.md
Audit et traçabilité
auditLog(userId, action, resource, id, data, orgId) dans src/lib/audit.ts.
Gap : Les flux IA principaux (matching, parsing) ne génèrent pas systématiquement d'entrée d'audit.
Politique de mise à jour
| Événement | Action | Responsable |
|---|
| Ajout nouveau flux IA | Mise à jour data-protection.md | Kamel Msaoubi |
| Changement fournisseur LLM | Vérification DPA, mise à jour politique | Nader Laroussi |
| Incident sécurité données | Audit complet, notification CNIL si requis (72h) | Nader Laroussi |
| Révision annuelle | Audit complet docs/compliance/ | Kamel Msaoubi + Nader Laroussi |
Registre des décisions
| Date | Décision | Auteur |
|---|
| 2026-03-23 | Classification haut risque AI Act confirmée (Annexe III pt. 4) | Kamel Msaoubi |
| 2026-03-23 | Gap critique : PII envoyés sans masquage identifié | Kamel Msaoubi |
| 2026-03-23 | ANONYMIZATION_SYSTEM_PROMPT identifié comme non utilisé dans les flux actifs | Kamel Msaoubi |
Politique d'usage IA
Usages autorisés
| Usage | Module | Justification |
|---|
| Analyse et structuration de CV | CV Parsing (convert-resume.ts) | Extraction données objectives — compétences, expériences |
| Matching candidat-offre | Matching Express | Comparaison critères objectifs — résultat indicatif validé humain |
| Génération contenu offre | parseOfferFromFile tRPC (US-073) | Aide rédactionnelle — relu et validé par recruteur |
| Génération test technique | generateTechnicalTest tRPC (US-078) | Aide préparation entretien — validé recruteur |
| Script appel initial | generateInitialCallScript tRPC (US-077) | Guide — non prescriptif |
| Reformulation profil | reformulateProfileForOffer tRPC (US-057) | Amélioration rédactionnelle — validé recruteur |
| Suggestions proactives | proactiveOpportunitySuggestion Inngest (US-080), passiveOpportunityAlertFunction (US-100) | Indicatif — déclenchement humain requis |
| Détection biais | aiEthicsRouter (US-089) | Outil contrôle qualité — supervision humaine |
Usages supervisés (validation humaine obligatoire avant action)
| Usage | Implémentation |
|---|
| Scoring et ranking des candidats | HumanValidationPanel (US-070), validateAnalysis tRPC |
| Recommandation passage étape | Interface indicateur "suggestion IA" |
| CV reformaté PDF | GenerateCvDialog (US-081) — prévisualisation recruteur obligatoire |
| Pré-screening | preScreeningRouter (US-084) — résultats soumis recruteur avant action |
Usages interdits (à bloquer techniquement — US-194)
| Usage interdit | Référence |
|---|
| Décision automatique de rejet sans intervention humaine | AI Act Art. 14 |
| Traitement données sensibles sans consentement (origine, santé, religion) | RGPD Art. 9 |
| Évaluation sur critères discriminatoires | Directive 2000/78/CE |
| Profilage comportemental sans base légale | RGPD Art. 22 |
| Réutilisation données candidats pour entraîner des modèles tiers | RGPD Art. 5(1)(b) |
Dashboard gouvernance IA (US-187)
Métriques à centraliser :
- Appels LLM par fournisseur par période
- Consommation crédits IA par module et organisation (
CreditService)
- Taux validations humaines (
validateAnalysis tRPC)
- Incidents IA signalés (hallucinations, erreurs scoring)
- Statut GAPs conformité (progression corrections)
État : À implémenter Sprint 9.
Auto-évaluation maturité IA (US-199)
| Dimension | Score (/5) | Observations |
|---|
| Gouvernance et responsabilités | 4/5 | Référents désignés, comité à formaliser |
| Documentation technique | 4/5 | En cours (Sprint 9) |
| Pseudonymisation avant LLM | 5/5 | Implémenté (Reversible PII Masking existant) |
| Supervision humaine | 5/5 | HumanValidationPanel opérationnel (US-070) |
| Détection de biais | 4/5 | aiEthicsRouter opérationnel (US-089) |
| Transparence envers candidats | 2/5 | Notice à déployer (US-161) |
| Journalisation décisions IA | 2/5 | auditLog() disponible, non systématique sur flux LLM |
| Score global | 26/35 (74%) | Maturité avancée — conforme sur les points critiques |
Roadmap conformité IA (US-200)
| Échéance | Action | Priorité | Responsable |
|---|
| Sprint 9 | Pseudonymisation avant envoi LLMs (4 GAPs) | CRITIQUE | K. Msaoubi |
| Sprint 9 | Signature DPA Anthropic, Google (OpenAI signé) | HAUTE | K. Msaoubi |
| Sprint 9 | Dashboard gouvernance IA (US-187) | HAUTE | N. Laroussi |
| Sprint 9 | Notice utilisation IA candidats (US-161) | HAUTE | K. Msaoubi |
| Sprint 10 | Journalisation systématique appels LLM | HAUTE | N. Laroussi |
| Sprint 10 | Processus gestion incidents IA | MOYENNE | K. Msaoubi |
| Sprint 11 | Audit externe conformité AI Act | HAUTE | K. Msaoubi |
| 2026-T3 | Enregistrement base de données EU AI Act | OBLIGATOIRE | K. Msaoubi |
User Stories couverts
- US-152 : Politique usage IA interne
- US-153 : Cartographie modules IA
- US-154 : Référent IA désigné
- US-155 : Comité IA
- US-187 : Dashboard gouvernance IA
- US-188 : Checklist release IA
- US-189 : Workflow validation IA
- US-199 : Auto-évaluation maturité IA
- US-200 : Roadmap conformité IA
Responsables