Mode Audit CNIL — Spiribase

Résumé exécutif

Ce document liste les éléments à présenter en cas de contrôle CNIL, et établit un score de préparation basé sur l'audit du code source Sprint 9.

---

Contexte réglementaire

• RGPD Art. 30 — Registre des activités de traitement (obligatoire)
• RGPD Art. 35 — DPIA pour traitements à risque élevé
• CNIL Guide Recrutement — https://www.cnil.fr/fr/le-guide-du-recrutement
• CNIL IA — https://www.cnil.fr/fr/technologies/intelligence-artificielle-ia

---

US-186 — Checklist audit CNIL

Documents requis

Document	Statut	Localisation
Registre des activités de traitement (Art. 30)	Partiel	docs/compliance/rgpd.md
DPIA pour le scoring IA	À réaliser	—
DPA avec sous-traitants LLM	À finaliser	—
Politique de conservation des données	Documentée, non automatisée	docs/compliance/rgpd.md US-170
Historique des consentements	Actif en base	modèle ConsentHistory
Procédure de gestion des droits RGPD	Actif	rgpdRouter + portail candidat
Procédure de notification violation (72h)	À documenter	docs/compliance/security.md
Désignation DPO / Référent IA	Actif	docs/compliance/ai-governance.md
Information des candidats (mentions légales)	Partiel	/legal/cgvu, /legal/dpa
Politique d'usage de l'IA	Actif	docs/compliance/ai-governance.md US-154

Score de préparation audit CNIL : 5/10

Catégorie	Score	Commentaire
Registre des traitements	2/3	Documenté, manque formalisation officielle
DPIA	0/2	Non réalisée
DPA sous-traitants	0/2	LLMs tiers non formalisés
Droits RGPD	2/2	Fonctionnels (anonymisation, suppression, consentement)
Information candidats	1/1	Mentions légales présentes

Actions prioritaires avant audit CNIL

1. CRITIQUE — Formaliser la DPIA pour le scoring IA candidats
2. CRITIQUE — Signer les DPA avec OpenAI, Anthropic et Google (SCCs)
3. HAUTE — Mettre en place la purge automatique à 2 ans
4. HAUTE — Documenter la procédure de notification violation (72h)
5. MOYENNE — Compléter les mentions d'information candidats sur l'usage de l'IA

---

Points forts (à valoriser en cas de contrôle)

• Chiffrement AES-256 des données sensibles en base (email, téléphone, adresse)
• Anonymisation des candidats sur demande (procédure fonctionnelle)
• Historique complet des consentements (modèle ConsentHistory)
• Isolation des données par organisation (multi-tenancy)
• Portail candidat avec accès aux droits RGPD
• Référents IA nommés et documentés
• Pack conformité structuré (présent dossier)

---

Responsables

• Kamel Msaoubi — kamel@spiritek.io — Référent IA & DPO technique
• Nader Laroussi — nader@spiritek.io — Responsable conformité IA

---

Historique des versions

Version	Date	Auteur	Modifications
1.0.0	2026-03-23	K. Msaoubi / N. Laroussi	Création initiale Sprint 9