Pack Conformité Client — Spiribase
Résumé exécutif
Ce document constitue le pack conformité destiné aux clients et prospects de Spiribase (grands comptes, équipes sécurité, DPO clients). Il couvre la fiche de transparence IA, les éléments de réponse aux questionnaires sécurité, et les clauses contractuelles recommandées.
US-193 — Fiche de transparence IA (version client)
Spiribase — Fiche Transparence IA v1.0
Date : 2026-03-23 | Référent : Kamel Msaoubi — kamel@spiritek.io
Ce que fait l'IA Spiribase
Spiribase intègre des modules d'intelligence artificielle pour assister les recruteurs dans leurs tâches. Ces modules sont des outils d'aide à la décision et ne remplacent jamais le jugement humain.
| Module | Fonction | Décision humaine requise |
|---|---|---|
| Parsing CV | Structuration automatique du CV en données exploitables | Non (structuration technique) |
| Matching IA | Score de compatibilité candidat/offre (0-100) | Oui — obligatoire |
| Rapport matching | Analyse détaillée points forts/faibles | Oui — lecture et validation |
| Génération offres | Aide à la rédaction d'offres d'emploi | Oui — relecture obligatoire |
| Tests techniques | Génération de questions techniques | Oui — validation recruteur |
| Détection biais DEI | Analyse des biais dans les décisions RH | Oui — revue conformité |
Ce que l'IA Spiribase ne fait PAS
- Elle ne décide pas de l'embauche ou du rejet d'un candidat
- Elle ne traite pas de données sensibles (santé, origine, religion, etc.)
- Elle n'effectue pas de profilage comportemental ou de surveillance
- Elle ne garantit pas l'absence totale de biais (des tests réguliers sont effectués)
Fournisseurs LLM utilisés
Spiribase utilise une architecture multi-fournisseurs avec cascade automatique :
- OpenAI (GPT-4o, GPT-4.1) — priorité 1
- Anthropic (Claude Sonnet/Opus) — fallback
- Google Gemini (Gemini 1.5/2.0) — fallback 2
Note : Les données candidates sont transmises à ces fournisseurs lors des opérations IA. Un Data Processing Agreement (DPA) est en place avec OpenAI. Ceux pour Anthropic et Google sont en cours de formalisation.
Droits des candidats
Les candidats peuvent exercer leurs droits RGPD via :
- Le portail candidat Spiribase (authentification OTP)
- Email à votre organisation cliente (responsable de traitement)
- Email à kamel@spiritek.io pour les questions relatives à l'IA
US-184 — Pack conformité client (éléments)
Contenu du pack conformité
| Document | Description | Format |
|---|---|---|
| Fiche transparence IA | Ce document — usage de l'IA | PDF / Markdown |
| DPA Spiribase | Accord de traitement des données | PDF signé |
| Registre sous-traitants | Liste des fournisseurs traitant des données | |
| Politique de sécurité | Mesures techniques et organisationnelles | |
| Politique de conservation | Durées de conservation des données | |
| Contacts référents | Kamel Msaoubi + Nader Laroussi | — |
Génération automatique (à implémenter)
Un bouton "Générer le pack conformité" doit être disponible dans les paramètres admin pour exporter l'ensemble des documents en PDF.
US-185 — Réponses aux questionnaires sécurité grands comptes
Thème : Hébergement et localisation des données
Q : Où sont hébergées les données ? R : Les données sont hébergées sur Neon (PostgreSQL) avec possibilité de configuration de région UE. L'application est déployée sur Vercel (edge mondial). Pour les exigences de résidence des données en France/UE, contactez kamel@spiritek.io.
Q : Les données sortent-elles de l'UE ? R : Oui, lors des appels aux APIs LLM (OpenAI, Anthropic, Google). Ces transferts sont encadrés par les Standard Contractual Clauses (SCCs) de chaque fournisseur. Un DPA est en place avec OpenAI, et les autres sont en cours de formalisation.
Thème : Sécurité technique
Q : Quel chiffrement utilisez-vous ? R : AES-256 pour les données sensibles au repos (email, téléphone, adresse), TLS 1.3 pour tous les flux en transit.
Q : Avez-vous un programme de gestion des vulnérabilités ? R : Nous utilisons des dépendances régulièrement mises à jour. Un processus de revue de sécurité est en place avant chaque mise en production.
Thème : IA et conformité AI Act
Q : Votre système IA est-il à haut risque au sens de l'AI Act ? R : Oui. Spiribase est classifié système IA à haut risque (AI Act Annexe III, point 4 — recrutement). Nous respectons les obligations associées : documentation, supervision humaine, gestion des risques. Les obligations de conformité AI Act pour les systèmes à haut risque entrent en vigueur en août 2026.
Q : Comment garantissez-vous la supervision humaine ? R : Tous les scores et recommandations IA sont présentés comme des aides à la décision. Le recruteur valide explicitement chaque recommandation. Aucune décision d'embauche ou de rejet ne peut être prise automatiquement.
US-192 — Clauses contractuelles IA/RGPD
Clauses recommandées dans les contrats clients
Clause 1 — Qualification des parties
"Spiribase agit en qualité de sous-traitant au sens du RGPD Art. 4(8). Le Client est responsable de traitement au sens du RGPD Art. 4(7) pour les données candidates traitées via la plateforme."
Clause 2 — Finalité du traitement IA
"Les modules d'intelligence artificielle de Spiribase sont exclusivement utilisés comme aide à la décision. Aucune décision automatisée au sens du RGPD Art. 22 n'est prise sans intervention humaine."
Clause 3 — Transferts hors UE
"Le Client reconnaît que l'utilisation des fonctionnalités IA implique le transfert de données vers des fournisseurs LLM tiers établis aux États-Unis (OpenAI, Anthropic, Google), encadré par des clauses contractuelles types conformément au RGPD Art. 46."
Clause 4 — Droits des candidats
"Spiribase assiste le Client dans la réponse aux demandes d'exercice de droits RGPD des candidats (accès, rectification, effacement, portabilité) dans un délai de 72 heures à compter de la demande."
Clause 5 — Classification AI Act
"Le Client est informé que Spiribase est classifié système IA à haut risque au sens de l'AI Act (UE) 2024/1689, Annexe III, point 4. Spiribase prend les mesures nécessaires pour respecter les obligations associées applicables à compter d'août 2026."
Responsables
- Kamel Msaoubi — kamel@spiritek.io — Référent IA & DPO technique
- Nader Laroussi — nader@spiritek.io — Responsable conformité IA
Historique des versions
| Version | Date | Auteur | Modifications |
|---|---|---|---|
| 1.0.0 | 2026-03-23 | K. Msaoubi / N. Laroussi | Création initiale Sprint 9 |