Conformité & Transparence

Trust Center — Conformité & IA

Spiribase s'engage pour la conformité réglementaire et la transparence de ses systèmes d'intelligence artificielle. Retrouvez ici tous les éléments de notre dispositif AI Act, RGPD et CNIL.

Centre de ConformitéConsulter le DPAPage Sécurité

Gouvernance IA

Supervision humaine obligatoire

Aucune décision de recrutement n'est prise automatiquement. Chaque score et recommandation IA est présenté comme une aide à la décision validée par un recruteur humain.

  • Scores de matching indicatifs uniquement
  • HumanValidationPanel pour corriger les recommandations IA
  • Traçabilité complète des décisions recruteur

Transparence des modèles IA

Spiribase utilise une architecture multi-fournisseurs LLM avec cascade automatique : OpenAI (priorité 1), Anthropic (fallback), Google Gemini (fallback 2).

  • GPT-4o, GPT-4.1, GPT-5 (OpenAI)
  • Claude Sonnet 4, Claude Opus 4 (Anthropic)
  • Gemini 1.5-flash, Gemini 2.0-flash (Google)

Explication des scores

Chaque score de matching est décomposé en sous-scores détaillés avec justification textuelle : compétences techniques, expérience, culture fit, formation, etc.

  • Sous-scores par critère avec motif
  • Points forts et points faibles listés
  • Justification globale et facteurs de risque

Détection de biais

Un module DEI dédié analyse les biais potentiels dans les décisions de recrutement. Des tests de parité sont planifiés trimestriellement.

  • Module DEI actif en production
  • Tests de parité genre/origine planifiés
  • Alertes de dérive algorithmique

AI Act — Système à haut risque

Classification : Système IA à HAUT RISQUE

Spiribase est classifié système IA à haut risque au sens de l'AI Act européen (Règlement UE 2024/1689), Annexe III, point 4 — recrutement et sélection RH. Les obligations associées entrent en vigueur en août 2026.

AI Act Art. 13

Transparence

Conforme

Notice d'utilisation IA disponible, bandeaux informatifs sur les écrans de scoring.

AI Act Art. 14

Supervision humaine

Partiel

Fonctionnelle via HumanValidationPanel. Workflow obligatoire en cours d'implémentation.

AI Act Art. 9

Gestion des risques

Conforme

Documentée dans ai-governance.md. Revue trimestrielle planifiée.

Détail des obligations par article (Annexe III)

Références réglementaires AI Act

Texte AI Act (EUR-Lex)Calendrier d'applicationCNIL — IA

RGPD

Droits des personnes concernées

  • Droit d'accès (Art. 15) — Export des données candidat disponible
  • Droit de rectification (Art. 16)— Modification via l'interface recruteur
  • Droit à l'effacement (Art. 17) — Anonymisation fonctionnelle avec workflow de suppression planifiée
  • Droit à la portabilité (Art. 20) — Export JSON candidat

Mesures de protection

  • Chiffrement AES-256 des données sensibles (email, téléphone, adresse)
  • Isolation multi-tenancy stricte par organization
  • Historique des consentements tracé (modèle ConsentHistory)
  • Portail candidat avec accès autonome aux droits RGPD

Références réglementaires RGPD

Texte RGPD (EUR-Lex)Guide CNIL RecrutementNotre DPA

CNIL

Points forts

  • Chiffrement AES-256 des données sensibles
  • Anonymisation fonctionnelle sur demande
  • Historique des consentements en base
  • Isolation multi-tenancy
  • Portail candidat avec droits RGPD
  • Référents IA nommés et documentés
  • DPA signés avec OpenAI, Anthropic, Google
  • Procédure de notification de violation sous 72h

Actions en cours

  • CRITIQUE — Formaliser la DPIA scoring IA
  • HAUTE — Purge automatique à 2 ans
  • MOYENNE — Mentions IA dans l'information candidats

Sous-traitants

Conformément à l'Art. 28 RGPD, voici les principaux sous-traitants traitant des données personnelles pour le compte de Spiribase.

OpenAI (OpenAI, LLC)

DPA signé

Service : LLM — GPT-4o, GPT-4.1, GPT-5

Localisation : États-Unis

Données : Texte CV (PII incluses), offres d'emploi

Anthropic (Anthropic, PBC)

DPA disponible

Service : LLM — Claude 3/4

Localisation : États-Unis

Données : Texte CV (PII incluses), offres d'emploi

Google (Google LLC)

DPA disponible

Service : LLM — Gemini 1.5/2.0

Localisation : États-Unis

Données : Texte CV (PII incluses), offres d'emploi

Neon (Neon Inc.)

DPA disponible

Service : Base de données PostgreSQL

Localisation : USA / UE (configurable)

Données : Toutes les données Spiribase

Vercel (Vercel Inc.)

DPA disponible

Service : Hébergement Next.js / CDN

Localisation : USA + Edge mondial

Données : Logs applicatifs, assets

Twilio (Twilio Inc.)

DPA disponible

Service : SMS

Localisation : États-Unis

Données : Numéros de téléphone, contenu SMS

Protection de la vie privée :Spiribase pseudonymise systématiquement toutes les données personnelles (noms, coordonnées) et sensibles des candidats avant toute opération IA. Aucune donnée d'identification directe n'est transmise aux fournisseurs LLM tiers.

Sécurité

Chiffrement AES-256

Données sensibles chiffrées au repos

TLS 1.3

Tous les flux API chiffrés en transit

Multi-tenancy

Isolation stricte par organization

Logs d'audit

Traçabilité complète des actions

Procédure de violation de données

En cas de violation de données avérée, Spiribase notifie la CNIL dans un délai de 72h conformément à l'Art. 33 RGPD, et informe les personnes concernées si le risque est élevé.

Page sécurité complète

Référents Conformité

Notre équipe conformité est disponible pour répondre à vos questions sur la protection des données et l'usage de l'IA.

Kamel Msaoubi

Référent IA & DPO technique

kamel@spiritek.io

Nader Laroussi

Responsable conformité IA

nader@spiritek.io