Conformité et sécurité

Une IA de recrutement
responsable par conception

Hippolyte.AI est conçu pour respecter les exigences les plus strictes du droit européen : RGPD, EU AI Act, sécurité des données et gouvernance algorithmique. Cette page détaille l'ensemble de nos engagements.

RGPD conformeEU AI Act — système à haut risqueHébergement UEISO 27001 (en cours)
EU AI ActRGPDSécurité techniqueGouvernance algorithmiqueDroits des candidatsDPA & sous-traitance
EU AI Act — Règlement (UE) 2024/1689

Hippolyte.AI et le règlement
européen sur l'intelligence artificielle

Entré en vigueur le 1er août 2024, l'EU AI Act est le premier cadre réglementaire mondial sur l'IA. Les obligations applicables aux systèmes à haut risque (dont le recrutement) entrent en application en août 2026.

Classification : système à haut risque

Conformément à l'Annexe III, point 4(a) du règlement, les systèmes d'IA utilisés pour le tri, la sélection ou l'évaluation de candidats dans le cadre d'un recrutement sont classés comme systèmes à haut risque. Hippolyte.AI assume pleinement cette classification et met en œuvre toutes les obligations correspondantes.

  • Enregistrement dans la base de données UE des systèmes à haut risque
  • Documentation technique complète (Article 11)
  • Système de gestion de la qualité (Article 17)
  • Journalisation automatique des recommandations (Article 12)

Transparence et explicabilité

L'Article 13 impose que les systèmes à haut risque soient conçus de façon à permettre aux déployeurs d'interpréter les résultats. Hippolyte.AI ne produit pas de "boîte noire" : chaque score est accompagné d'une justification structurée.

  • Rapport détaillé par candidat avec critères explicités
  • Score 0-100 décomposé par dimension évaluée
  • Traçabilité complète des critères de sélection configurés
  • Aucune recommandation finale sans validation humaine

Supervision humaine (Article 14)

L'EU AI Act exige que les systèmes à haut risque soient conçus pour permettre une supervision humaine effective. Hippolyte.AI est un outil d'aide à la recommandation, jamais un décideur autonome.

  • Le recruteur valide chaque recommandation de passage ou d'exclusion
  • Interface de révision des scores et des transcriptions
  • Possibilité de passer outre toute recommandation IA
  • Logs d'audit consultables à tout moment

Non-discrimination et biais algorithmiques (Article 10)

L'Article 10 impose des pratiques de gouvernance des données visant à prévenir les biais discriminatoires. Hippolyte.AI évalue uniquement les critères définis par le recruteur pour chaque poste.

  • Évaluation basée exclusivement sur des critères professionnels définis
  • Aucune inférence sur l'origine, le genre, l'âge ou la situation familiale
  • Tests réguliers de détection de biais sur les modèles utilisés
  • Rapport d'évaluation de conformité disponible sur demande

Obligations du déployeur (Articles 26-29)

En tant que fournisseur, Hippolyte.AI accompagne ses clients dans le respect de leurs propres obligations de déployeur.

  • Documentation d'utilisation fournie à chaque client
  • Formation des utilisateurs aux limites et bons usages du système
  • Conservation des logs pendant 6 mois minimum (Article 26)
  • Procédure de signalement des incidents graves

Calendrier de mise en conformité

1er août 2024Entrée en vigueur du règlement
2 février 2025Interdictions absolues applicables
2 août 2026Obligations systèmes à haut risque (Annexe III)
2 août 2027Obligations systèmes à haut risque (Annexe I)
RGPD — Règlement (UE) 2016/679

Protection des données
des candidats

Hippolyte.AI traite des données personnelles sensibles au nom de ses clients. Notre architecture est conçue pour respecter les 7 principes fondamentaux du RGPD dès la conception (Privacy by Design).

Licéité du traitement (Article 6)

Le traitement des données de candidats par Hippolyte.AI repose sur la base légale de l'intérêt légitime du recruteur (Article 6.1.f) ou sur le consentement explicite du candidat (Article 6.1.a), selon la configuration choisie par le client.

  • Information claire du candidat avant toute interaction
  • Mention obligatoire de l'usage de l'IA dans le processus
  • Possibilité de refuser l'interaction avec l'IA
  • Registre des traitements tenu à jour (Article 30)

Minimisation et anonymisation

Conformément au principe de minimisation des données (Article 5.1.c) et aux recommandations de la CNIL (mise en demeure avril 2024), Hippolyte.AI applique une anonymisation automatique dès la réception des CV.

  • Suppression automatique des données sensibles (photo, adresse, âge)
  • Anonymisation du nom et prénom avant scoring si activée
  • Collecte limitée aux données strictement nécessaires à l'évaluation
  • Durée de conservation configurable par le client

Droits des personnes (Articles 15-22)

Hippolyte.AI facilite l'exercice des droits RGPD des candidats auprès de ses clients recruteurs.

  • Droit d'accès : export des données du candidat sur demande
  • Droit de rectification : correction des données inexactes
  • Droit à l'effacement : suppression complète sur demande
  • Droit d'opposition au traitement automatisé
  • Droit à la portabilité des données (format JSON/CSV)
  • Délai de réponse garanti sous 30 jours

Recommandation automatisée (Article 22)

L'Article 22 interdit les recommandations entièrement automatisées produisant des effets juridiques significatifs. Hippolyte.AI est conçu pour respecter cette exigence.

  • Aucune recommandation d'embauche ou de rejet sans validation humaine
  • Information du candidat sur l'usage de l'IA dans le processus
  • Droit à une révision humaine de tout scoring
  • Mention dans la politique de confidentialité du client

Transferts hors UE

Hippolyte.AI garantit que les données des candidats ne quittent pas l'Espace Économique Européen sans garanties adéquates.

  • Hébergement exclusivement sur OVH Cloud France (Roubaix / Gravelines)
  • Sous-traitants soumis à des Clauses Contractuelles Types (CCT) validées
  • Aucun transfert vers des pays sans garantie d'adéquation sans CCT
  • Garanties contractuelles avec chaque partenaire technique

Analyse d'impact (AIPD / DPIA)

Conformément à l'Article 35, une Analyse d'Impact relative à la Protection des Données a été réalisée pour les traitements à risque élevé.

  • AIPD réalisée et documentée pour le traitement de préqualification
  • Mise à jour annuelle ou lors de changements significatifs
  • Délégué à la Protection des Données (DPO) désigné
  • Consultation préalable de la CNIL si risque résiduel élevé
Sécurité technique

Infrastructure sécurisée
de bout en bout

La sécurité des données de vos candidats est une priorité absolue. Hippolyte.AI applique les standards de sécurité les plus exigeants à chaque couche de l'infrastructure.

Chiffrement des données

  • Chiffrement en transit : TLS 1.3 sur toutes les communications
  • Chiffrement au repos : AES-256 pour toutes les données stockées
  • Chiffrement des sauvegardes avec clés distinctes
  • Gestion des clés via un HSM (Hardware Security Module)

Contrôle des accès

  • Authentification multi-facteurs (MFA) obligatoire pour les administrateurs
  • Gestion des accès basée sur les rôles (RBAC)
  • Principe du moindre privilège appliqué à tous les composants
  • Revue trimestrielle des droits d'accès

Infrastructure et hébergement

  • Hébergement sur OVH Cloud France (datacenters Roubaix et Gravelines)
  • Architecture multi-zones pour la haute disponibilité
  • Sauvegardes automatiques quotidiennes avec rétention 30 jours
  • Plan de reprise d'activité (PRA) testé semestriellement

Surveillance et détection

  • Monitoring 24/7 avec alertes en temps réel
  • SIEM (Security Information and Event Management) déployé
  • Détection des intrusions (IDS/IPS) sur tous les flux réseau
  • Logs d'audit conservés 12 mois minimum

Tests et audits de sécurité

  • Tests de pénétration (pentest) annuels par un tiers indépendant
  • Scan de vulnérabilités automatisé en continu
  • Programme de bug bounty pour les chercheurs en sécurité
  • Revue de code sécurité intégrée au pipeline CI/CD

Gestion des incidents

  • Procédure de réponse aux incidents documentée et testée
  • Notification des violations de données sous 72h (Article 33 RGPD)
  • Équipe de réponse aux incidents disponible 24/7
  • Post-mortem systématique après chaque incident de sécurité
Gouvernance algorithmique

Une IA
transparente et auditable

La gouvernance algorithmique est le cadre qui garantit que nos modèles d'IA fonctionnent de manière éthique, prévisible et conforme aux valeurs que nous défendons.

Conception éthique des modèles

  • Critères d'évaluation définis exclusivement par le recruteur
  • Aucune inférence sur des données protégées (origine, genre, âge, handicap)
  • Modèles testés régulièrement pour détecter les biais systémiques
  • Comité éthique interne supervisant les évolutions des modèles

Traçabilité des recommandations

  • Chaque interaction est enregistrée avec horodatage et version du modèle
  • Transcription complète de chaque conversation disponible
  • Historique des critères de scoring versionnés par poste
  • Export des logs d'audit au format JSON sur demande

Versionnage et documentation

  • Chaque version de modèle est documentée et archivée
  • Fiche technique du modèle disponible (model card)
  • Changelog des évolutions communiqué aux clients
  • Possibilité de gel de version pour les clients sous contrat

Supervision et amélioration continue

  • Monitoring des performances des modèles en production
  • Détection automatique des dérives (data drift)
  • Feedback loop intégré pour améliorer la qualité du scoring
  • Rapport de performance trimestriel disponible sur demande
Droits des candidats

Le candidat
au cœur de notre approche

Hippolyte.AI place l'expérience candidat au même niveau que l'efficacité recruteur. Chaque candidat interagissant avec notre plateforme bénéficie de garanties concrètes.

Information et transparence

  • Information claire sur l'usage de l'IA avant toute interaction
  • Explication des critères évalués lors de la préqualification
  • Visibilité sur les étapes suivantes du processus
  • Coordonnées du DPO accessibles à tout moment

Liberté de choix

  • Choix du canal : voicebot ou chatbot textuel
  • Possibilité de refuser l'interaction automatisée
  • Droit à un entretien humain en remplacement
  • Aucune pénalisation pour le refus de l'IA

Accès et rectification

  • Accès à la transcription de son interaction sur demande
  • Droit de rectifier les informations incorrectes
  • Droit à l'effacement de toutes ses données
  • Réponse garantie sous 30 jours calendaires

Non-discrimination

  • Évaluation basée uniquement sur des critères professionnels
  • Aucune question sur l'origine, la situation familiale ou le handicap
  • Processus identique pour tous les candidats (équité de traitement)
  • Recours possible en cas de recommandation contestée
DPA et sous-traitance

Accord de traitement
des données (DPA)

En tant que sous-traitant au sens de l'Article 28 du RGPD, Hippolyte.AI signe un DPA (Data Processing Agreement) avec chacun de ses clients. Ce document formalise les obligations réciproques.

Contenu du DPA standard

  • Objet, durée et nature du traitement
  • Finalité et types de données traitées
  • Catégories de personnes concernées
  • Obligations et droits du responsable de traitement
  • Liste des sous-traitants ultérieurs
  • Mesures de sécurité techniques et organisationnelles
  • Procédure de notification des violations de données
  • Conditions de restitution et suppression des données

Besoin du DPA complet ou d'un audit de conformité ?

Notre équipe juridique et technique est disponible pour vous accompagner dans votre démarche de conformité.

Contacter notre équipe conformité