La conformité d'abord.
L'IA ensuite.

Art. L1221-8 — Méthodes liées aux aptitudes

« Aucune information concernant personnellement un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. Les méthodes et techniques d'aide au recrutement […] doivent être pertinentes au regard de la finalité poursuivie. »

Concrètement, pour Prometheus :

• Le candidat reçoit une page d'information avant de commencer le test, expliquant la nature du BFI-2-Fr et l'usage qui en sera fait.
• Les critères évalués (5 facteurs Big Five + 15 facettes) sont documentés publiquement sur /science.
• Les profils de poste calibrés sont liés à des aptitudes professionnelles vérifiables (consciencieux pour la rigueur, extraversion pour le commercial, etc.).
• Le candidat peut demander à recevoir son rapport et la pondération appliquée à son poste.

RGPD — bases, finalités, durées

Vos droits sont applicables sans condition :

• Droit d'accès (Art. 15) — récupérer son rapport complet.
• Droit de rectification (Art. 16).
• Droit à l'effacement (Art. 17) — droit à l'oubli activé via le dashboard.
• Droit à la portabilité (Art. 20) — export JSON disponible.
• Droit d'opposition (Art. 21).

Tests RH — référentiels CNIL

La CNIL encadre les outils de profilage utilisés en recrutement. Prometheus respecte les principes structurants des délibérations et recommandations applicables :

• Information préalable du candidat sur la nature du test.
• Pertinence par rapport au poste — le matching est strictement lié au profil de poste.
• Pas de discrimination : audit régulier des écarts par genre/âge (cf. /science#discrimination).
• Confidentialité des résultats : seuls les utilisateurs habilités au sein de l'organisation y accèdent.
• Sécurité du traitement : chiffrement at-rest et en transit, accès journalisé.

Audit log — qui a fait quoi, quand

Chaque action sensible est journalisée par utilisateur dans une table immuable : consultation de rapport, partage, génération PDF, suppression de candidat, changement de plan. Disponible côté DRH dans Paramètres → Audit log.

• Identité de l'utilisateur (email + role).
• Action effectuée et entité concernée (candidat, équipe, organisation).
• Horodatage UTC.
• Adresse IP hashée et user agent.
• Conservation : 5 ans (durée légale de prescription contractuelle).

IA Act — outil à risque limité

Le Règlement européen sur l'IA (AI Act, 2024) classe les systèmes d'IA selon leur niveau de risque. Prometheus se classe en risque limité, et non en risque élevé, pour les raisons suivantes :

• Le système ne prend aucune décision finale en matière de recrutement (Art. 22 RGPD respecté).
• Le score d'adéquation est un assistant d'évaluation, présenté avec son contexte et ses limites.
• Le candidat est informé qu'il interagit avec un système algorithmique d'aide à la décision.
• L'organisation cliente reste pleinement responsable de la décision RH finale.

Une auto-évaluation IA Act détaillée est disponible sur demande pour vos comités d'éthique ou audits internes.

Mesure de la discrimination

Pour démontrer la non-discrimination, Prometheus calcule régulièrement les écarts moyensde score d'adéquation par genre et tranche d'âge, sur des cohortes anonymisées. Les résultats sont publiés sur la page Science et disponibles à vos partenaires sociaux.

La méthodologie : test t de Student sur les scores d'adéquation entre groupes, taille d'effet (d de Cohen), seuils d'alerte calibrés sur les recommandations de la jurisprudence française et européenne en matière de discrimination indirecte.

Voir les chiffres détaillés sur la page Science →