Conformité au Règlement (UE) 2024/1689 — AI Act
Dernière mise à jour : 14 mai 2026 — Version 1.0
RACCORD·IA SRL, éditeur de la plateforme RACCORD·IA, déclare avoir mis en œuvre les mesures techniques et organisationnelles nécessaires à la conformité de son système d'IA de recrutement au Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, dit « AI Act ».
Le présent document constitue le dossier public de conformité. Il est mis à jour à chaque évolution matérielle du système. Documentation technique complète, registre des incidents, journaux d'audit et déclaration UE de conformité disponibles sur demande : hello@raccord-ia.be.
1. Classification réglementaire
RACCORD·IA est un système d'IA à haut risque au sens de l'Annexe III, point 4, lettre a) du Règlement (UE) 2024/1689, en tant qu'il est destiné à être utilisé pour « le tri, le filtrage des candidatures, l'évaluation des candidats » dans le cadre du recrutement.
Cette classification implique l'application des chapitres III (Art. 8 à 49) et IX (Art. 72 à 84) du Règlement.
| Critère | Valeur |
|---|
| Identifiant du système | RACCORD·IA — Plateforme CRM/ATS Recrutement |
| Version | 2.5 (mai 2026) |
| Fournisseur | RACCORD·IA SRL — BCE BE 1035.600.704 — Belgique |
| Usage prévu | Sourcing, qualification, communication automatisée et évaluation initiale des candidats pour des cabinets de recrutement (B2B) |
| Bénéficiaires (déployeurs) | Cabinets de recrutement, départements RH |
| Personnes affectées | Candidats à un emploi en Belgique, France, Luxembourg, Suisse |
| Hébergement | Supabase Frankfurt — Union européenne (RGPD-compliant) |
| Modèles tiers utilisés | OpenAI GPT-4o / Embeddings, Anthropic Claude Haiku 4.5, ElevenLabs Flash v2.5, Deepgram Flux, Telnyx AI Assistants |
2. Système de gestion des risques (Art. 9)
Un processus continu d'identification, d'analyse, d'évaluation et de mitigation des risques est en place :
- Identification : analyse trimestrielle des risques liés à l'IA (hallucination, biais, divulgation de données, sur-confiance, dépendance technologique).
- Mitigation par conception : seuils de confiance obligatoires sur chaque décision IA (≥85 pour les actions sensibles, ≥50 sinon ; sous 50 → escalade humaine systématique).
- Mécanisme de pré-validation : tout résultat à confiance intermédiaire est mis en file
pending_validation et notifié au recruteur dans la messagerie d'équipe.
- Mémoire d'apprentissage : les corrections apportées par les recruteurs sont enregistrées (table
ai_lessons) et réinjectées dans les prompts pour éviter la récidive d'erreurs identiques.
- Mécanisme « handoff » : dès qu'un recruteur intervient manuellement sur un candidat (kanban, validation, rejet), le système retire automatiquement ce candidat du flux automatique (
handed_to_recruiter) et met en pause la séquence email associée.
- Soft-cap budget : plafond mensuel d'utilisation par siège pour éviter tout emballement (300 min/siège/mois par défaut, alertes 80 % et 100 %).
3. Gouvernance et qualité des données — Non-discrimination (Art. 10)
3.1 Données utilisées pour l'inférence
- Données candidat fournies par le déployeur (CV, profil LinkedIn, échanges) — propriété et responsabilité du déployeur.
- Données dossier de poste (brief, compétences requises, fourchette salariale) — fournies par le déployeur.
- Aucune donnée d'entraînement propre n'est utilisée : RACCORD·IA s'appuie sur des modèles fondation tiers (GPT-4o, Claude Haiku, etc.). Aucune donnée client n'est utilisée pour ré-entraîner ces modèles (clauses contractuelles d'opt-out activées chez chaque fournisseur).
3.2 Mesures anti-discrimination
Le système est explicitement conçu pour ne pas effectuer de filtrage sur des critères protégés (article 21 de la Charte des droits fondamentaux de l'UE) :
- Genre, identité de genre, orientation sexuelle : aucun filtrage. Le prénom est utilisé uniquement pour la personnalisation des communications.
- Origine raciale ou ethnique, nationalité, langue parlée : aucun filtrage. Le critère « langue de travail » est pris en compte uniquement si explicitement requis par la fiche de poste (ex : « néerlandais requis »).
- Âge : aucun filtrage. Le critère « niveau d'expérience » est pris en compte uniquement s'il figure explicitement dans la fiche de poste.
- Handicap, état de santé, situation familiale : aucun filtrage. Aucune extraction ni inférence sur ces données depuis les CV.
- Convictions religieuses, opinions politiques, appartenance syndicale : aucun filtrage. Aucune extraction.
Les prompts de matching sont auditables et ne contiennent aucune instruction discriminatoire. Une revue annuelle des prompts est conduite par notre équipe pour vérifier l'absence de drift discriminatoire (rapport disponible sur demande).
3.3 Reconnaissance d'émotions — Interdiction Art. 5(1)(f)
RACCORD·IA ne procède à aucune reconnaissance d'émotions sur le lieu de travail ou en contexte de recrutement. Les analyses vidéo et tests psychométriques (DISC) portent exclusivement sur le contenu déclaratif et les compétences exprimées. Aucune analyse d'expressions faciales, de tonalité émotionnelle ou de signaux physiologiques n'est effectuée.
4. Documentation technique (Art. 11)
Une documentation technique conforme à l'Annexe IV du Règlement est tenue et mise à jour à chaque release majeure. Elle couvre :
- Description générale du système, usage prévu, modes opératoires
- Architecture, composants, interactions avec les modèles tiers
- Spécifications des données utilisées et de leur traçabilité
- Mesures de supervision humaine et procédures associées
- Indicateurs de précision, robustesse, cybersécurité (cf. §8)
- Gestion des risques et registre des incidents
- Procédures d'évaluation de la conformité
La documentation technique complète (≈ 80 pages) est disponible sur demande motivée à hello@raccord-ia.be et peut être communiquée aux autorités compétentes sous 10 jours ouvrés.
5. Journalisation et traçabilité (Art. 12)
Tout événement automatisé du système est enregistré avec horodatage UTC. Les journaux suivants sont conservés pendant la durée prévue à l'article 19 :
| Journal | Contenu | Durée de conservation |
|---|
agent_jobs | Cycle de vie de chaque action IA (sourcing, séquence, appel, validation, handoff) | 2 ans |
agent_events | Décisions intermédiaires et transitions d'état avec scores de confiance | 2 ans |
appels_enregistres | Transcript, score, résumé IA, durée des appels IA — sans enregistrement audio | 2 ans |
chat_messages | Notifications, escalades vers les recruteurs | 2 ans |
bug_reports | Incidents fonctionnels remontés par les clients ou détectés en monitoring | 3 ans |
Les journaux sont accessibles au déployeur (cabinet) via le tableau de bord Autopilot, et exportables sur demande pour audit par les autorités.
6. Transparence envers les déployeurs et candidats (Art. 13 + Art. 50)
6.1 Envers les cabinets (déployeurs)
- Notice d'utilisation détaillée fournie à l'onboarding, précisant les capacités, limitations et risques résiduels du système.
- Tableau de bord Autopilot en temps réel exposant l'activité de l'IA, les scores de confiance, et les actions en attente de validation.
- Accès aux journaux de décision pour chaque candidat.
6.2 Envers les candidats (personnes affectées)
- Les candidats sont informés avant tout appel IA par un email explicite : « Notre assistant IA vous appellera le [créneau]… » (objet : « Confirmation : appel IA »).
- L'agent vocal indique clairement, au début de toute interaction, qu'il s'agit d'une conversation avec un assistant IA si le candidat le demande ou en cas de doute manifeste.
- Les candidats peuvent demander, à tout moment, un échange avec un recruteur humain (mention dans l'email pré-appel et possibilité de demande en cours d'appel).
- Politique de confidentialité publique : /fr/privacy.html.
7. Supervision humaine (Art. 14)
Conformément à l'article 14, le système est conçu pour permettre une supervision humaine effective à toutes les étapes :
- Activation explicite : l'Autopilot doit être activé manuellement par le recruteur sur chaque dossier ; il peut être interrompu à tout moment via un interrupteur principal.
- Aucune décision défavorable automatique : tout rejet, mise en standby ou exclusion d'un candidat est obligatoirement validé par un recruteur humain. Le système ne fait que recommander.
- Validation par lots : les actions sensibles (rejet automatique, envoi de communications, changement de phase pipeline) à confiance moyenne (50-84) sont mises en file
pending_validation avec notification au recruteur.
- Override manuel : tout candidat géré par l'IA peut être repris manuellement par le recruteur (kanban, fiche candidat) ; le système se met automatiquement en retrait sur ce candidat.
- Boutons d'arrêt d'urgence : pause de tous les agents, nettoyage du flux temps réel, accès direct aux validations en attente — disponibles en permanence sur le tableau de bord.
- Formation des utilisateurs : un module d'onboarding obligatoire couvre l'usage responsable, les limitations et les biais possibles du système.
8. Précision, robustesse, cybersécurité (Art. 15)
8.1 Précision
- Tests automatisés sur jeu de candidatures fictives représentatives (≥ 50 scénarios, ≥ 90 % de couverture des cas d'usage).
- Métriques continues : taux de faux positifs / faux négatifs sur les scores de matching, comparés trimestriellement au benchmark d'un expert humain.
- Détection de drift : alerte automatique si la distribution des scores dévie de plus de 15 % par rapport à la baseline mensuelle.
8.2 Robustesse
- Mécanismes de retry et fallback sur tous les appels aux modèles tiers (OpenAI, Anthropic, ElevenLabs, Telnyx).
- Idempotence sur les actions critiques (envoi d'email, décompte de crédits, création de séquence) pour éviter doublons en cas de retry.
- Validation stricte des entrées (RPC Supabase avec vérification du
org_id et de l'auth.uid() sur toutes les opérations sensibles).
- Tests d'intégration automatisés (Playwright E2E) exécutés à chaque déploiement.
8.3 Cybersécurité
- Chiffrement TLS 1.3 sur toutes les communications.
- Row Level Security (RLS) Supabase activé sur 100 % des tables exposées.
- Authentification JWT, jetons à durée limitée, audit des sessions actives.
- Hashage / chiffrement des secrets (clés API, mots de passe SMTP, tokens OAuth).
- Vérification HMAC sur les états OAuth (anti-CSRF) et Ed25519 sur les webhooks tiers (anti-forge, anti-replay).
- Soft-cap quotidien sur les envois LinkedIn pour prévenir les usages abusifs ou les bans plateforme.
- Audit de sécurité interne annuel + suivi continu des vulnérabilités Supabase Advisors.
9. Système de gestion de la qualité (Art. 17)
Un système de gestion de la qualité documenté et appliqué de manière continue garantit la conformité du système. Il couvre :
- Politique de conformité réglementaire : revue trimestrielle de la veille réglementaire (AI Act, RGPD, lois nationales applicables).
- Conception et développement : revue de code obligatoire avant tout merge sur la branche de production ; ségrégation des environnements (preview / staging / production).
- Contrôle qualité : tests automatisés (unit, intégration, E2E) ; revue manuelle de toute nouvelle fonctionnalité IA avant activation par défaut.
- Gestion des incidents : tout incident impactant le système ou les utilisateurs est tracé (
bug_reports), analysé et résolu sous SLA de 24 à 72h selon la criticité.
- Procédures de modification : tout changement majeur du système IA (modèle, prompts, seuils) est versionné, documenté et communiqué aux déployeurs avec préavis.
- Communication avec les autorités : point de contact unique à hello@raccord-ia.be pour toute demande de l'autorité de surveillance du marché ou du Comité européen de l'IA.
- Reporting interne : tableau de bord opérationnel exposant les KPIs de précision, robustesse et incidents.
10. Analyse d'impact relative à la protection des données (Art. 26 + RGPD Art. 35)
Une analyse d'impact (DPIA) a été conduite et formalisée. Elle évalue :
- Nature des données traitées : identité, contact, parcours professionnel des candidats (catégories non sensibles au sens de l'article 9 du RGPD).
- Finalités : sourcing, communication, qualification, scoring pour le compte du cabinet déployeur.
- Bases légales : intérêt légitime du cabinet et de Raccord·IA (article 6.1.f RGPD) pour la mise en relation ; consentement du candidat pour les communications directes.
- Risques identifiés : hallucination IA, sur-confiance dans les scores, biais inconscients, divulgation accidentelle de données entre clients.
- Mesures de mitigation : seuils de confiance, validation humaine obligatoire pour décisions défavorables, RLS strict, journalisation, droit d'accès et rectification (cf. politique de confidentialité), absence de reconnaissance d'émotions.
- Risque résiduel : faible. Réévaluation annuelle.
Le rapport DPIA détaillé est mis à disposition des déployeurs (cabinets) pour étayer leur propre DPIA, dont ils sont les responsables au sens de l'article 35 RGPD. Demande à hello@raccord-ia.be.
11. Enregistrement au registre UE (Art. 49)
Conformément à l'article 49 du Règlement, RACCORD·IA enregistrera le système dans la base de données européenne des systèmes d'IA à haut risque dès l'ouverture effective du registre par la Commission européenne (calendrier : courant 2026, applicabilité pleine au 2 août 2026).
Les informations devant figurer au registre (Annexe VIII) sont préparées et tenues à jour :
- Nom et coordonnées du fournisseur : RACCORD·IA SRL, BCE BE 1035.600.704
- Identifiant et version du système
- Description, usage prévu, modèles fondation utilisés
- Statut sur le marché, États membres dans lesquels le système est commercialisé
- Lien vers le présent dossier de conformité et la déclaration UE de conformité
12. Surveillance post-commercialisation et incidents (Art. 72-73)
Un système de surveillance après mise sur le marché est en place :
- Monitoring continu : suivi automatique des indicateurs de performance, distribution des scores, taux d'escalade humaine, taux d'erreur.
- Feedback structuré : les corrections des recruteurs sur les recommandations IA sont enregistrées dans
ai_lessons et utilisées pour affiner le système.
- Reporting des incidents graves : tout incident grave (atteinte aux droits fondamentaux d'un candidat, défaillance majeure, faille de sécurité) sera notifié à l'autorité de surveillance du marché compétente dans les 15 jours suivant sa survenance (article 73).
- Contact incidents : hello@raccord-ia.be — point unique signalement, qualifié sous 48h.
13. Déclaration UE de conformité (Art. 47)
La déclaration UE de conformité atteste que RACCORD·IA satisfait aux exigences essentielles du chapitre III, section 2 du Règlement (UE) 2024/1689. Elle est tenue à disposition des autorités nationales compétentes pendant 10 ans à compter de la mise sur le marché du système.
Éléments de la déclaration :
| Champ | Valeur |
|---|
| Nom du système | RACCORD·IA |
| Type | Système d'IA à haut risque (Annexe III, point 4(a)) |
| Fournisseur | RACCORD·IA SRL — Belgique — BCE BE 1035.600.704 |
| Adresse | Disponible sur demande |
| Représentant autorisé UE | Identique au fournisseur (entité belge) |
| Procédure d'évaluation | Contrôle interne — Annexe VI du Règlement |
| Normes harmonisées appliquées | À mettre à jour à publication des normes harmonisées par le CEN-CENELEC |
| Date de mise sur le marché | Octobre 2024 |
| Signature du responsable | Alessandro Dell'Aira, gérant — RACCORD·IA SRL |
Le document signé est disponible sur demande motivée à hello@raccord-ia.be.
RACCORD·IA