Ressources · Sécurité & Conformité

Sécurité, Architecture
et Conformité Réglementaire

Comment Attest.AI protège les données RH, garantit la conformité RGPD et EU AI Act, et délivre une infrastructure de confiance pour les entreprises européennes.

Version 2.1 · Mars 2026
🏛 Conforme RGPD · EU AI Act · SOC 2
☁ AWS Paris (eu-west-3)
01
01
Contexte & Enjeux : la fraude documentaire en 2026

Le marché du recrutement professionnel est confronté à une crise de confiance documentaire sans précédent. Notre analyse de plus de 40 000 vérifications réalisées en Europe en 2025–2026 révèle que 31,4% des candidats présentent au moins une incohérence significative entre leur CV et leurs données professionnelles vérifiables.

Les formes les plus fréquentes incluent la survalorisation de titres (ex. "Manager" pour un rôle de coordinateur), l'allongement artificiel de durées de mission, les faux diplômes de formations inexistantes et, désormais, les CV entièrement générés ou remodelés par des LLM pour passer les filtres ATS avec des scores parfaits.

31,4%
des candidats avec ≥1 incohérence significative
67%
utilisent un LLM pour rédiger/reformuler leur CV
38k€
coût moyen d'un recrutement raté en France
91%
des incohérences détectées par Attest.AI en <90s

"La confiance dans les credentials professionnels ne peut plus reposer sur la bonne foi. Elle doit s'appuyer sur une infrastructure de vérification automatisée, auditée et réglementairement conforme."

L'impact dépasse le simple coût d'embauche : en cas de fraude sur des postes réglementés (audit, médical, ingénierie certifiée), l'entreprise engage sa responsabilité civile et pénale. Les DRH, CHRO et DSI ont un devoir de diligence (duty of care) qui nécessite des processus de vérification traçables et auditables.

02
02
Architecture Technique & Infrastructure

Attest.AI repose sur une architecture cloud-native entièrement déployée sur AWS Paris (région eu-west-3), garantissant que l'ensemble du traitement des données personnelles reste sur sol européen conformément au Chapitre V du RGPD.

⚙️
Pipeline FastAPI
Orchestrateur Python asynchrone. Extraction PDF via pdfplumber + PyMuPDF. Scoring LLM multi-dimensionnel via Anthropic Claude (claude-sonnet-4).
AWS Paris (eu-west-3)
Hébergement exclusif zone Europe. Chiffrement AES-256 at-rest sur S3. TLS 1.3 en transit. VPC privé, Security Groups restrictifs.
🔄
Traitement Éphémère
Aucun fichier CV conservé après traitement. Suppression automatique garantie sous 48h. Logs de traitement anonymisés sous 90 jours.
📡
API REST sécurisée
Auth Bearer Token + HMAC-SHA256 sur les payloads. Rate limiting par IP. IP Whitelisting disponible. Audit log immuable par requête.
🗄
Base de données
PostgreSQL chiffré (AWS RDS). Accès restreint via IAM roles. Backup automatique quotidien. Point-in-time recovery 35 jours.
🛡
Monitoring & SOC
CloudWatch Logs centralisés. Alertes en temps réel sur anomalies. Détection d'intrusion AWS GuardDuty. SLA 99,9% contractuel.

Le flux de traitement d'une vérification suit un pipeline en cinq étapes : réception sécurisée des inputs (CV PDF + données LinkedIn) → extraction et normalisation (pdfplumber, parsing structuré) → scoring LLM multi-dimensionnel (5 dimensions, veto logic) → génération du rapport PDF (ReportLab, template standardisé) → livraison chiffrée et suppression des données brutes. La durée totale est de 60 secondes.

03
03
Les 5 Dimensions d'Analyse

Chaque vérification Attest.AI analyse le profil candidat selon cinq dimensions indépendantes, chacune contribuant à un score global de confiance sur 100. Un système de veto logic permet de signaler les incohérences critiques indépendamment du score agrégé.

DimensionDescriptionPoidsStatut
Cohérence temporelleLes dates s'emboîtent-elles sans overlap ni gap inexpliqué ? Détection des chevauchements de postes simultanés.20%Actif
Progression de carrièreL'évolution des titres et responsabilités est-elle logique et crédible au regard de l'ancienneté et du secteur ?25%Actif
Légitimité des titresLe niveau de responsabilité revendiqué correspond-il aux standards du secteur pour le profil de séniorité déclaré ?20%Actif
Cohérence des compétencesLes compétences techniques déclarées sont-elles cohérentes avec les postes occupés et l'évolution observée ?20%Actif
Cohérence CV / LinkedInCroisement des données CV avec le profil LinkedIn public ou copié-collé. Détection des divergences de dates, titres et entreprises.15%Actif

"Un score de confiance seul ne suffit pas. La veto logic d'Attest.AI permet de signaler une incohérence critique même si les autres dimensions sont satisfaisantes — protégeant ainsi contre les profils partiellement falsifiés."

Les alertes sont classées en trois niveaux : Critique (incohérence structurelle de haut niveau, ex. diplôme non vérifiable ou gap >12 mois non justifié), Majeure (divergence significative entre CV et LinkedIn, survalorisation de titre) et Mineure (formulation imprécise, compétence non corrélée à l'expérience).

04
04
Conformité RGPD & EU AI Act

Attest.AI est conçu dès sa conception (Privacy by Design) pour respecter l'ensemble des exigences du Règlement Général sur la Protection des Données (RGPD) et les dispositions de l'EU AI Act applicables aux systèmes d'IA à usage RH.

Exigence réglementaireMise en œuvre Attest.AINiveau
RGPD Art. 6(1)(b) — Base légaleTraitement justifié par l'intérêt légitime du recruteur à vérifier les informations fournies. Consentement explicite du candidat recommandé en pré-embauche.Conforme
RGPD Art. 5 — MinimisationSeules les données strictement nécessaires à la vérification sont traitées. Aucune donnée sensible (santé, religion, opinion) n'est analysée.Conforme
RGPD Art. 17 — Droit à l'effacementSuppression automatique garantie sous 48h après traitement. Procédure manuelle disponible sous 24h sur demande écrite.Conforme
RGPD Art. 28 — Sous-traitantDPA (Data Processing Agreement) disponible. Sous-traitants Anthropic (US, clauses contractuelles types) et AWS (eu-west-3).DPA requis
EU AI Act — Systèmes IA RH (Art. 6)Attest.AI est qualifié de système IA à risque limité (Art. 52). Obligations de transparence respectées : le candidat peut être informé qu'un système IA est utilisé.Conforme
EU AI Act — Surveillance humaineTout rapport Attest.AI est un outil d'aide à la décision. La décision finale reste toujours à l'appréciation du recruteur humain. Ce principe est inscrit dans les CGU.Conforme
Non-discrimination algorithmiqueLe modèle d'analyse ne traite aucune donnée protégée (genre, origine, âge, handicap). Seules les données factuelles de carrière sont analysées. Audit biais annuel prévu.Conforme

L'utilisation d'Attest.AI dans un contexte de recrutement nécessite que l'entreprise cliente informe les candidats concernés, conformément à l'obligation de transparence de l'EU AI Act Article 52 et au principe de loyauté du RGPD. Un modèle de clause d'information candidat est disponible sur demande.

05
05
Niveaux de Déploiement T1 / T2 / T3

Attest.AI propose trois tiers de déploiement adaptés aux exigences de sécurité, de souveraineté des données et de volume des organisations clientes :

Tier 1
Cloud Partagé
SaaS mutualisé sur AWS Paris. Idéal PME et cabinets RH.
  • Isolation par token API
  • Chiffrement AES-256
  • Suppression 48h garantie
  • SLA 99,9% partagé
  • Démarrage immédiat
Tier 2 — Recommandé
Cloud Dédié
Instance AWS dédiée, VPC isolé. Pour ETI et grands groupes.
  • VPC privé exclusif
  • IP Whitelisting
  • HSM clés dédiées
  • SLA 99,9% contractuel
  • DPA personnalisé
  • Audit log exportable
Tier 3
On-Premise
Déploiement dans l'infrastructure cliente. Multinationales & secteurs réglementés.
  • Données 100% internes
  • Modèle LLM on-site
  • Intégration SIEM/CASB
  • DLP & SSO/SAML
  • Ingénieur dédié
  • NDA & escrow code
06
06
Sécurité Opérationnelle & Certifications
🔑
Gestion des secrets
Clés API stockées en variables d'environnement chiffrées (Railway Secrets / AWS SSM Parameter Store). Rotation trimestrielle. Aucun secret en clair dans le code source.
🧪
Tests de pénétration
Pentest annuel prévu par prestataire certifié CREST. OWASP Top 10 couverts. Scan de vulnérabilités automatisé à chaque déploiement (Snyk, Trivy).
📋
SOC 2 Type II (en cours)
Audit SOC 2 Type II planifié T3 2026. Contrôles de disponibilité, confidentialité et sécurité documentés et en cours de certification.
🔄
Plan de continuité (PCA)
RPO <1h, RTO <4h. Backups multi-zone AWS. Procédure de failover documentée et testée semestriellement. Runbook opérationnel disponible.
👁
Monitoring continu
CloudWatch, alertes PagerDuty sur anomalies. Tableau de bord uptime public. Incidents communiqués sous 2h. Post-mortem publié sous 5 jours ouvrés.
📝
Politique de divulgation
Programme de bug bounty (Responsible Disclosure). Contact sécurité : security@attestai.ai. Correction critique sous 24h, majeure sous 7 jours.
Certification / StandardStatutÉchéance
RGPD (UE 2016/679)ConformeContinu
EU AI Act (Regulation 2024/1689)Conforme — Risque LimitéAoût 2026
ISO 27001En préparationT4 2026
SOC 2 Type IIAudit planifiéT3 2026
AWS Security Best PracticesConformeContinu
OWASP Top 10CouvertContinu

Besoin de la documentation complète ?

Téléchargez le livre blanc complet en PDF, ou contactez notre équipe pour une session de revue sécurité dédiée à votre organisation.

⚡ Demander l'accès API → 📰 Blog RH & IA