Les règles FCRA rencontrent l’IA dans le recrutement en 2026: le profil de risque d’Eightfold AI et les contrôles qui comptent

Au début de 2026, la technologie de recrutement basée sur l’IA rencontre de front les normes neutres en matière de technologie de la loi sur l’équité des rapports de crédit (Fair Credit Reporting Act - FCRA). Le message des régulateurs et des tribunaux est simple: les sorties automatisées ne sont pas au-dessus des lois. Si un fournisseur fournit des informations individualisées, pertinentes pour l’emploi, et se comporte comme une agence de rapport sur le crédit, les obligations FCRA s’appliquent qu’il s’agisse d’une IA ou non. Cela place des fournisseurs comme Eightfold AI à un carrefour stratégique: concevoir des produits pour éviter les caractéristiques d’une agence de rapport sur le crédit ou opérer en tant que (ou par l’intermédiaire d’) une CRA et offrir une infrastructure complète de précision, de divulgation et de traitement des litiges.

Un tableau de risques changeant—sans affaires publiques nommant Eightfold AI—pour le moment

Les dossiers publics et les communiqués des agences jusqu’à fin janvier 2026 ne montrent aucune poursuite FCRA, ordonnances de consentement ou enquêtes formelles nommant Eightfold AI. De même, il n’y a aucune affaire publique identifiée alléguant que les clients d’Eightfold ont encouru une responsabilité FCRA spécifiquement en raison de l’utilisation de ses produits. Le silence, cependant, n’est pas une immunité. Des lettres de demande confidentielles et des enquêtes réglementaires non publiques peuvent précéder des litiges ou des règlements, et les fournisseurs dans des catégories adjacentes ont fait face à des examens importants par la FCRA. Le profil de risque ici est dynamique: il est défini moins par la marque sur la boîte que par la manière dont l’outil est construit, commercialisé, intégré et réellement utilisé par les employeurs.

Les questions seuil: rapports de consommateur et statut de CRA

La FCRA repose sur deux questions essentielles:

La sortie est-elle un rapport de consommateur?
Le fournisseur fonctionne-t-il en tant qu’agence de rapport sur le crédit?

Un rapport de consommateur est toute communication concernant le caractère, la réputation, les caractéristiques personnelles ou des traits similaires d’une personne, utilisée pour des décisions d’emploi ou d’autres décisions réglementées et fournie par une CRA. Une CRA, quant à elle, est toute entité qui, contre des frais, assemble ou évalue régulièrement des informations sur les consommateurs dans le but de fournir des rapports de consommateur à des tiers.

Les étiquettes ne décident pas de ces questions; c’est la fonctionnalité qui le fait. Les tribunaux examinent le but, le marketing, la connaissance des utilisations finales, le contrôle des clients, et si le fournisseur assemble ou évalue des informations pour fournir des sorties individualisées, pertinentes pour la décision, de manière récurrente. Les fournisseurs qui ont évité le statut de CRA typiquement ne commercialisaient pas pour des utilisations réglementées par la FCRA, manquaient de connaissance de telles utilisations, ou offraient des outils non conçus pour fournir les types de rapports allégués. Les vérificateurs de données de fond, en revanche, fournissent clairement des rapports de vérification individualisés et sont constamment traités comme des CRA avec toutes les obligations.

Où les sorties IA traversent le territoire FCRA

Les sorties IA de recrutement—classements, scores de correspondance, indicateurs d’adéquation ou de risque—peuvent entrer dans le territoire des rapports de consommateur lorsque trois conditions convergent:

Les sorties concernent le caractère, la réputation ou des caractéristiques personnelles pertinentes pour l’emploi.
Le fournisseur assemble ou évalue des informations (potentiellement de plusieurs sources) et fournit des sorties individualisées aux clients employeurs.
Les sorties sont utilisées ou prévues à être utilisées pour prendre des décisions d’embauche ou d’éligibilité.

Le risque augmente lorsqu’un fournisseur commercialise ces sorties pour la sélection ou l’éligibilité, les fournit à plusieurs employeurs, intègre des données négociées, construit des modules d’action défavorable, ou vérifie les clients pour des usages autorisés. Le risque diminue lorsque la fonctionnalité reste dans l’environnement d’un seul employeur, repose principalement sur les données de première partie de cet employeur et celles fournies par le candidat, et est contractualisée et techniquement à l’abri des usages réglementés par la FCRA. Les avertissements seuls ne sauveront pas un produit qui fonctionne et paraît comme un service de CRA.

Pour Eightfold et ses homologues, les décisions de conception autour de ces éléments—pas la présence d’une IA—déterminent si la FCRA s’applique.

Les obligations de l’employeur découlant de l’utilisation de rapports de consommateur

Lorsqu’un employeur obtient un rapport de consommateur pour des fins d’emploi, la FCRA impose un flux de travail bien défini:

But autorisé et certification: L’employeur doit avoir un but autorisé et fournir des certifications à la CRA.
Divulgation et autorisation: Avant l’obtention, l’employeur doit donner à l’individu une divulgation claire et distincte et obtenir une autorisation écrite.
Pré-action défavorable et action défavorable: Si l’employeur envisage de prendre une action défavorable basée même en partie sur le rapport, il doit donner à l’individu une copie du rapport et un Résumé des Droits, attendre un délai raisonnable, et ensuite émettre un avis d’action défavorable avec un contenu prescrit.

Si une partie d’un produit de recrutement IA fonctionne en tant que CRA (ou est intégré dans des flux de travail de CRA), le fournisseur doit soutenir la conformité du client avec ces étapes et mettre en œuvre la vérification et les certifications des utilisateurs. Les employeurs restent responsables de manière indépendante pour bien gérer les fondamentaux.

Obligations de précision à l’ère de la correspondance algorithmique

Les CRA doivent suivre des procédures raisonnables pour assurer la précision maximale possible. Les régulateurs ont spécifiquement rejeté la correspondance basée uniquement sur le nom comme incompatible avec ce devoir. Dans le contexte algorithmique, cela signifie:

Utiliser la résolution d’identité multi-facteur au lieu de la correspondance uniquement sur le nom ou faible.
Lier les registres de manière conservatrice et employer une révision humaine de secours lorsque les correspondances sont ambiguës.
Concevoir des caractéristiques de modèle et des pipelines de résolution d’entités avec des contrôles de précision, des journaux et des tests rétroactifs.

Les actions en justice contre les vérificateurs d’antécédents soulignent les enjeux: une correspondance lâche a attribué à tort des dossiers criminels ou d’expulsion, coûtant aux gens un emploi et un logement. Si les vendeurs d’IA choisissent de fonctionner en tant que CRA ou de fournir des sorties similaires à celles de la CRA, ces attentes en matière de précision deviennent essentielles.

Litiges, dossiers publics et responsabilité des fournisseurs

Les consommateurs ont le droit de contester. Les CRA doivent mener des réenquêtes en temps opportun et corriger ou supprimer les informations inexactes. Des devoirs spéciaux s’appliquent aux dossiers publics utilisés pour des décisions d’emploi—soit un avis simultané au consommateur soit des procédures strictes assurant l’exhaustivité et l’actualité.

Les fournisseurs peuvent également se retrouver dans le rôle de fournisseur. Si une plateforme IA transmet des informations détenues par l’employeur dans un pipeline de rapport de CRA et reçoit des avis de litige de la CRA, elle doit enquêter, examiner toutes les informations pertinentes, et rapporter les résultats, y compris les corrections à toutes les CRA nationales auxquelles les informations ont été fournies. Cette infrastructure de réenquête n’est pas optionnelle une fois activée.

Séparément, il est illégal d’obtenir ou d’utiliser un rapport de consommateur sans un but autorisé ou des certifications appropriées. Employeurs et fournisseurs peuvent tous deux faire face à des expositions s’ils contournent ces exigences.

Volonté, recours et exposition collective dans les affaires d’emploi

Les recours FCRA sont sévères. Le non-respect délibéré ouvre la porte à des dommages et intérêts statuaires et punitifs ainsi qu’aux honoraires d’avocat; les violations négligentes permettent de récupérer les dommages réels. La Cour suprême a statué que la “négligence téméraire” des exigences statutaires peut constituer une volonté, un standard qui capture les comportements au-delà des violations intentionnelles.

Le risque de litige collectif est nuancé après TransUnion. Les plaignants ont besoin d’une blessure concrète pour la légitimité de l’article III. Les tribunaux ont restreint la légitimité pour les membres de la classe qui ont seulement fait face à un risque de préjudice mais ont reconnu la légitimité là où des informations inexactes ont été diffusées à des tiers et utilisées dans des décisions. Dans les affaires d’emploi, où les rapports influencent directement la sélection, cette distinction compte. Les produits IA similaires à ceux des CRA peuvent donc comporter un risque collectif s’ils diffusent des sorties inexactes, pertinentes pour les décisions.

Signaux des agences et des tribunaux: FCRA neutre en technologie, périmètre plus strict pour les courtiers de données

Les régulateurs ont été explicites: la FCRA s’applique indépendamment de la technologie utilisée. L’orientation de l’employeur réitère les étapes de divulgation, d’autorisation et d’action défavorable pour toute utilisation de rapports de consommateur, et avertit que renommer un rapport “conseil” ou “résultats de recherche” n’évitera pas la conformité. Les avis consultatifs ont martelé deux points de pression dans les systèmes algorithmiques:

La correspondance basée uniquement sur le nom est incompatible avec la “précision maximale possible”.
Certains éléments de données (comme les données d’en-tête de crédit) peuvent constituer des informations de rapport de consommateur si utilisées pour des décisions d’emploi, amenant les vendeurs et utilisateurs dans le périmètre de la FCRA.

La réglementation évolue pour traiter de nombreux courtiers de données en tant que CRA lorsqu’ils vendent des données personnelles utilisées pour l’emploi, le crédit ou les décisions d’assurance. La direction est claire même si les contours finaux restent en suspens: fonction sur forme, et utilisation sur étiquettes.

Précédents qui encadrent le risque d’embauche IA: vérificateurs d’antécédents vs plateformes d’analyse

L’application de la loi contre les entreprises de vérification d’antécédents montre ce qui se passe lorsqu’un fournisseur opère clairement en tant que CRA mais échoue sur la précision et les litiges. Les règlements ont mis en lumière une correspondance lâche, des procédures inadéquates, et des dysfonctionnements en matière de réenquête. L’action contre les sites de recherche sur les personnes confirme que le marketing comme convenant pour l’emploi ou d’autres décisions réglementées, sans contrôles CRA, entraîne une responsabilité FCRA malgré les avertissements.

D’autre part, les tribunaux ont refusé de traiter certaines analyses et outils de référence comme des CRA sur les dossiers présentés lorsque les fournisseurs ne commercialisaient pas pour des utilisations régulées par la FCRA, manquaient de connaissance de telles utilisations ou ne fournissaient pas le type de rapport allégué. Ces décisions mettent en évidence un chemin viable de conception pour les fournisseurs d’embauche IA: rester en dehors de la voie des CRA à moins que vous ne soyez prêt à faire tout ce qu’une CRA doit faire.

Conception sans les caractéristiques d’une CRA: choix de produits, données et marketing

Pour Eightfold AI et les plateformes similaires, la façon la plus fiable de réduire le risque FCRA est d’éviter les caractéristiques d’une CRA par conception:

Portée du produit: Positionner les sorties comme un soutien à la décision dans l’environnement d’un seul employeur plutôt que comme des rapports individualisés fournis à travers les employeurs.
Approvisionnement en données: Préférer les données de première partie des employeurs et celles fournies par les candidats; soumettre toute donnée externe à une diligence accrue étant donné l’expansion du périmètre CRA pour les courtiers de données.
Entrées sensibles: Interdire ou restreindre techniquement l’ingestion de l’historique criminel ou du crédit, sauf si l’on opère dans un module conforme à la CRA.
Résolution d’identité: Concevoir au-delà de la correspondance uniquement sur le nom avec une résolution multi-identifiant, des seuils conservateurs, et une révision humaine pour les cas limites.
Marketing: Éviter les termes comme “vérification”, “éligibilité” ou “antécédents” qui signalent une intention de CRA; les avertissements n’aident que lorsqu’ils sont alignés avec la fonctionnalité et l’utilisation réelles.

Ces choix ne limitent pas seulement l’exposition légale; ils réduisent également le poids opérationnel des obligations CRA qui peuvent ralentir la vitesse du produit et compliquer l’intégration des clients.

Contrôles opérationnels: transparence, action défavorable et humain dans la boucle

Même en restant à l’extérieur du périmètre de la CRA, certains contrôles opérationnels renforcent la position légale et éthique:

Transparence: Fournir des explications aux recruteurs sur les facteurs influençant les classements ou les correspondances, et maintenir une documentation interne (par exemple, des fiches modèles) pour les audits.
Interaction avec les candidats: Offrir des mécanismes aux candidats pour corriger les entrées sous le contrôle de l’employeur (comme les erreurs de traitement de CV).
Action défavorable: Si les produits s’intègrent ou interagissent avec des vérificateurs d’antécédents, inciter les clients à suivre les étapes requises d’action pré-défavorable/défavorable; éviter d’intégrer des flux de travail d’action défavorable à moins d’être complètement conformes à la CRA.
Supervision humaine: Garder des humains dans la boucle pour les décisions défavorables ou en cas d’incertitude; éviter le rejet automatique basé uniquement sur les sorties IA et permettre aux candidats de fournir un contexte.

Ces contrôles s’alignent avec les principes de précision FCRA et les attentes plus larges en matière de droits civils et aident à prévenir l’utilisation abusive des sorties IA comme des vérifications d’antécédents de facto.

Contrats, gouvernance client et intégrations avec les CRA

La plomberie contractuelle est là où la théorie rencontre la pratique:

Conditions d’utilisation: Interdire les utilisations réglementées par la FCRA à moins que le client ne mette en œuvre une conformité complète et que le fournisseur ne soutienne les contrôles au niveau CRA; interdire la rediffusion et le traitement des sorties comme des rapports de consommateur.
Vérification et formation des clients: Surveiller l’utilisation pour détecter des modèles interdits et faire respecter les termes, en escaladant des avertissements à la résiliation.
Intégrations: Lors de la transmission de données dans un pipeline de CRA, définir des rôles—utilisateur vs CRA vs fournisseur—obtenir des certifications, et définir des engagements de niveau de service pour le traitement des litiges, y compris des obligations d’enquête et de correction sur notification d’une CRA.
Indemnités: Où l’on n’est pas une CRA, assurer l’indemnisation du client pour une utilisation réglementée par la FCRA; où l’on opère dans le cadre FCRA, inclure des indemnités réciproques et des droits d’audit.

Ces couches de gouvernance importent le plus lors de l’expansion des clients et lors de la connexion aux flux de travail de vérification d’antécédents.

Équité et alignement interréglementaire au-delà de la FCRA

La FCRA n’est pas le seul prisme légal sur le recrutement par IA. Les agences ont souligné que les lois sur les droits civils et la protection des consommateurs s’appliquent pleinement aux systèmes automatisés. Les employeurs et les fournisseurs devraient valider que les critères de sélection sont liés au poste et cohérents avec les besoins de l’entreprise, fournir des accommodements pour les personnes handicapées, et satisfaire aux régimes de transparence et d’audit locaux tels que la loi AEDT de la ville de New York. Bien que ces obligations soient distinctes de la FCRA, les aligner réduit les frictions et les risques à travers la pile de recrutement. Les litiges dans des domaines adjacents, y compris les contestations des systèmes de recrutement automatisés, soulignent l’importance de ce cadre de conformité plus large.

Scénarios de risque pratiques et atténuations

Les pièges les plus courants—et comment les éviter—sont bien compris:

Scénario	Déclencheur potentiel FCRA	Obligations/exposition clés	Atténuations recommandées
La plateforme fournit des scores d’ajustement personnalisés aux candidats à plusieurs employeurs en utilisant des données de courtage	Les sorties et le modèle économique ressemblent à un fournisseur CRA fournissant des rapports de consommateur pour l’emploi	Devoirs CRA: vérification du but autorisé, certifications des utilisateurs, procédures de précision, réenquêtes, règles de dossiers publics, soutien d’action défavorable; responsabilité volontaire/néglicente; risque de classe	Reconcevoir pour éviter les caractéristiques de CRA ou opérer en tant que/par une CRA avec des contrôles complets; limiter les sources de données; limiter les sorties au soutien de décision intra-employeur; interdire la rediffusion
La correspondance basée uniquement sur le nom ou faible attribue à tort des dossiers utilisés dans le recrutement	Devoirs de précision si dans la FCRA; examen UDAP même en dehors de la FCRA	Exposition pour des rapports inexacts causant des résultats d’emploi défavorables; charges de réenquête	Mettre en œuvre une résolution d’identité multi-facteur, des seuils de liaison conservateurs, une révision humaine; loguer la précision; tester rétroactivement les résultats défavorables
L’employeur réutilise les scores IA comme vérifications d’antécédents proxy pour exclure des candidats	Obtention/utilisation illégale de rapports de consommateur; défaut de fournir des divulgations/autorisations/actions défavorables	Responsabilité de l’employeur; exposition potentielle du fournisseur pour facilitation ou fausse représentation	Avertissements dans les produits, surveillance de l’utilisation, formation et application; exiger que les clients utilisent des CRA pour les vérifications d’antécédents et suivent les étapes FCRA; désactiver les fonctionnalités risquées
L’intégration pousse les données de l’employeur vers une CRA; les litiges sont acheminés au fournisseur comme fournisseur	Devoirs du fournisseur sur avis de contestation	Devoir d’enquêter et de corriger; responsabilité pour manquement à le faire	Définir des rôles dans les contrats; construire des flux de travail de contestation et des SLA; maintenir la lignée des données et des traces d’audit
Le marketing suggère “vérification” ou “éligibilité” sans conformité CRA	Inférence de statut CRA basé sur le but et le marketing	Application pour avoir opéré en tant que CRA sans contrôles; réclamations de fausse représentation	Retirer le marketing de vérification/éligibilité; adopter un langage adapté à l’objectif; vérifier les clients pour empêcher les utilisations réglementées

Les perspectives 2026: réglementation, litiges et configuration des produits

En regardant vers l’avenir, trois forces façonneront les enjeux FCRA pour le recrutement IA:

Un périmètre CRA plus large pour les courtiers de données: Les règles proposées sont sur le point de classer de nombreux courtiers en tant que CRA lorsque leurs données sont utilisées pour des décisions d’emploi. Attendez-vous à un examen plus minutieux des pipelines de données tierces et à des attentes renforcées selon lesquelles les vendeurs vérifient les acheteurs et les usages prévus.
Application à travers le prisme de la précision: Les avis consultatifs sur la correspondance basée uniquement sur le nom et le traitement de certains éléments de données indiquent que les régulateurs testeront la résolution d’identité algorithmique et la qualité de l’association par rapport aux normes de “précision maximale possible”. Une correspondance faible est susceptible d’attirer l’attention, notamment lorsqu’elle produit des préjudices en matière d’emploi.
Pression légale au point de décision: Les tribunaux continueront de se concentrer sur si les sorties ont été diffusées aux employeurs et utilisées dans la sélection. Les vendeurs dont les produits fonctionnent comme des rapports de vérification feront face à la même exposition de classe que les CRA traditionnelles; ceux qui restent à l’intérieur des murs d’un employeur avec une forte gouvernance seront mieux placés pour résister à la caractérisation CRA.

Pour Eightfold AI, la configuration la plus sûre reste claire: garder les sorties dans l’écosystème de chaque employeur, éviter autant que possible les données de courtage, concevoir la résolution d’identité au-delà de la correspondance uniquement sur le nom, et orienter le marketing loin des allégations de vérification ou d’éligibilité. Si l’entreprise choisit de soutenir des cas d’utilisation qui ressemblent à un rapport de consommateur, alors le seul chemin soutenable est d’opérer en tant que—ou par l’intermédiaire d’—une CRA avec une précision complète, une divulgation, des actions défavorables, et des flux de travail de contestation.

La promesse fondamentale de la FCRA—l’utilisation équitable, précise et transparente des informations dans les décisions qui changent la vie—ne s’évapore pas face à l’apprentissage automatique. Elle devient plus urgente. Les entreprises qui prospéreront en 2026 seront celles qui embrasseront cette réalité, l’ingénieront et la prouvent dans leur conception de produit et leurs opérations. ⚖️

Points clés à retenir

Le statut CRA est déterminé par la fonction, pas les étiquettes; les sorties IA peuvent être des rapports de consommateur lorsqu’elles sont fournies et utilisées pour des décisions d’emploi.
Aucun cas FCRA public ne nomme Eightfold AI à ce jour, mais les applications et litiges adjacents cartographient les risques pour les outils de recrutement IA.
Éviter les caractéristiques CRA à moins d’être prêt à mettre en œuvre une précision complète, une divulgation, des actions défavorables, et une infrastructure de gestion des litiges.
Investir dans la résolution d’identité au-delà de la correspondance uniquement sur le nom et dans une gouvernance robuste, une transparence et une supervision humaine.
Surveiller l’élargissement de la couverture des courtiers de données et une posture d’application centrée sur la précision continue; configurer les produits en conséquence.

Sources & Références

15 U.S.C. § 1681a (FCRA definitions) Defines consumer report and consumer reporting agency, central to determining whether AI hiring outputs and providers fall within the FCRA.

15 U.S.C. § 1681b (Permissible purposes; employment duties) Outlines permissible purposes and employer obligations, including certifications and disclosures, when using consumer reports for employment.

15 U.S.C. § 1681e (Accuracy obligations) Establishes the CRA duty to follow reasonable procedures to assure maximum possible accuracy, which regulators apply to algorithmic matching.

15 U.S.C. § 1681i (Reinvestigations of disputes) Defines CRA dispute reinvestigation requirements, relevant to AI vendors acting as CRAs or integrated with CRA pipelines.

15 U.S.C. § 1681k (Public records used for employment) Sets special duties for employment-related public record reporting, a risk area for algorithmic systems handling such data.

15 U.S.C. § 1681m (Adverse action notices) Specifies pre-adverse and adverse action notice requirements when employment decisions are based on consumer reports.

15 U.S.C. § 1681n (Willful noncompliance) Details statutory and punitive damages for willful FCRA violations, framing litigation risk for AI hiring vendors and users.

15 U.S.C. § 1681o (Negligent noncompliance) Provides remedies for negligent FCRA violations, relevant to errors in AI-driven reporting or processes.

FTC Business Guidance—Background checks: What employers need to know Reinforces technology-neutral employer duties for disclosure, authorization, and adverse action when using consumer reports.

CFPB Advisory Opinion—Fair Credit Reporting; Name‑Only Matching Rejects name-only matching as incompatible with maximum possible accuracy, central to algorithmic identity resolution risks.

CFPB Advisory Opinion—Credit Header Data Signals that certain data elements can be consumer report information in employment contexts, tightening the FCRA perimeter.

CFPB Press Release—Proposed rule to rein in data brokers (FCRA) Indicates rulemaking direction to treat many data brokers as CRAs when data is used for employment decisions.

FTC Press Release—TruthFinder/Instant Checkmate FCRA action Shows that marketing for employment or other regulated uses without CRA controls can trigger FCRA enforcement despite disclaimers.

FTC Press Release—HireRight $2.6M FCRA settlement Illustrates enforcement on accuracy and reinvestigation failures by employment screening CRAs, relevant to AI accuracy obligations.

FTC Press Release—RealPage $3M FCRA settlement (tenant screening) Highlights consequences for inaccurate matching and insufficient procedures, analogous to AI-driven identity and record linkage risks.

Kidd v. Thomson Reuters, 925 F.3d 99 (2d Cir. 2019) Demonstrates courts’ function-over-labels approach and circumstances where a data platform was not treated as a CRA on the record.

Zabriskie v. Fannie Mae, 912 F.3d 1192 (9th Cir. 2019) Shows a tool not treated as a CRA based on its purpose and design, informing AI vendor risk-reduction strategies.

Sweet v. LinkedIn Corp., No. 5:14‑cv‑04531 (N.D. Cal. Apr. 14, 2015) Underscores how marketing and functionality can keep a platform outside FCRA on the pleadings when not furnishing consumer reports.

Safeco Ins. Co. of America v. Burr, 551 U.S. 47 (2007) Defines willfulness standard as including reckless disregard, key to damages exposure assessments.

TransUnion LLC v. Ramirez, 141 S. Ct. 2190 (2021) Clarifies Article III standing for FCRA class members, shaping litigation risk where AI outputs are disseminated and used.

Joint Statement (FTC/DOJ/CFPB/EEOC) on AI and civil rights enforcement Affirms that existing anti-discrimination and consumer protection laws apply to automated systems in hiring.

EEOC—AI and Title VII Technical Assistance Guides employers on applying civil rights law to software and algorithms, complementing FCRA compliance in hiring.

NYC Local Law 144 (AEDT) resource page Shows local transparency and audit requirements that intersect with AI hiring practices beyond the FCRA.

Hebert v. Workday, Inc., N.D. Cal. Docket Reflects litigation testing the application of civil rights law to automated hiring systems, contextual to the AI governance landscape.