Politique de Confidentialité
Dernière mise à jour : 4 janvier 2025
1. Identité du Responsable de Traitement
RAO - Réponses aux Appels d'Offres [Votre nom/raison sociale] [Adresse complète] Email : [contact@votredomaine.fr] Email RGPD : [rgpd@votredomaine.fr]
2. Données Collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service :
2.1 Données d'identification
- Nom et prénom (via Google OAuth)
- Adresse email (via Google OAuth)
- Photo de profil (optionnelle, via Google)
2.2 Données de candidature
- CV (fichier PDF uploadé par vos soins)
- Texte parsé du CV (extraction automatique pour analyse)
- Offres d'emploi saisies ou copiées
- Dossiers de compétences générés par l'IA
2.3 Données de paiement
- Informations de paiement : Traitées par Stripe (nous ne stockons pas vos coordonnées bancaires)
- Historique de transactions : Date et montant des paiements
2.4 Données techniques
- Logs de connexion : Adresse IP, date/heure, navigateur
- Cookies de session : Pour maintenir votre connexion (NextAuth)
3. Finalités du Traitement
Nous utilisons vos données uniquement pour :
✅ Fourniture du service (Art. 6.1.b RGPD - Exécution du contrat)
- Génération de dossiers de compétences personnalisés
- Analyse de la correspondance entre votre CV et les offres d'emploi
- Stockage de vos documents pour consultation ultérieure
✅ Traitement par Intelligence Artificielle (Art. 6.1.a RGPD - Consentement)
- Analyse de votre CV par Claude 4.5 Haiku (Anthropic, via AWS Bedrock EU)
- Extraction automatique de compétences, expériences et qualifications
- Génération de contenu personnalisé
✅ Amélioration du service (Art. 6.1.f RGPD - Intérêt légitime)
- Statistiques anonymisées d'utilisation (nombre de dossiers générés, taux de succès)
- Correction de bugs et optimisation des performances
✅ Gestion des paiements (Art. 6.1.b RGPD - Exécution du contrat)
- Traitement des paiements via Stripe
- Facturation et comptabilité
4. Base Légale des Traitements
| Donnée | Base légale | Justification | |--------|-------------|---------------| | Email, nom | Contrat (Art. 6.1.b) | Nécessaire pour créer votre compte | | CV, offres, dossiers | Contrat (Art. 6.1.b) | Cœur du service fourni | | Analyse par IA | Consentement (Art. 6.1.a) | Traitement par IA nécessite votre accord explicite | | Paiements | Contrat (Art. 6.1.b) | Obligations légales et contractuelles | | Logs, IP | Intérêt légitime (Art. 6.1.f) | Sécurité et prévention de la fraude |
5. Traitement par Intelligence Artificielle
🤖 Fournisseur IA
Nous utilisons Claude 4.5 Haiku (Anthropic) via AWS Bedrock hébergé dans la région Europe (Paris) - eu-west-3.
🔒 Garanties de confidentialité
✅ Hébergement en Union Européenne (Paris, France) ✅ Zéro rétention : Vos données sont supprimées immédiatement après traitement (< 5 secondes) ✅ Aucun entraînement : Vos données ne sont JAMAIS utilisées pour entraîner les modèles d'IA ✅ Pas de revente : Vos données ne sont jamais partagées avec des tiers à des fins commerciales ✅ Conformité RGPD : AWS Bedrock respecte le RGPD (Art. 28) en tant que sous-traitant
📜 Sous-traitants
- AWS (Amazon Web Services) : Hébergement Bedrock (Paris, EU) - DPA AWS
- Anthropic (Claude AI) : Modèle IA via Bedrock - Politique de confidentialité Anthropic
Important : Anthropic, en tant que fournisseur du modèle IA via AWS Bedrock, n'a pas accès à vos données. Seul AWS traite vos requêtes dans la région EU, sans stockage persistant.
6. Durée de Conservation
| Donnée | Durée | Justification | |--------|-------|---------------| | Compte actif | Tant que compte actif | Nécessaire pour fournir le service | | CVs et dossiers | Tant que compte actif | Consultation ultérieure | | Après suppression | 30 jours max | Sauvegardes automatiques | | Logs de sécurité | 6 mois | Prévention de la fraude (Art. 6.1.f) | | Données de paiement | 10 ans | Obligation légale comptable | | Données IA (AWS) | 0 jour | Suppression immédiate après traitement |
Suppression automatique : 30 jours après la suppression de votre compte, toutes vos données personnelles sont définitivement effacées de nos serveurs et sauvegardes.
7. Destinataires des Données
Vos données sont accessibles uniquement par :
👤 Vous-même
Accès complet à toutes vos données via votre compte.
🔧 Personnel autorisé
Administrateurs techniques de RAO (accès restreint, journalisé, uniquement en cas de support technique).
🤝 Sous-traitants RGPD-compliant
- AWS Bedrock (hébergement IA, Paris EU) - Contrat DPA
- Stripe (paiements, EU) - Contrat DPA
- Vercel (hébergement Next.js, EU) - Contrat DPA (si applicable)
Aucun transfert hors UE : Toutes nos infrastructures critiques (IA, base de données, serveurs) sont hébergées en Union Européenne.
8. Transferts Hors Union Européenne
✅ Aucun transfert systématique
Toutes vos données (CVs, dossiers, analyses) restent en Union Européenne :
- Serveurs : Paris (eu-west-3) ou Frankfurt (eu-central-1)
- Base de données : Union Européenne
- IA (AWS Bedrock) : Paris (eu-west-3)
⚠️ Exceptions
- Google OAuth : Si vous utilisez la connexion Google, vos données d'authentification (email, nom) transitent par les serveurs de Google (USA). Google respecte les clauses contractuelles types (SCC) et le Data Privacy Framework EU-US.
9. Vos Droits (Articles 15-22 RGPD)
Vous disposez des droits suivants :
📥 Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles en format ZIP. → Disponible dans Paramètres > Exporter mes données
✏️ Droit de rectification (Art. 16)
Corriger vos informations (email, nom, données de profil). → Disponible dans Paramètres > Mon profil
🗑️ Droit à l'effacement (Art. 17)
Supprimer définitivement votre compte et toutes vos données. → Disponible dans Paramètres > Supprimer mon compte
📦 Droit à la portabilité (Art. 20)
Récupérer vos données dans un format structuré (JSON, PDF). → Inclus dans l'export de données
🚫 Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données (entraîne la fermeture du compte).
⏸️ Droit à la limitation (Art. 18)
Limiter temporairement le traitement de vos données (nous contacter).
⚖️ Droit de réclamation (Art. 77)
Déposer une plainte auprès de la CNIL : https://www.cnil.fr/
10. Exercer Vos Droits
Pour toute demande concernant vos données personnelles :
📧 Email RGPD : [rgpd@votredomaine.fr] 📧 Email général : [contact@votredomaine.fr]
Délai de réponse : Maximum 1 mois (Art. 12.3 RGPD)
Pièce d'identité : Nous pouvons vous demander une copie de votre pièce d'identité pour vérifier votre identité (supprimée immédiatement après vérification).
11. Sécurité des Données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données (Art. 32 RGPD) :
🔐 Mesures techniques
- ✅ HTTPS/TLS : Toutes les communications sont chiffrées
- ✅ Authentification sécurisée : OAuth 2.0 (Google)
- ✅ Sessions sécurisées : Tokens JWT avec expiration
- ✅ Hébergement sécurisé : AWS avec certifications ISO 27001, SOC 2
- ✅ Chiffrement en transit : AES-256 entre serveurs
- 🔜 Chiffrement au repos : AES-256-GCM (à venir)
👥 Mesures organisationnelles
- ✅ Accès restreint : Seuls les administrateurs autorisés
- ✅ Journalisation : Tous les accès sont tracés
- ✅ Formation : Personnel sensibilisé au RGPD
- ✅ Politique de mots de passe : Complexité imposée
🚨 En cas de violation de données
Conformément à l'Art. 33 RGPD, nous notifierons la CNIL et les personnes concernées sous 72 heures en cas de fuite de données présentant un risque.
12. Cookies et Traceurs
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du site (Art. 82 Loi Informatique et Libertés).
🍪 Cookies utilisés
| Nom | Finalité | Durée | Consentement requis |
|-----|----------|-------|---------------------|
| next-auth.session-token | Maintien de la connexion | Session | ❌ Non (strictement nécessaire) |
| next-auth.csrf-token | Protection CSRF | Session | ❌ Non (sécurité) |
Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
Vous pouvez désactiver les cookies dans votre navigateur, mais cela empêchera la connexion au service.
13. Modifications de la Politique
Nous nous réservons le droit de modifier cette politique de confidentialité.
En cas de modification substantielle :
- ✅ Notification par email 30 jours avant
- ✅ Bannière d'information sur le site
- ✅ Possibilité de refuser et supprimer votre compte
Historique des versions : Disponible en bas de cette page (date de dernière mise à jour).
14. Contact et Réclamations
📧 Contact RGPD
Email : [rgpd@votredomaine.fr] Réponse sous : 30 jours maximum
🇫🇷 Autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous pouvez contacter la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr/
15. Données des Mineurs
Notre service est réservé aux personnes majeures (18 ans et plus).
Si nous découvrons qu'un mineur a créé un compte, celui-ci sera immédiatement supprimé et les données effacées.
16. Consentement
En utilisant notre service, vous reconnaissez avoir lu et compris cette politique de confidentialité.
Consentement explicite pour le traitement IA : Lors de votre premier upload de CV, nous vous demandons votre consentement explicite pour le traitement de vos données par intelligence artificielle. Vous pouvez retirer ce consentement à tout moment dans Paramètres > Consentements.
17. Résumé : Ce que vous devez retenir
✅ Vos données restent en Europe (Paris, France) ✅ Aucune rétention : L'IA supprime vos données immédiatement après traitement ✅ Aucune revente : Nous ne vendons JAMAIS vos données ✅ Aucun entraînement : Vos CVs ne servent pas à entraîner l'IA ✅ Vous contrôlez tout : Export, suppression, rectification en 1 clic ✅ Sécurité maximale : Chiffrement, hébergement certifié, accès restreints ✅ 100% RGPD : Conformité totale au règlement européen
Transparence totale : Cette politique est écrite en français clair, sans jargon juridique inutile. Si quelque chose n'est pas clair, contactez-nous !
Date de dernière modification : 4 janvier 2025 Version : 1.0