Politique de confidentialité

Dernière mise à jour : 07/07/2026

La version allemande de ce document fait foi en cas de divergence d’interprétation.

1. Responsable du traitement

Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Allemagne — [email protected]

2. Bases légales (art. 6 RGPD)

Art. 6(1)(b) exécution du contrat : compte (y compris la vérification de l’âge), téléversement/analyse/création du CV, rapports. Art. 6(1)(a) consentement : cookies statistiques/marketing et données particulières (art. 9) du CV. Art. 6(1)(c) obligations légales : conservation des factures. Art. 6(1)(f) intérêt légitime : sécurité, prévention de la fraude, exploitation stable.

3. Hébergement et lieu de stockage

Le site et sa base de données sont entièrement hébergés sur un VPS chez netcup GmbH (Karlsruhe, Allemagne). Tous les CV et rapports sont stockés exclusivement sur ce serveur en Allemagne/UE. Un contrat de sous-traitance (AV-Vertrag) au titre de l’art. 28 RGPD est conclu avec netcup.

4. Conservation du fichier téléversé

Le fichier original du CV n’est jamais stocké. Son texte est extrait en mémoire puis supprimé après la génération du rapport. Seul le rapport dérivé subsiste, que vous pouvez supprimer à tout moment.

5. Traitement par IA (Anthropic) et transfert hors UE

Pour générer l’analyse, le texte du CV est transmis via une API chiffrée à Anthropic PBC (États-Unis) — un transfert vers un pays tiers fondé sur les garanties des art. 44–49 RGPD (cadre EU-US Data Privacy Framework et/ou clauses contractuelles types). Anthropic intervient comme sous-traitant ultérieur en vertu de l’avenant standard de traitement des données (DPA) intégré à ses Commercial Terms. Nous avons activé l’option de conservation zéro des données (Zero Data Retention) disponible dans les paramètres de notre compte Anthropic ; conformément aux Commercial Terms d’Anthropic, les entrées et sorties ne sont pas utilisées pour entraîner les modèles. Le transfert repose sur les clauses contractuelles types (SCC). Conditions de traitement et liste des sous-traitants d’Anthropic : https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com

6. Données collectées

Données de compte (nom, date de naissance [vérification de l’âge], e-mail avec confirmation double opt-in, mot de passe haché, langue) ; données de contenu (texte du CV temporairement, rapports, descriptions de poste) ; données de paiement (entièrement chez Paddle – aucune donnée de carte sur nos serveurs) ; journaux serveur (IP, horodatage, navigateur/système).

7. Journaux du serveur

Les journaux d’accès sont collectés sur la base de l’intérêt légitime (art. 6(1)(f)) pour la détection d’attaques et supprimés automatiquement sous 7 jours (conservés uniquement comme preuve lors d’un incident de sécurité en cours).

8. Cookies et outils de protection

Cookies strictement nécessaires (session/sécurité) : sans consentement (art. 6(1)(f) + § 25(2) TDDDG). Cloudflare Turnstile (vérification humain/bot, Cloudflare Inc., États-Unis — transfert avec garanties DPF/SCC). Cloudflare Web Analytics fonctionne sans cookies. Aucun cookie statistique/marketing n’est utilisé actuellement ; tout usage requerrait votre consentement exprès.

9. Prestataire de paiement (Paddle)

Les paiements sont gérés par Paddle.com Market Ltd en tant que Merchant of Record. Vos données de paiement (carte, nom, e-mail, adresse de facturation) sont traitées directement chez Paddle et non stockées sur nos serveurs. Paddle assure la facturation et la conformité fiscale internationale. Confidentialité Paddle : https://www.paddle.com/legal/privacy

10. Sous-traitance pour les entreprises (B2B)

Pour les clients B2B téléversant des données de candidats, nous fournissons un AV-Vertrag (art. 28 RGPD), disponible à l’acceptation dans le tableau de bord et faisant partie du contrat.

11. Conservation et suppression

Vous pouvez supprimer vos CV et rapports à tout moment ; ils sont retirés du serveur immédiatement. Les factures sont exceptées et conservées : 8 ans selon § 147 AO.

12. Vos droits (art. 15–21 RGPD)

Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition (art. 21) aux traitements fondés sur l’intérêt légitime. Pour retirer un consentement ou exercer vos droits : [email protected].

13. Autorité de contrôle

Vous avez le droit d’introduire une réclamation : Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

14. Mesures techniques (art. 32 RGPD)

Chiffrement en transit (TLS) et au repos, contrôle d’accès strict, séparation réseau, sauvegardes chiffrées et minimisation des données.

15. Traitement automatisé et transparence (art. 13(2)(f), 22 RGPD)

Il n’existe aucune décision exclusivement automatisée. L’analyse est un outil d’aide à logique évaluative (correspondance compétences/expérience/ATS) ; la décision revient à un humain. Remarque : les systèmes notant/classant des candidats peuvent être à haut risque au sens du règlement européen sur l’IA (annexe III) ; les obligations afférentes seront prises en compte avant tout lancement commercial. Note sur le règlement IA : les obligations relatives aux systèmes à haut risque (annexe III) s’appliquent — après le report du paquet Digital Omnibus — à compter du 2 décembre 2027. Indépendamment, au titre de l’art. 50 (à partir du 2 août 2026), nous vous informons clairement que vous interagissez avec un système d’IA et que les sorties sont générées par IA.