Politique de confidentialité
Dernière mise à jour : 23 février 2025
La présente politique décrit comment Prestance (ci-après « nous ») collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable du traitement
- Raison sociale : Duv Corp.
- RCS : 951 483 387 R.C.S. Chambéry
- Contact : contact@prestance.app
- Responsable : Martin Duvanel
2. Données collectées
| Catégorie | Données | Source |
|---|---|---|
| Identité | Nom, prénom | Fournisseur OAuth (Google, Apple) |
| Contact | Adresse e-mail | Fournisseur OAuth |
| Authentification | Jetons OAuth, données de session | Cookies de session |
| CV | Expériences professionnelles, formation, compétences, langues, centres d'intérêt, résumé professionnel | Saisie utilisateur |
| Lettre de motivation | Contenu de la lettre, coordonnées, informations entreprise/poste | Saisie utilisateur |
| Offre d'emploi | Texte de l'offre collé par l'utilisateur | Saisie utilisateur |
| Technique | Adresse IP d'inscription | Collecte automatique |
| Analyse d'audience | Pages visitées, fonctionnalités utilisées, enregistrements de session (champs de saisie masqués) | Outil d'analyse (localStorage, pas de cookies) |
| Paiement | Statut d'abonnement, historique de paiement. Les coordonnées bancaires sont stockées par le prestataire de paiement, jamais par Prestance. | Prestataire de paiement |
3. Bases légales et finalités
| Finalité | Base légale | Article RGPD |
|---|---|---|
| Création et gestion de compte | Exécution du contrat | Art. 6(1)(b) |
| Édition et stockage de CV et lettres | Exécution du contrat | Art. 6(1)(b) |
| Analyse IA des documents | Exécution du contrat | Art. 6(1)(b) |
| Traitement des paiements | Exécution du contrat | Art. 6(1)(b) |
| Analyse d'audience et amélioration du Service | Intérêt légitime | Art. 6(1)(f) |
| Enregistrement de session | Intérêt légitime | Art. 6(1)(f) |
| Collecte IP d'inscription (prévention de la fraude) | Intérêt légitime | Art. 6(1)(f) |
| Conformité légale (comptabilité, conservation) | Obligation légale | Art. 6(1)(c) |
4. Sous-traitants et destinataires
Vos données sont traitées par les sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) :
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| Supabase | Base de données, authentification | UE (Francfort) | Hébergement UE, DPA |
| Anthropic | Intelligence artificielle | États-Unis | CCT, DPA. Les données API ne sont pas utilisées pour l'entraînement. |
| OpenAI | Intelligence artificielle | États-Unis | CCT, DPA. Les données API ne sont pas utilisées pour l'entraînement. |
| Stripe | Paiements | États-Unis / UE | CCT, PCI-DSS, DPA |
| PostHog | Analyse d'audience, enregistrement de session | UE | Hébergement UE, DPA |
| Vercel | Hébergement du site | États-Unis (edge UE) | CCT, DPA |
| Upstash | Limitation de débit | UE | Hébergement UE, DPA |
5. Transferts hors Union européenne
Certains sous-traitants (Anthropic, OpenAI, Stripe, Vercel) sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne conformément à l'article 46(2)(c) du RGPD, et le cas échéant par le cadre EU-US Data Privacy Framework.
Les données transmises aux fournisseurs d'IA (contenu de CV, lettres de motivation, offres d'emploi) le sont uniquement pour traitement et ne sont pas utilisées pour l'entraînement de modèles, conformément aux conditions d'utilisation respectives de leurs API.
6. Durée de conservation
| Données | Durée | Justification |
|---|---|---|
| Données de compte | Durée du compte + 3 ans après suppression | Contrat + intérêt légitime |
| CV et lettres de motivation | Durée du compte, supprimés à la clôture | Exécution du contrat |
| Données de paiement | 10 ans après la transaction | Obligation légale (Code de commerce, art. L. 123-22) |
| Données d'audience | 25 mois | Recommandation CNIL |
| Adresse IP d'inscription | 12 mois | LCEN art. 6-II |
| Données de limitation de débit | 24 heures | Intérêt légitime (prévention des abus) |
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) — obtenir une copie de l'ensemble de vos données personnelles.
- Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) — demander la suppression de vos données. Vous pouvez également supprimer votre compte directement depuis les paramètres.
- Droit à la limitation du traitement (art. 18) — demander la restriction du traitement dans les cas prévus par le RGPD.
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) — vous opposer au traitement fondé sur l'intérêt légitime, notamment l'analyse d'audience. Vous pouvez désactiver l'analyse d'audience à tout moment dans les paramètres de votre compte.
- Droit de retirer votre consentement (art. 7) — lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment.
Exercice de vos droits
Vous pouvez exercer vos droits en nous contactant à l'adresse : contact@prestance.app
Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de votre demande, pouvant être prolongé de deux (2) mois supplémentaires en cas de complexité (art. 12(3) du RGPD). Une vérification d'identité pourra être demandée.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- www.cnil.fr
8. Cookies et traceurs
8.1 Cookies strictement nécessaires
Le Service utilise des cookies de session pour l'authentification. Ces cookies sont indispensables au fonctionnement du Service et ne nécessitent pas de consentement préalable.
8.2 Analyse d'audience
L'outil d'analyse d'audience utilise le stockage local du navigateur (localStorage) et non des cookies. Les enregistrements de session masquent automatiquement tous les champs de saisie. Aucun contenu de CV, de lettre de motivation ou d'offre d'emploi n'est capturé dans les enregistrements.
Vous pouvez désactiver l'analyse d'audience à tout moment depuis les paramètres de votre compte (menu « Analyse d'utilisation »).
8.3 Cookies publicitaires
Aucun cookie publicitaire ou de ciblage n'est utilisé par le Service.
9. Sécurité des données
Nous mettons en œuvre les mesures de sécurité suivantes :
- Chiffrement en transit (HTTPS/TLS) et au repos
- Authentification OAuth exclusivement — aucun mot de passe stocké
- Limitation de débit pour prévenir les abus
- Assainissement des entrées pour prévenir les injections
- Contrôle d'accès et principe du moindre privilège
10. Intelligence artificielle
Le Service utilise des modèles d'intelligence artificielle fournis par Anthropic et OpenAI pour analyser les documents, générer des suggestions et évaluer la pertinence des candidatures.
- Les données transmises aux fournisseurs d'IA peuvent inclure : le contenu du CV, le contenu de la lettre de motivation et le texte de l'offre d'emploi.
- Ces données ne sont utilisées ni par Anthropic ni par OpenAI pour l'entraînement de leurs modèles.
- Les suggestions de l'IA sont indicatives. L'Utilisateur reste seul décisionnaire.
- Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise : l'IA fournit des recommandations, jamais de décision finale.
11. Mineurs
Le Service est destiné aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données concernant des mineurs. Si nous constatons qu'un mineur a créé un compte, celui-ci sera supprimé.
12. Notification en cas de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément aux articles 33 et 34 du RGPD. La CNIL sera notifiée dans un délai de 72 heures.
13. Modification de la politique
Nous nous réservons le droit de modifier la présente politique. En cas de modification substantielle, vous serez informé par notification dans le Service. La date de dernière mise à jour est indiquée en haut de cette page.
Pour toute question relative à cette politique, contactez-nous à contact@prestance.app.
Voir également nos Mentions légales et nos Conditions Générales d'Utilisation.