Politique de confidentialité
Dernière mise à jour : 13 mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via CandiMaker est :
CandiMaker
Entreprise individuelle
France
Contact DPO : privacy@candimaker.fr
2. Données collectées
Dans le cadre de la fourniture du service, CandiMaker collecte les données suivantes :
Données fournies par l'utilisateur
- Données d'identification : adresse e-mail, nom complet (optionnel), mot de passe (stocké sous forme hachée, jamais en clair)
- Profil professionnel : intitulé de poste, résumé professionnel, expériences, formations, compétences, langues, projets, certifications, localisation, prétentions salariales
- Données de candidature : offres d'emploi analysées (URL ou texte), CV adaptés, lettres de motivation, messages d'approche, préparations d'entretien
Données collectées automatiquement
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, date et heure de connexion
- Cookie de session : jeton JWT stocké dans un cookie HTTP-only (durée : session, max 30 jours)
- Consentement : date et statut d'acceptation des CGU et de la politique de confidentialité
Données non collectées
- Aucune donnée bancaire (traitées exclusivement par Stripe)
- Aucun cookie de tracking publicitaire ou analytics tiers
- Aucune donnée sensible au sens de l'article 9 du RGPD
3. Bases légales du traitement (Article 6 RGPD)
| Finalité | Base légale |
|---|---|
| Fourniture du service (génération IA, stockage candidatures) | Exécution du contrat (Art. 6.1.b) |
| Gestion du compte et authentification | Exécution du contrat (Art. 6.1.b) |
| Traitement des paiements | Exécution du contrat (Art. 6.1.b) |
| E-mails transactionnels (confirmation, reçus) | Exécution du contrat (Art. 6.1.b) |
| Conservation des données de facturation | Obligation légale (Art. 6.1.c) — art. L.123-22 C. com. |
| Sécurité du service (logs, rate limiting, détection d'abus) | Intérêt légitime (Art. 6.1.f) |
| Acceptation des CGU et politique de confidentialité | Consentement (Art. 6.1.a) |
4. Finalités du traitement
- Fourniture du service d'assistance à la candidature professionnelle
- Personnalisation des contenus générés par IA grâce au profil professionnel
- Gestion des comptes utilisateurs et de l'authentification
- Traitement des paiements et gestion des abonnements via Stripe
- Envoi d'e-mails transactionnels (confirmation d'inscription, reçus de paiement, réinitialisation de mot de passe)
- Sécurité et prévention des abus (rate limiting, journalisation des accès)
5. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données du compte et profil | Durée du compte + 3 ans après dernière connexion |
| Candidatures et documents générés | Durée du compte (supprimés avec le compte) |
| Données de facturation | 10 ans (obligation légale comptable — art. L.123-22 C. com.) |
| Journaux de connexion (IP, user-agent) | 12 mois (art. 6-II LCEN) |
| Cookie de session (JWT) | 30 jours maximum |
| Consentement RGPD | Durée du compte + 5 ans (preuve de consentement) |
6. Vos droits RGPD
Conformément au Règlement Général sur la Protection des Données (UE) 2016/679 et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez des droits suivants :
- Droit d'accès (Art. 15) — obtenir une copie de vos données personnelles traitées
- Droit de rectification (Art. 16) — corriger des données inexactes ou incomplètes via votre profil
- Droit à l'effacement (Art. 17) — « droit à l'oubli » — exerceable directement via le bouton « Supprimer mon compte » dans vos Paramètres de compte. La suppression est immédiate et irréversible.
- Droit à la portabilité (Art. 20) — télécharger vos données dans un format structuré (JSON) via le bouton « Exporter mes données » dans vos Paramètres de compte
- Droit d'opposition (Art. 21) — vous opposer au traitement de vos données pour des finalités de prospection commerciale
- Droit à la limitation du traitement (Art. 18) — demander la suspension temporaire du traitement de vos données
- Droit de retirer votre consentement (Art. 7.3) — à tout moment, sans que cela ne compromette la licéité du traitement effectué avant le retrait
Comment exercer vos droits :
- Effacement et portabilité : directement depuis vos Paramètres de compte
- Autres droits : par e-mail à privacy@candimaker.fr — réponse sous 30 jours maximum
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr
7. Sous-traitants et transferts hors UE
CandiMaker fait appel aux sous-traitants suivants pour le fonctionnement du service :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Google Cloud Platform | Hébergement application | UE (europe-west1) | CCT, certifications ISO 27001 |
| Supabase | Base de données, authentification | UE / hors UE | Clauses contractuelles types (CCT) |
| OpenAI | Génération IA (CV, lettres, conseils) | États-Unis | CCT, DPA OpenAI, données non utilisées pour entraînement |
| Stripe | Paiement sécurisé | UE / États-Unis | PCI DSS, CCT, certification SOC 2 |
| Resend | E-mails transactionnels | États-Unis | CCT |
Les transferts hors UE sont encadrés par des clauses contractuelles types (CCT) conformément à la décision d'exécution (UE) 2021/914 de la Commission européenne.
8. Sécurité des données
CandiMaker met en oeuvre les mesures de sécurité suivantes pour protéger vos données :
- Chiffrement des communications (HTTPS/TLS)
- Mots de passe hachés (jamais stockés en clair)
- Protection CSRF sur tous les formulaires
- En-têtes de sécurité HTTP (CSP, X-Content-Type-Options, X-Frame-Options, HSTS)
- Rate limiting pour prévenir les abus et attaques par force brute
- Validation et assainissement de toutes les entrées utilisateur
- Cookies HTTP-only, Secure, SameSite=Lax
- Journalisation des opérations sensibles (connexion, suppression, modifications)
9. Cookies
CandiMaker utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
| Nom | Finalité | Durée | Type |
|---|---|---|---|
sb-token |
Authentification de session (JWT) | 30 jours max | Strictement nécessaire |
Aucun cookie de tracking, publicitaire ou analytique n'est utilisé. Conformément à la directive ePrivacy, les cookies strictement nécessaires ne requièrent pas de consentement préalable.
10. Modification de la politique
La présente politique de confidentialité peut être mise à jour à tout moment. En cas de modification substantielle, les utilisateurs seront informés par e-mail ou notification dans le service.
La date de dernière mise à jour est indiquée en haut de cette page.
Contact DPO : privacy@candimaker.fr