Politique de confidentialité

Dernière mise à jour : avril 2026

Document requis par le RGPD (articles 13 et 14 du règlement 2016/679). Il décrit comment ProfilPilot collecte, utilise et protège vos données personnelles.

1. Responsable de traitement

Le responsable du traitement des données personnelles est ProfilPilot (coordonnées en mentions légales).

2. Données collectées

Lors de la création de compte

Identifiant et mot de passe (mot de passe stocké sous forme de hash)
Rôle applicatif (candidat, recruteur, administrateur)
Date de création du compte

Lors de l'usage du service

CV et données de carrière (expériences, formations, compétences, langues, certifications, projets, centres d'intérêt) — déposés volontairement par l'utilisateur
Données d'identité associées au CV (nom, prénom, email, téléphone, adresse, ville, liens sociaux) — déposées volontairement
Photos de profil si uploadées
Descriptions d'offres d'emploi analysées
Contenus générés par l'IA (analyses, lettres, plans de formation, pitchs d'entretien)

Données techniques

Logs de connexion (adresse IP, timestamp, user-agent, succès/échec)
Logs d'audit d'actions administratives
Logs de consultations des vitrines publiques partagées

3. Bases légales du traitement

Exécution du contrat (art. 6-1-b RGPD) : pour la fourniture du service que vous avez demandé (analyse de CV, génération de lettre, etc.)
Intérêt légitime (art. 6-1-f RGPD) : pour la sécurité du service (logs d'audit, détection de tentatives d'intrusion, rate limiting)
Obligation légale (art. 6-1-c RGPD) : conservation des logs requise par la loi

4. Finalités

Fournir les fonctionnalités du service (analyse, génération, export, partage)
Gérer votre compte et votre session
Sécuriser le service (détection de fraude, bannissement IP en cas d'abus)
Améliorer le service (statistiques agrégées sans donnée personnelle identifiante)

5. Traitement par des modèles d'intelligence artificielle

Certaines fonctionnalités (analyse, crédibilité, coaching, formation, pitch) font appel à des modèles de langage (LLM). Avant transmission aux modèles :

Un masquage automatique des données personnelles identifiantes est appliqué (noms, emails, téléphones, adresses, numéros d'identité). Le modèle ne voit que des jetons anonymes (ex. __PII_NAME_1__) qui sont remplacés par les vraies valeurs uniquement côté serveur lors du rendu final.
Le contenu transmis est limité au strict nécessaire pour la fonctionnalité.

Les modèles d'IA utilisés peuvent être hébergés par des tiers (fournisseurs LLM). Dans ce cas, un contrat de sous-traitance conforme au RGPD encadre leurs obligations.

6. Durée de conservation

Compte actif : jusqu'à suppression demandée par l'utilisateur
Compte inactif (pas de connexion depuis 3 ans) : suppression automatique
Logs d'authentification : 12 mois
Logs d'audit administratif : 3 ans
Vitrines publiques : jusqu'à révocation ou expiration du lien

7. Destinataires

Vos données ne sont pas vendues ni louées à des tiers. Elles peuvent être partagées avec :

Les fournisseurs techniques strictement nécessaires (hébergement, modèles d'IA) dans le cadre de contrats de sous-traitance RGPD
Les autorités compétentes sur demande légitime et motivée
Les tiers que vous choisissez volontairement (ex. en partageant un lien de vitrine publique)

8. Transferts hors Union Européenne

Certains fournisseurs (notamment de modèles d'IA) peuvent être situés hors Union Européenne. Dans ce cas, le transfert est encadré par les garanties appropriées (clauses contractuelles types de la Commission européenne ou décision d'adéquation).

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
Droit de rectification : demander la correction de données inexactes
Droit à l'effacement ("droit à l'oubli") : demander la suppression de vos données
Droit à la limitation : demander la suspension temporaire du traitement
Droit à la portabilité : recevoir vos données dans un format structuré et réutilisable
Droit d'opposition : vous opposer au traitement pour motifs légitimes
Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement

Pour exercer ces droits, écrivez à l'adresse de contact indiquée dans les mentions légales. Nous vous répondrons dans un délai d'un mois.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.

10. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

Chiffrement des communications (HTTPS obligatoire en production)
Mots de passe stockés sous forme de hash avec sel
Isolation stricte des données par utilisateur (multi-tenant)
Masquage automatique des données personnelles avant transmission aux IA
Rate limiting et bannissement IP en cas de tentatives de brute-force
Logs d'audit des actions sensibles
Sauvegardes régulières des données applicatives

11. Cookies

ProfilPilot utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service (cookie de session). Aucun cookie de suivi publicitaire ou d'analyse tierce n'est déposé.