Politique de confidentialité
Dernière mise à jour : 23 février 2026
1. Responsable du traitement
CV Smart (« nous », « notre », « le Service ») s'engage à protéger votre vie privée. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD).
2. Données collectées
Données que vous fournissez
- Compte : email, nom, mot de passe (chiffré)
- CV : informations professionnelles que vous saisissez (expériences, formations, compétences, coordonnées). Ces données sont stockées de manière sécurisée sur nos serveurs afin de vous permettre de retrouver vos CV depuis n'importe quel appareil. Pour les comptes gratuits, les CV cloud sont automatiquement supprimés après 30 jours d'inactivité (aucune connexion au service). Les fichiers PDF importés sont traités en mémoire pour en extraire le texte, puis immédiatement supprimés — seul le contenu extrait est conservé, le fichier PDF original n'est jamais stocké.
- Analyse CV en attente : lorsque vous analysez votre CV avant de créer un compte, les résultats de l'analyse sont temporairement stockés sur nos serveurs afin de les retrouver après confirmation de votre email, même depuis un autre navigateur. Ces données sont automatiquement supprimées dès leur consultation ou à la suppression du compte.
- Paiement : traitées par Stripe (nous ne stockons pas vos données bancaires)
Données collectées automatiquement
- Journaux de connexion : date, heure, adresse IP, navigateur
- Journaux d'activité : actions effectuées (création CV, export, connexion)
- Données techniques : type d'appareil, système d'exploitation
- Empreinte navigateur : identifiant technique calculé à partir des caractéristiques de votre navigateur (résolution, polices, WebGL, etc.), utilisé uniquement pour la prévention des abus sur les fonctionnalités gratuites
3. Finalités et bases légales
| Finalité | Base légale RGPD |
|---|---|
| Fournir le service (création CV, export PDF) | Exécution du contrat (Art. 6.1.b) |
| Gérer votre compte et abonnement | Exécution du contrat (Art. 6.1.b) |
| Sécuriser le service et prévenir la fraude | Intérêt légitime (Art. 6.1.f) |
| Diagnostiquer les problèmes techniques | Intérêt légitime (Art. 6.1.f) |
| Analyser et améliorer votre CV via traitement automatisé (correction, analyse ATS, suggestions) | Exécution du contrat (Art. 6.1.b) |
| Limiter les abus via empreinte navigateur | Intérêt légitime (Art. 6.1.f) |
| Respecter nos obligations légales (facturation) | Obligation légale (Art. 6.1.c) |
4. Journaux d'activité (logs)
Pour assurer la sécurité du service et vous offrir un support efficace, nous conservons des journaux d'activité incluant :
- Votre email et identifiant utilisateur
- Les actions effectuées sur les PDF (analyse, export, import) — sans conserver les fichiers eux-mêmes
- Les actions effectuées (connexion, inscription, export, etc.)
- L'adresse IP et l'horodatage
- Les erreurs techniques éventuelles
En cas de problème technique affectant votre compte (erreur d'export, incohérence de mise en page, etc.), nous pouvons vous contacter par email pour vous informer et vous proposer une solution.
Mesures anti-fraude
Pour protéger le service et garantir une utilisation équitable, nous mettons en place des mesures de détection automatique :
- Limite par IP : Suivi des exports PDF par adresse IP pour détecter les abus multi-comptes
- Détection multi-comptes : Alerte automatique si plusieurs comptes sont créés depuis la même IP en 24h
- Rate limiting : Limitation du nombre d'inscriptions et de requêtes par IP (3/heure)
- Empreinte navigateur : Calcul d'un identifiant technique unique par navigateur pour limiter les analyses ATS gratuites (2/jour). Cette empreinte ne permet pas de vous identifier personnellement et n'est pas utilisée à des fins publicitaires.
En cas de comportement suspect, un administrateur peut être alerté pour vérification manuelle.
Pourquoi ces journaux ne sont pas anonymisés
L'anonymisation empêcherait de :
- Détecter une intrusion sur votre compte
- Vous aider en cas de problème technique
- Prévenir les utilisations frauduleuses (multi-comptes, abus)
Durées de conservation
- Journaux d'activité : 90 jours
- Journaux d'export : 30 jours
- Journaux de paiement : 10 ans (obligation légale)
- Alertes de sécurité : 1 an
- CV cloud (comptes gratuits) : supprimés automatiquement après 30 jours d'inactivité (aucune connexion)
- Analyses en attente : jusqu'à consultation ou suppression du compte
Les journaux sont automatiquement supprimés à l'expiration de ces délais.
Accès aux journaux
Seul l'administrateur du service peut accéder à ces journaux, uniquement pour :
- Répondre à vos demandes de support
- Assurer la sécurité du service
- Diagnostiquer des problèmes techniques
Ces données ne sont jamais utilisées à des fins publicitaires ni partagées avec des tiers à des fins commerciales.
5. Partage des données
Nous partageons vos données uniquement avec nos sous-traitants techniques :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Vercel | Hébergement | USA/EU |
| Supabase | Base de données | USA/EU |
| Stripe | Paiement | USA/EU |
| Resend | Emails | USA |
| Groq | Traitement automatisé (analyse CV) | USA |
| Upstash | Protection anti-spam (rate limiting) | EU (Irlande) |
| Vercel Analytics | Mesure d'audience (privacy-friendly, sans cookies, données anonymisées) | USA/EU |
Tous ces prestataires respectent les Clauses Contractuelles Types (CCT) de la Commission européenne pour les transferts de données hors UE.
Traitement automatisé par intelligence artificielle
Certaines fonctionnalités utilisent un traitement automatisé via l'API Groq (modèle LLaMA, open source) pour analyser et améliorer votre CV :
- Analyse ATS : évaluation de la compatibilité de votre CV avec les logiciels de recrutement
- Vérification qualité : détection des erreurs d'orthographe, grammaire et accords
- Correction automatique : suggestions d'amélioration du contenu
- Adaptation à une offre : réécriture du CV pour correspondre à une candidature
- Import PDF : extraction structurée du contenu de votre CV
Données transmises : le texte de votre CV (informations professionnelles, coordonnées) est envoyé aux serveurs de Groq pour traitement. Aucun fichier PDF n'est transmis.
Conservation par Groq : conformément à leurs conditions d'utilisation, les données envoyées via leur API ne sont ni conservées ni utilisées pour entraîner leurs modèles. Les données sont traitées en temps réel puis supprimées.
Aucune décision automatisée : les résultats de ces analyses sont des suggestions. Vous restez libre de les accepter, modifier ou ignorer. Aucune décision n'est prise automatiquement sur la base de ces traitements.
Nous ne vendons jamais vos données à des tiers.
6. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
Demandez une copie de vos données
Modifiez vos informations dans votre compte
Supprimez votre compte (certaines données légales conservées)
Opposez-vous à un traitement basé sur l'intérêt légitime
Recevez vos données dans un format structuré
Demandez le gel du traitement
Pour exercer vos droits : contact@cvsmart.fr
Nous répondons dans un délai de 30 jours.
Données conservées après suppression du compte
- Factures et logs de paiement (obligation légale : 10 ans)
- Logs de sécurité en cas d'incident avéré (1 an)
7. Sécurité
Nous protégeons vos données par :
- Chiffrement des mots de passe (bcrypt)
- Connexions sécurisées (HTTPS/TLS)
- Accès restreint aux bases de données (RLS)
- Authentification forte pour l'administration
- Surveillance des accès anormaux
- Headers de sécurité (CSP, HSTS, X-Frame-Options)
8. Cookies
Nous utilisons uniquement des cookies essentiels :
- Authentification (session)
- Préférences (thème clair/sombre)
Aucun cookie publicitaire ou de traçage tiers.
9. Modifications
Nous pouvons mettre à jour cette politique. En cas de modification substantielle, vous serez informé par email ou par une notification sur le site.
10. Contact et réclamation
Questions : contact@cvsmart.fr
Réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, 75007 Paris