Politique de Confidentialité
Version 1.0 — En vigueur à compter du [DATE].
1. Préambule
La protection de vos données personnelles est une priorité pour [RAISON SOCIALE] (ci-après « nous » ou « l’Éditeur »), éditeur de la plateforme BeMyWork (ci-après « la Plateforme »).
La présente politique a pour objet de vous informer, en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »), de la manière dont nous collectons, utilisons, conservons et protégeons vos données personnelles, ainsi que des droits dont vous disposez.
Elle complète les Conditions Générales d’Utilisation de la Plateforme.
2. Responsable du traitement
[RAISON SOCIALE],[FORME JURIDIQUE]- RCS de
[RCS VILLE]—[SIREN] - Siège social :
[ADRESSE SIÈGE] - Contact dédié à la protection des données :
[EMAIL DPO ou CONTACT RGPD]
3. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires aux finalités décrites à l’article 4 (principe de minimisation, art. 5.1.c RGPD).
3.1 Données communes à tous les Utilisateurs
| Catégorie | Données concernées | Source |
|---|---|---|
| Identification | Nom, prénom, e-mail, mot de passe (haché en Argon2id, jamais stocké en clair) | Saisie ou Google OAuth |
| Authentification | Identifiant Google, token de session JWT | Saisie ou Google OAuth |
| Contact | Numéro de téléphone, format international (E.164), statut de vérification | Saisie |
| Préférences | Opt-in e-mail, opt-in SMS rappels, opt-in SMS matchs | Saisie |
| Logs techniques | Adresse IP, user-agent, date/heure de connexion, événements applicatifs | Collecte automatique |
3.2 Données spécifiques aux Candidats
| Catégorie | Données concernées |
|---|---|
| Profil professionnel | Compétences avec niveau d’expérience, langues, expériences, intitulés de postes recherchés, secteurs |
| Critères de recherche | Types de contrats acceptés, prétentions salariales par type de contrat |
| Mobilité | Adresse postale, coordonnées géographiques, préférence télétravail, temps de trajet maximum |
| Valeurs & affirmations | 10 valeurs et 10 affirmations classées (questionnaire « QCM ») |
| Disponibilité | Date de disponibilité, statut de validation du QCM |
3.3 Données spécifiques aux Recruteurs
| Catégorie | Données concernées |
|---|---|
| Offres d’emploi | Intitulés, descriptions, contrats, rémunération, compétences requises, localisation |
| Disponibilités d’entretien | Créneaux saisis manuellement ou synchronisés depuis Google Calendar |
| Intégration Google Calendar | Refresh token OAuth chiffré en AES-256-GCM, périmètre calendar.events + calendar.freebusy |
3.4 Données générées par la Plateforme
- Résultats de matching : suggestions calculées, scores partiels, statut (proposé, accepté, refusé)
- Rendez-vous : entretiens planifiés, statut, historique des notifications envoyées
- Métadonnées de notification : horodatage des e-mails et SMS envoyés, pour éviter les doublons
3.5 Données que nous ne collectons pas
Nous ne collectons aucune donnée sensible au sens de l’article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé, données génétiques, données biométriques, données relatives à la vie sexuelle ou à l’orientation sexuelle. Nous vous demandons de ne pas en mentionner dans les champs libres.
4. Finalités et bases légales des traitements
Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale déterminée :
| Finalité | Base légale |
|---|---|
| Création et gestion du Compte | Exécution du contrat (art. 6.1.b) |
| Mise en relation Candidats / Recruteurs (Matching) | Exécution du contrat (art. 6.1.b) |
| E-mails transactionnels (confirmation, annulation, rappels de rendez-vous) | Exécution du contrat (art. 6.1.b) |
| SMS transactionnels (rappels J-1, T-30 min, annulations) | Consentement (art. 6.1.a) — opt-in |
| SMS et e-mails de suggestions de matchs | Consentement (art. 6.1.a) — opt-in |
| Synchronisation Google Calendar (Recruteurs) | Consentement (art. 6.1.a) |
| Géolocalisation et calcul des isochrones | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, journalisation | Intérêt légitime (art. 6.1.f) |
| Réponse aux réquisitions judiciaires | Obligation légale (art. 6.1.c) |
| Statistiques agrégées et amélioration des Services | Intérêt légitime (art. 6.1.f) |
Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre Compte ou en nous écrivant à [EMAIL CONTACT]. Le retrait ne remet pas en cause la licéité des traitements antérieurs.
5. Décisions automatisées et profilage (art. 22 RGPD)
5.1 Algorithme de Matching
La Plateforme utilise un algorithme de mise en relation automatisée combinant :
- des filtres déterministes (compétences obligatoires, contrat, salaire, mobilité, langues, expérience) ;
- un scoring pondéré (50 % valeurs, 20 % compétences, 20 % expérience, 10 % langue) ;
- un modèle d’intelligence artificielle (
gpt-4.1-nanofourni par OpenAI) utilisé exclusivement pour comparer la similarité entre intitulés de postes. Aucune donnée d’identification, de salaire ou de coordonnées n’est transmise à OpenAI à cette occasion.
5.2 Caractère non décisionnaire
Le Matching produit une suggestion, pas une décision : il ne prive aucun Utilisateur d’opportunités, ne refuse aucune candidature et n’a pas d’effet juridique direct au sens de l’article 22.1 du RGPD.
5.3 Droit à l’intervention humaine
Vous pouvez à tout moment :
- demander une explication sur la logique appliquée à votre profil ;
- demander une revue humaine des résultats du Matching vous concernant ;
- contester un résultat que vous estimez injuste ou erroné.
Toute demande peut être adressée à [EMAIL CONTACT] et fera l’objet d’une réponse motivée dans un délai n’excédant pas 30 jours.
6. Destinataires et sous-traitants
Vos données sont accessibles, dans la stricte mesure nécessaire à leurs missions, par :
- les équipes habilitées de l’Éditeur (technique, support, juridique) ;
- les autres Utilisateurs dans le cadre du Matching et des prises de rendez-vous ;
- les sous-traitants listés ci-dessous, choisis pour leurs garanties techniques et organisationnelles.
6.1 Liste des sous-traitants
| Sous-traitant | Service rendu | Localisation |
|---|---|---|
[HÉBERGEUR PRINCIPAL] | Hébergement applicatif et base de données | UE |
| Vercel Inc. | Hébergement du frontend Next.js | États-Unis (régions edge) |
| Google LLC (OAuth) | Authentification fédérée | États-Unis |
| Google LLC (Calendar API) | Synchronisation des disponibilités | États-Unis |
| OpenAI, L.L.C. | Comparaison de similarité d’intitulés (gpt-4.1-nano) | États-Unis |
| Twilio Inc. | Envoi de SMS transactionnels | États-Unis / Irlande |
| Twilio SendGrid | Envoi d’e-mails transactionnels | États-Unis |
| Microsoft Corporation (Azure Maps) | Calcul des isochrones | UE / États-Unis |
| France Travail (API ROMEO) | Suggestion d’intitulés normalisés | France |
| API Adresse (Etalab) | Auto-complétion d’adresses | France |
Chaque sous-traitant est lié à l’Éditeur par un contrat de sous-traitance conforme à l’article 28 du RGPD (DPA) garantissant un niveau de protection équivalent. Les DPA sont disponibles sur demande motivée à [EMAIL CONTACT].
7. Transferts hors Union européenne
Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD :
- Décision d’adéquation « EU-US Data Privacy Framework » (CE, 10 juillet 2023) pour les sous-traitants certifiés ;
- À défaut, Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
- Mesures complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, contrôle d’accès strict, journalisation.
Vous pouvez obtenir copie des garanties applicables à un transfert spécifique en écrivant à [EMAIL CONTACT].
8. Durées de conservation
| Donnée | Durée active | Suppression |
|---|---|---|
| Compte actif | Tant que le Compte est utilisé | — |
| Compte inactif (aucune connexion) | 3 ans à compter du dernier contact actif | Notification + suppression auto |
| Compte supprimé par l’Utilisateur | 30 jours (réversibilité) | Suppression définitive après 30 j |
| Profils, offres, matchs, rendez-vous | Liés au cycle de vie du Compte | Supprimés avec le Compte |
| Logs de connexion / sécurité | 12 mois maximum | Purge automatique mensuelle |
| Logs applicatifs (debug) | 30 jours | Purge automatique |
| Données de facturation | 10 ans (obligation comptable) | — |
| Pièces justificatives anti-fraude | 5 ans (prescription civile) | — |
9. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :
9.1 Mesures techniques
- Chiffrement en transit : TLS 1.2 minimum sur toutes les connexions ;
- Chiffrement au repos : base de données chiffrée par l’hébergeur ;
- Chiffrement renforcé des secrets : refresh tokens Google Calendar chiffrés en AES-256-GCM avant écriture en base ;
- Hashage des mots de passe : algorithme Argon2id avec paramètres conformes aux recommandations ANSSI ;
- Authentification : JWT signé, cookies httpOnly, secrets en variables d’environnement ;
- Rate limiting sur les endpoints sensibles ;
- Cloisonnement des environnements (production / préproduction / développement) ;
- Mises à jour de sécurité régulières des dépendances.
9.2 Mesures organisationnelles
- Accès aux données restreint aux personnes habilitées (principe du moindre privilège) ;
- Sensibilisation interne à la sécurité et à la confidentialité ;
- Procédure de gestion des incidents et notification en cas de violation.
9.3 Notification en cas de violation
En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures (art. 33 RGPD) et vous informerons personnellement dans les meilleurs délais (art. 34 RGPD).
10. Cookies et traceurs
À la date de la présente Politique, la Plateforme utilise uniquement des cookies strictement nécessaires à son fonctionnement, ne requérant pas de consentement préalable (art. 82 LIL) :
| Cookie | Finalité | Durée |
|---|---|---|
next-auth.session-token | Maintien de la session authentifiée | Session ou 30 jours |
next-auth.csrf-token | Protection contre les attaques CSRF | Session |
next-auth.callback-url | Redirections après authentification | Session |
Aucun cookie de mesure d’audience, de publicité ou de réseau social tiers n’est déposé à ce jour. L’ajout futur de tels traceurs s’accompagnera d’un bandeau de consentement conforme aux recommandations CNIL.
11. Vos droits
Conformément aux articles 15 à 22 du RGPD :
| Droit | Description |
|---|---|
| Accès (art. 15) | Obtenir confirmation que des données vous concernant sont traitées et en obtenir copie. |
| Rectification (art. 16) | Faire corriger les données inexactes ou incomplètes. |
| Effacement (art. 17) | Demander la suppression de vos données (« droit à l’oubli »). |
| Limitation (art. 18) | Demander le gel temporaire d’un traitement contesté. |
| Portabilité (art. 20) | Récupérer vos données dans un format structuré (JSON). |
| Opposition (art. 21) | Vous opposer à un traitement fondé sur l’intérêt légitime. |
| Retrait du consentement | À tout moment, sans affecter la licéité des traitements antérieurs. |
| Décisions automatisées (art. 22) | Demander une intervention humaine sur les résultats du Matching. |
| Directives post-mortem (art. 85 LIL) | Définir le sort de vos données après votre décès. |
Comment exercer vos droits
- Depuis votre Compte : la majorité des droits sont activables depuis la rubrique Paramètres ;
- Par e-mail :
[EMAIL CONTACT](joindre une copie d’un titre d’identité en cas de doute raisonnable sur votre identité) ; - Par courrier :
[RAISON SOCIALE],[ADRESSE SIÈGE].
Nous nous engageons à vous répondre dans un délai d’un mois (prorogeable de deux mois en cas de complexité), conformément à l’article 12.3 du RGPD.
Réclamation auprès de la CNIL
Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- En ligne : cnil.fr/fr/plaintes
- Courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
12. Mineurs
La Plateforme n’est pas destinée aux personnes de moins de 15 ans. L’inscription requiert un âge minimum de 18 ans ; les Utilisateurs âgés de 15 à 17 ans doivent obtenir l’accord préalable d’un titulaire de l’autorité parentale (art. 7-1 LIL).
13. Modification de la Politique
La présente Politique peut être modifiée pour refléter l’évolution des Services, des sous-traitants ou de la législation. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification visible sur la Plateforme au moins 15 jours avant l’entrée en vigueur.
14. Contact
- E-mail dédié à la protection des données :
[EMAIL DPO ou CONTACT RGPD] - Courrier :
[RAISON SOCIALE]—[ADRESSE SIÈGE]
Dernière mise à jour : [DATE].