Politique de Confidentialité
Dernière mise à jour : 13 mars 2026
1. Identité du Responsable de Traitement
Postules — Plateforme de génération de dossiers de compétences par IA Édité par Leebr Data Consulting Email : contact@postules.fr DPO (Délégué à la Protection des Données) : dpo@postules.fr
2. Données Collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service :
2.1 Données d'identification
- Nom et prénom (via Google OAuth ou inscription email)
- Adresse email (via Google OAuth ou formulaire d'inscription)
- Photo de profil (optionnelle, via Google)
- Mot de passe (hashé bcrypt 12 rounds, uniquement si inscription par email)
2.2 Données de candidature
- CV (fichier PDF ou DOCX uploadé par vos soins)
- Texte parsé du CV (extraction automatique pour analyse, chiffré AES-256-GCM)
- Mots-clés extraits (compétences, technologies — chiffrés)
- Offres d'emploi saisies ou copiées (chiffrées)
- Dossiers de compétences générés par l'IA (chiffrés)
- CV augmentés et lettres de motivation (si plan payant)
2.3 Données de paiement
- Informations de paiement : traitées exclusivement par Stripe — nous ne stockons aucune coordonnée bancaire
- Historique de transactions : date, montant et plan souscrit
2.4 Newsletter (optionnel)
- Adresse email : si vous vous inscrivez à la newsletter du blog
- Consentement double opt-in : confirmation par email requise (RGPD Art. 7)
- Désinscription : lien de désinscription en 1 clic dans chaque email
2.5 Données techniques
- Logs de connexion : adresse IP, date/heure, navigateur (pour la sécurité)
- Cookies de session : strictement nécessaires au maintien de votre connexion
3. Pourquoi nous collectons vos données
Fourniture du service (Art. 6.1.b RGPD — Exécution du contrat)
- Génération de dossiers de compétences personnalisés
- Analyse de la correspondance entre votre CV et les offres d'emploi
- Stockage sécurisé de vos documents pour consultation ultérieure
- Gestion de votre abonnement et facturation
Traitement par Intelligence Artificielle (Art. 6.1.a RGPD — Consentement)
- Analyse de votre CV par IA (Claude, Anthropic, via AWS Bedrock hébergé à Paris)
- Extraction automatique de compétences, expériences et qualifications
- Génération de contenus personnalisés (dossiers, CV augmentés, lettres de motivation)
Sécurité du service (Art. 6.1.f RGPD — Intérêt légitime)
- Détection de fraude et prévention des abus
- Protection contre les tentatives de connexion malveillantes (verrouillage après 5 échecs)
- Rate limiting par plan pour garantir la qualité de service
4. Base Légale des Traitements
| Donnée | Base légale | Justification |
|---|---|---|
| Email, nom, mot de passe hashé | Contrat (Art. 6.1.b) | Nécessaire pour créer et gérer votre compte |
| CV, offres, dossiers | Contrat (Art. 6.1.b) | Cœur du service fourni |
| Analyse par IA | Consentement (Art. 6.1.a) | Le traitement par IA nécessite votre accord explicite |
| Paiements | Contrat (Art. 6.1.b) | Obligations contractuelles |
| Logs, IP | Intérêt légitime (Art. 6.1.f) | Sécurité et prévention de la fraude |
5. Traitement par Intelligence Artificielle
Fournisseur IA
Nous utilisons les modèles Claude (Anthropic) via AWS Bedrock, hébergé dans la région Europe (Paris) — eu-west-3.
Le modèle utilisé dépend de votre plan :
- Découverte (gratuit) : Claude Sonnet 4.6
- Solo : Claude Haiku 4.5
- Team : Claude Sonnet 4.6
- Enterprise : Claude Opus 4.6
Garanties de confidentialité
- Hébergement en Union Européenne (Paris, France) — aucun transfert de données de CV hors UE
- Zéro rétention : vos données sont supprimées immédiatement après traitement par l'IA (< 5 secondes)
- Aucun entraînement : vos données ne sont JAMAIS utilisées pour entraîner les modèles d'IA
- Pas de revente : vos données ne sont jamais partagées avec des tiers à des fins commerciales
- Conformité RGPD : AWS Bedrock respecte le RGPD (Art. 28) en tant que sous-traitant
Sous-traitants
- AWS (Amazon Web Services) : hébergement Bedrock et infrastructure (Paris, EU) — DPA AWS
- Anthropic : fournisseur du modèle IA via Bedrock — n'a pas accès à vos données (seul AWS traite les requêtes)
6. Chiffrement et Sécurité des Données
Toutes les données sensibles sont chiffrées au repos avec l'algorithme AES-256-GCM :
| Donnée chiffrée | Description |
|---|---|
| CV (texte parsé + mots-clés) | Contenu extrait de votre CV |
| Offres d'emploi (texte + données parsées) | Détails des offres analysées |
| Dossiers (analyse + contenu édité) | Résultats d'analyse et modifications |
| Parcours d'apprentissage | Recommandations de formation |
| MFA (secret + codes backup) | Authentification à deux facteurs |
Mesures techniques
- HTTPS/TLS : toutes les communications sont chiffrées en transit
- AES-256-GCM : chiffrement au repos de toutes les données sensibles
- Bcrypt (12 rounds) : hashage des mots de passe avec protection anti-timing
- JWT : sessions sécurisées avec expiration
- CSRF : protection contre les attaques cross-site
- Rate limiting : protection contre les abus, par plan et par IP
- Verrouillage de compte : après 5 tentatives de connexion échouées
Mesures organisationnelles
- Accès restreint aux administrateurs autorisés uniquement
- Journalisation de tous les accès (audit log)
- Clés de chiffrement stockées dans un coffre-fort sécurisé (HashiCorp Vault)
En cas de violation de données
Conformément à l'Art. 33 RGPD, nous notifierons la CNIL et les personnes concernées sous 72 heures en cas de fuite de données présentant un risque.
7. Durée de Conservation
| Donnée | Durée | Justification |
|---|---|---|
| Compte actif | Tant que le compte est actif | Nécessaire pour fournir le service |
| CVs et dossiers | Tant que le compte est actif | Consultation ultérieure |
| Après suppression du compte | 30 jours max | Sauvegardes automatiques, puis effacement définitif |
| Logs de sécurité | 6 mois | Prévention de la fraude (Art. 6.1.f) |
| Données de paiement | 10 ans | Obligation légale comptable |
| Données IA (AWS Bedrock) | 0 jour | Suppression immédiate après traitement |
8. Destinataires des Données
Vous-même
Accès complet à toutes vos données via votre compte (export JSON/PDF disponible).
Personnel autorisé
Administrateurs techniques de Postules (accès restreint, journalisé, uniquement en cas de support technique).
Sous-traitants RGPD-compliant
- AWS (hébergement IA et infrastructure, Paris EU) — Contrat DPA
- Stripe (paiements, EU) — Contrat DPA
- OVH (hébergement serveur, France) — Contrat DPA
Aucune revente : nous ne vendons, louons ou partageons JAMAIS vos données avec des tiers à des fins commerciales ou publicitaires.
9. Transferts Hors Union Européenne
Aucun transfert systématique
Toutes vos données (CVs, dossiers, analyses) restent en Union Européenne :
- Serveurs applicatifs : OVH (France)
- Base de données : OVH (France)
- IA (AWS Bedrock) : Paris (eu-west-3)
Exception
- Google OAuth : si vous utilisez la connexion Google, vos données d'authentification (email, nom) transitent par les serveurs de Google. Google respecte les clauses contractuelles types (SCC) et le Data Privacy Framework EU-US.
10. Vos Droits (Articles 15-22 RGPD)
Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles en format ZIP. → Disponible dans Paramètres > Exporter mes données
Droit de rectification (Art. 16)
Corriger vos informations (email, nom, données de profil). → Disponible dans Paramètres > Mon profil
Droit à l'effacement (Art. 17)
Supprimer définitivement votre compte et toutes vos données. → Disponible dans Paramètres > Supprimer mon compte
Droit à la portabilité (Art. 20)
Récupérer vos données dans un format structuré (JSON, PDF). → Inclus dans l'export de données
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données.
Droit à la limitation (Art. 18)
Limiter temporairement le traitement de vos données (nous contacter).
Droit de réclamation (Art. 77)
Déposer une plainte auprès de la CNIL : https://www.cnil.fr/
Délai de réponse : maximum 1 mois (Art. 12.3 RGPD).
Pour exercer vos droits : dpo@postules.fr
11. Cookies et Traceurs
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service.
Cookies utilisés
| Nom | Pourquoi il est nécessaire | Durée |
|---|---|---|
next-auth.session-token | Maintenir votre connexion — sans ce cookie, vous seriez déconnecté à chaque page | Session |
next-auth.csrf-token | Protéger contre les attaques — empêche des sites malveillants d'agir en votre nom | Session |
cookie_consent | Mémoriser votre choix — évite de vous redemander à chaque visite | 1 an |
Aucun cookie publicitaire, de tracking ou d'analyse tiers n'est utilisé.
Vous pouvez désactiver les cookies dans votre navigateur, mais cela empêchera la connexion au service.
12. Données des Mineurs
Notre service est réservé aux personnes majeures (18 ans et plus).
Si nous découvrons qu'un mineur a créé un compte, celui-ci sera immédiatement supprimé et les données effacées.
13. Modifications de la Politique
En cas de modification substantielle :
- Notification par email 30 jours avant l'entrée en vigueur
- Bannière d'information sur le site
- Possibilité de refuser et supprimer votre compte
14. Contact
Email : contact@postules.fr Délai de réponse : 30 jours maximum
Autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr/
Date de dernière modification : 13 mars 2026 Version : 2.0