Politique de cookies
Version 2.0 — Dernière mise à jour : 24 avril 2026
La présente politique décrit, conformément à l'article 82 de la loi Informatique et Libertés (tel que modifié par l'ordonnance du 12 décembre 2018) et aux recommandations de la CNIL du 17 septembre 2020, l'ensemble des cookies et technologies similaires (localStorage, sessionStorage, empreintes techniques) que nous utilisons sur injobby.com.
1. Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte déposé sur votre appareil par un site web. Il permet de mémoriser une information (session, préférence) entre deux chargements de page. Par extension, nous appliquons la même politique à toutes les technologies à finalité équivalente : localStorage (stockage navigateur persistant), sessionStorage (stockage éphémère) et IndexedDB. La CNIL les traite de manière identique aux cookies lorsqu'elles servent à lire ou déposer une information.
2. Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site. Ils sont exemptés du recueil de consentement par l'article 82 précité et ne peuvent pas être désactivés sans rendre le service inutilisable.
| Nom | Émetteur | Finalité | Durée |
|---|---|---|---|
| access_token | InJobby (1st-party, httpOnly, Secure, SameSite=Lax) | Authentification de session (JWT court terme) | 30 minutes |
| refresh_token | InJobby (1st-party, httpOnly, Secure, SameSite=Lax) | Rafraîchissement de l'access_token (rotation à chaque usage) | 30 jours |
| injobby-auth (localStorage) | InJobby (1st-party) | État de session côté client (nom, email, plan affichés dans l'UI — jamais de mot de passe ni de token) | Jusqu'à déconnexion |
| injobby:consent:v1 (localStorage) | InJobby (1st-party) | Mémoire de votre choix sur la bannière cookies (preuve de consentement conformément à l'article 7.1 RGPD) | 13 mois |
| NEXT_LOCALE | next-intl (1st-party) | Préférence de langue (fr/en) mémorisée entre deux visites | 1 an |
Protection CSRF. Nous n'utilisons pas de cookie anti-CSRF dédié. La protection repose sur l'en-tête personnalisé X-Requested-With que seul un script même-origine peut définir, couplé à l'attribut SameSite=Lax sur les cookies d'authentification.
3. Cookies et traceurs soumis à votre consentement
Ces outils ne sont chargés qu'après acceptation explicite de la bannière de consentement. Vous pouvez changer d'avis à tout moment (section 5).
3.1 Analyse produit — PostHog
Nous utilisons PostHog (EU Cloud, Frankfurt) pour comprendre quelles fonctionnalités sont utilisées et identifier les points de friction du tunnel d'activation. PostHog n'est chargé qu'avec votre consentement explicite.
| Nom | Type | Finalité | Durée |
|---|---|---|---|
| ph_* (localStorage) | PostHog (tiers, EU Cloud) | Identifiant anonyme de visiteur et file d'événements produit en attente d'envoi (sans rejeu de session) | 1 an |
Les rejeux de session sont désactivés (disable_session_recording: true). PostHog collecte uniquement les événements produit nommés que nous émettons explicitement (page vues, premier CV créé, scan ATS lancé, PDF téléchargé, etc.) — aucun enregistrement de l'écran, aucune capture de DOM, aucune trace des saisies. Pour les utilisateurs qui retirent leur consentement, PostHog n'est jamais initialisé.
3.2 Monitoring d'erreurs — Sentry
Sentry collecte les erreurs JavaScript non capturées pour nous permettre de corriger les bugs. Depuis la version 2.0, son initialisation est soumise à votre consentement (alignement avec la recommandation CNIL sur les traceurs techniques de ce type).
| Nom | Type | Finalité | Durée |
|---|---|---|---|
| sentryReplaySession (sessionStorage, optionnel) | Sentry (tiers, région UE) | Identifiant de session de rejeu d'erreur | Session navigateur |
3.3 Paiement — Stripe
Lorsque vous initiez un paiement, vous êtes redirigé(e) vers la page hébergée par Stripe. Les cookies déposés à cette occasion relèvent de la politique de confidentialité de Stripe. Ils sont limités au fonctionnement du service de paiement et à la détection de fraude — aucun cookie publicitaire n'est déposé.
4. Ce que nous n'utilisons PAS
- Aucun cookie publicitaire.
- Aucun pixel de réseau social (Facebook, LinkedIn, X, TikTok).
- Aucun outil de Real User Monitoring à but marketing (Hotjar, Mouseflow, etc.).
- Aucun fingerprinting de navigateur à but d'identification.
- Google Analytics n'est pas utilisé.
5. Gestion et retrait du consentement
À votre première visite, une bannière vous propose d'accepter ou de refuser les cookies soumis à consentement. Accepter et refuser sont présentés avec le même poids visuel, conformément à la recommandation CNIL 2021-SR-15.
Pour revenir sur votre choix à tout moment, en un clic :
- Bouton « Gérer mes cookies » — disponible (i) dans le pied de page de la page d'accueil, (ii) dans le pied de page de votre tableau de bord une fois connecté, et (iii) dans Paramètres → Cookies et préférences. Cliquer dessus efface votre choix enregistré et fait réapparaître la bannière de consentement immédiatement, sans rechargement de page. Vous pouvez alors accepter ou refuser à nouveau.
- À défaut, vous pouvez vider votre stockage local pour
injobby.comdepuis les paramètres de votre navigateur — la bannière réapparaîtra lors de votre prochaine visite. - Ou écrivez-nous à contact@injobby.com avec l'objet « Retrait consentement » — nous appliquerons votre choix côté serveur (purge des événements côté PostHog dans les 30 jours).
Votre navigateur permet également de supprimer ou de bloquer les cookies de manière générale :
Attention : la désactivation des cookies strictement nécessaires empêche le fonctionnement du site (connexion, préférences de langue).
6. Durée de conservation du consentement
Votre choix (accepté ou refusé) est conservé 13 mois maximum, durée recommandée par la CNIL, puis la bannière vous redemande votre consentement.
7. En savoir plus
Pour plus de détails sur le traitement global de vos données, consultez notre Politique de confidentialité. Pour toute question : contact@injobby.com.