Politique de confidentialité
Version 2.0 — Dernière mise à jour : 24 avril 2026
InJobby (« nous », « notre ») s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée. La présente politique décrit, en application de l'article 13 du RGPD, qui traite vos données, pour quelles finalités, sur quelle base légale, pendant combien de temps, et comment exercer vos droits.
1. Responsable du traitement
Le responsable du traitement est l'éditeur du site InJobby, dont les coordonnées complètes (identité, adresse, numéro d'immatriculation lorsque applicable) figurent dans les Mentions légales. Le point de contact unique pour toute question relative à vos données est : contact@injobby.com.
Compte tenu de la nature et du volume des données traitées, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire au sens de l'article 37 du RGPD. Vos demandes sont traitées directement par le responsable du traitement.
2. Données collectées, finalités et base légale
Nous ne collectons que les données strictement nécessaires à la fourniture du service et à sa sécurisation. Nous ne vendons, ne monnayons et ne cédons jamais vos données à des tiers à des fins publicitaires.
| Donnée | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|
| Nom, prénom, email | Création et gestion de compte, envoi de notifications de service | Exécution du contrat (art. 6.1.b) |
| Mot de passe haché (bcrypt) | Authentification | Exécution du contrat (art. 6.1.b) |
| Identifiant Google (OAuth) si connexion « Continuer avec Google » | Authentification alternative sans mot de passe | Exécution du contrat (art. 6.1.b) |
| Contenu des CV et lettres de motivation | Génération, analyse ATS, export PDF, amélioration par IA | Exécution du contrat (art. 6.1.b) |
| Historique des candidatures saisies | Suivi personnel et statistiques privées | Exécution du contrat (art. 6.1.b) |
| Email (liste d'attente PRO / MAX) | Notification lors du lancement du plan concerné | Consentement (art. 6.1.a) |
| Adresse IP, user-agent, horodatage des requêtes | Sécurité, rate-limiting, détection d'abus | Intérêt légitime (art. 6.1.f) — sécurité du service |
| Compteurs d'usage (quotas IA, scans, exports) | Application des limites du plan souscrit | Exécution du contrat (art. 6.1.b) |
| Événements d'engagement (scan lancé, lettre générée, PDF téléchargé) | Statistiques d'activation internes, éligibilité « Founding Member » | Intérêt légitime (art. 6.1.f) — amélioration du service |
| Données de paiement (identifiant client Stripe, statut d'abonnement) | Traitement de l'abonnement, facturation | Exécution du contrat (art. 6.1.b) |
| Erreurs applicatives côté client et serveur (Sentry) | Détection et correction de bugs | Consentement (art. 6.1.a) pour la partie navigateur ; intérêt légitime côté serveur |
| Événements produit anonymisés (PostHog, si consenti) | Analyse d'usage agrégée, tunnel d'activation | Consentement (art. 6.1.a) |
Secret professionnel du mot de passe. Nous ne stockons jamais votre mot de passe en clair. Seule son empreinte bcrypt (coût 12) est conservée. Nous ne pouvons pas le retrouver : en cas d'oubli, la seule voie est la réinitialisation par email.
Aucune donnée de carte bancaire n'est stockée par InJobby. Les paiements transitent exclusivement par Stripe (PCI-DSS niveau 1) ; nous ne voyons ni le numéro de carte, ni le CVV, ni la date d'expiration.
3. Sous-traitants (article 28 RGPD)
Vos données sont hébergées et traitées par les sous-traitants suivants, sélectionnés pour leur conformité RGPD et encadrés par un accord de traitement des données (DPA) :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Neon Inc. | Base de données Postgres (comptes, CV, scans, candidatures) | Frankfurt, Allemagne — UE |
| Railway Corp. | Hébergement du backend API et des workers | Amsterdam, Pays-Bas — UE |
| Vercel Inc. | Hébergement du frontend et proxy API Next.js | Région CDG (Paris, France) — UE |
| Upstash Inc. | Cache Redis (rate-limiting, révocation de tokens) | Région eu-west-1 (Irlande) — UE |
| Resend Inc. | Envoi d'emails transactionnels (vérification, réinitialisation, facturation) | Région eu-west-1 (Irlande) — UE |
| Sentry (Functional Software Inc.) | Monitoring des erreurs applicatives | Région UE (Frankfurt, Allemagne) |
| Stripe Payments Europe Ltd. | Traitement des paiements et facturation (lorsque Stripe sera activé) | Dublin, Irlande — UE (avec transferts vers Stripe Inc. aux États-Unis, cf. §4) |
| PostHog Inc. | Analyse produit agrégée (hébergement EU Cloud choisi) | Frankfurt, Allemagne — UE (entité mère aux États-Unis, cf. §4) |
| Groq Inc. | Traitement par IA des textes (analyse ATS, réécriture de bullets, génération de lettres) | États-Unis (cf. §4) |
| Google Ireland Ltd. | OAuth 2.0 « Continuer avec Google » (seulement si vous utilisez ce bouton) | Dublin, Irlande — UE (avec transferts vers Google LLC, États-Unis, cf. §4) |
Aucun contenu de CV, lettre, candidature ou email n'est conservé par Groq ni utilisé pour entraîner un modèle. Les textes sont transmis pour traitement et supprimés par Groq à l'issue de la réponse (politique « zero-retention » contractuelle). Les prompts système garantissent également qu'aucune donnée d'un utilisateur ne peut fuiter vers un autre utilisateur.
4. Transferts hors Union européenne
La quasi-totalité des traitements a lieu à l'intérieur de l'Espace économique européen. Quatre exceptions sont identifiées ci-dessous. Pour chacune, nous précisons le mécanisme de transfert applicable et — lorsque les États-Unis sont impliqués — le risque résiduel reconnu depuis la décision Schrems II de la CJUE (16 juillet 2020).
- Groq Inc. (États-Unis) — traitement IA en temps réel. InJobby utilise Groq Inc. pour le traitement IA des textes de CV, lettres de motivation et descriptions de postes que vous nous confiez. Ce transfert est encadré par des clauses contractuelles types (CCT) de la Commission européenne (décision 2021/914, modules contrôleur → sous-traitant). Nous reconnaissons que les États-Unis ne bénéficient pas d'une décision d'adéquation pour ce type de traitement — Groq Inc. n'est pas certifiée au EU-US Data Privacy Framework à ce jour — et nous informons les utilisateurs de ce risque résiduel : les autorités américaines peuvent, sous certaines conditions du Cloud Act et du FISA Section 702, demander l'accès aux données détenues par Groq sans notification au sujet concerné. Pour limiter ce risque, nous avons négocié contractuellement une politique zero-retention avec Groq (les textes ne sont pas stockés au-delà de la réponse) et nous ne transmettons pas d'identifiant direct (nom, email) dans les requêtes IA. Si ce risque résiduel ne vous convient pas, vous pouvez exporter vos données et supprimer votre compte à tout moment depuis la page Paramètres.
Quelles données sont effectivement transmises à Groq ? Pour vous donner une vue exacte (et non une promesse marketing) : le contenu textuel de votre CV, de vos lettres de motivation et des descriptions de poste que vous nous confiez est transmis à Groq pour traitement. Avant transmission, un filtre côté serveur remplace automatiquement les adresses email, numéros de téléphone et URL détectés par des marqueurs neutres ([email],[phone],[url]) ; ce filtre s'applique à toutes les routes IA sauf la route d'extraction structurée du CV (qui a précisément pour finalité de remettre vos coordonnées dans les bons champs de votre profil). Le contenu textuel restant — votre nom tel que vous l'avez tapé, l'intitulé des postes occupés, les noms des employeurs et établissements de formation, les descriptions de vos expériences — est nécessairement transmis car il constitue la matière même que l'IA analyse. Aucun champ administratif (mot de passe, jeton, identifiant Stripe) n'est jamais transmis à Groq. - Stripe Inc. (États-Unis) — traitement de paiement. Stripe est certifié conforme au EU-US Data Privacy Framework par le Département du Commerce des États-Unis, ce qui constitue une décision d'adéquation au sens de l'article 45 du RGPD. Des CCT couvrent en complément les transferts vers ses sous-traitants.
- Google LLC (États-Unis) — uniquement si vous utilisez le bouton « Continuer avec Google ». Google LLC est certifiée conforme au EU-US Data Privacy Framework. Aucun transfert ne se produit pour les utilisateurs qui créent leur compte par email classique.
- PostHog Inc. (États-Unis, entité mère). L'instance que nous utilisons est hébergée en UE (EU Cloud, Frankfurt). Les CCT encadrent les opérations administratives résiduelles avec l'entité américaine.
Vous pouvez obtenir une copie des CCT applicables en écrivant à contact@injobby.com.
5. Durées de conservation
- Compte actif : les données de votre compte (identité, CV, lettres, candidatures, scans) sont conservées tant que votre compte reste actif.
- Compte supprimé : effacement sous 30 jours calendaires après la demande de suppression (le délai permet d'honorer les obligations légales d'audit).
- Logs techniques et événements de sécurité : 90 jours glissants maximum.
- Événements d'engagement anonymisés : 13 mois, limite recommandée par la CNIL pour les statistiques de mesure d'audience.
- Factures et données comptables : 10 ans, durée légale de conservation (article L.123-22 du Code de commerce).
- Liste d'attente : conservée jusqu'au lancement du plan concerné, puis supprimée sous 30 jours (ou dès réception d'une demande explicite de désinscription).
- Preuve de consentement cookies : 13 mois (durée recommandée par la CNIL), recollectée au-delà.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — obtenir la confirmation que nous traitons vos données et en recevoir une copie.
- Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) — demander la suppression de vos données (« droit à l'oubli »).
- Droit à la limitation (art. 18) — demander le gel d'un traitement dont vous contestez l'exactitude ou la licéité.
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
- Droit d'opposition (art. 21) — vous opposer, pour des raisons tenant à votre situation particulière, aux traitements fondés sur l'intérêt légitime.
- Droit de retirer votre consentement (art. 7) — à tout moment, sans que cela remette en cause la licéité des traitements antérieurs.
- Droit de définir des directives post-mortem (art. 85 de la loi Informatique et Libertés) — sur le sort de vos données après votre décès.
7. Comment exercer vos droits
Pour les droits d'accès et d'effacement, vous disposez d'outils en libre-service dans l'application :
- Export de toutes vos données — depuis la page Paramètres → Vie privée, bouton « Télécharger mes données ». Nous vous livrons un fichier JSON portable (droit à la portabilité sous 30 secondes).
- Suppression définitive du compte — depuis la même page, bouton « Supprimer mon compte ». La confirmation requiert la saisie de votre adresse email pour éviter les mauvaises manipulations.
Pour tout autre droit, ou si vous préférez un contact humain, écrivez à contact@injobby.com. Nous répondons sous 30 jours (délai légal maximal de l'article 12.3 du RGPD), avec une possible extension de 2 mois pour les demandes complexes — dûment justifiée.
Vous avez également le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/fr/plaintes.
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) :
- Chiffrement TLS (HTTPS) sur l'intégralité des échanges.
- Chiffrement au repos sur la base de données Postgres (Neon) et sur les volumes d'hébergement (Railway).
- Mots de passe hachés en bcrypt coût 12, jamais conservés en clair.
- Cookies d'authentification httpOnly, Secure, SameSite=Lax, durée courte (30 min) avec rotation du refresh token.
- Authentification à deux facteurs (TOTP) obligatoire pour les comptes administrateurs, avec secrets chiffrés en base (Fernet).
- Protection CSRF par en-tête personnalisé, protection anti-brute-force par rate-limiting (slowapi adossé à Redis).
- En-têtes HTTP de sécurité (HSTS, X-Content-Type-Options, X-Frame- Options, Content-Security-Policy).
- Filtrage des secrets et des jetons dans les journaux applicatifs et dans Sentry.
- Principe du moindre privilège sur les accès opérateurs.
9. Notification de violation de données
Conformément à l'article 33 du RGPD, nous notifierons la CNIL dans les 72 heures de la constatation de toute violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Conformément à l'article 34, lorsque la violation est susceptible d'engendrer un risque élevé, nous informerons également les utilisateurs concernés dans les meilleurs délais, par email et par notification dans l'application.
10. Décisions automatisées
Aucune décision produisant des effets juridiques ou vous affectant significativement n'est prise de manière purement automatisée (article 22 RGPD). Les suggestions IA sont des assistances soumises à votre validation. L'acceptation ou le rejet d'un compte pour cause d'abus est une décision humaine, assortie d'un droit de recours à contact@injobby.com.
11. Mineurs
InJobby est destiné aux personnes de 16 ans et plus. Nous ne collectons pas sciemment de données de mineurs de moins de 16 ans. Si vous estimez qu'un mineur nous a transmis des données, écrivez à contact@injobby.com — nous supprimerons le compte concerné sans délai.
12. Cookies
Le détail des cookies et technologies similaires utilisés, leur durée et la façon de retirer votre consentement figurent dans la Politique de cookies.
13. Modifications de la politique
Nous pouvons modifier la présente politique pour refléter des évolutions réglementaires, techniques ou fonctionnelles. La date de dernière mise à jour et le numéro de version figurent en tête de la présente page. Les modifications substantielles vous seront notifiées par email au moins 30 jours avant leur entrée en vigueur.
14. Contact
Pour toute question sur cette politique ou sur le traitement de vos données : contact@injobby.com.