1Responsable du traitement
2Données collectées
Données de compte
- •Email, nom, prénom, téléphone
- •Mot de passe (hashé avec bcrypt - jamais stocké en clair)
- •Organisation, rôle
- •Photo de profil (optionnelle)
- •Préférence de langue (français/anglais)
Données candidats (si recruteur)
- •CVs téléchargés (fichiers PDF/Word)
- •Expériences professionnelles extraites
- •Compétences techniques détectées
- •Formations et certifications
- •Coordonnées des candidats (email, téléphone, LinkedIn, GitHub, Portfolio)
- •Notes et tags ajoutés par les recruteurs
- •Historique des candidatures
Données de facturation
- •Identifiant client Stripe (StripeCustomerId)
- •Historique des abonnements et modules
- •Informations de paiement (traitées par Stripe uniquement - nous ne stockons JAMAIS vos cartes bancaires)
Données techniques
- •Adresse IP (logs temporaires)
- •Navigateur et système d'exploitation
- •Cookies de session (authentification)
- •Journaux d'activité (ActivityLog)
3Finalités du traitement
✅ Nous utilisons vos données UNIQUEMENT pour :
Fournir le service RecruiEasy
Système de suivi des candidatures (ATS)
Recommandations IA
Matching entre candidats et offres d'emploi via OpenAI
Communications transactionnelles
Notifications de candidatures, rappels via Resend
Facturation
Gestion des abonnements via Stripe
Support client
Répondre à vos demandes d'assistance
Sécurité
Prévenir la fraude et protéger votre compte
❌ Nous n'utilisons JAMAIS vos données pour :
- • Revente à des tiers
- • Publicité ciblée ou remarketing
- • Profilage en dehors du service
- • Entraînement de modèles IA sans anonymisation
4Base légale (PIPEDA / Loi 25 Québec)
Consentement
Vous acceptez cette politique lors de l'inscription
Exécution du contrat
Nécessaire pour fournir le service ATS
Obligation légale
Conservation des factures pendant 7 ans (loi fiscale canadienne)
5Partage avec des tiers (sous-traitants)
Nous partageons vos données UNIQUEMENT avec les sous-traitants suivants, tous soumis à des Data Processing Agreements (DPA) :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel | Hébergement frontend | USA | DPA signé, SOC 2 Type II |
| Neon.tech | Base de données PostgreSQL | USA/EU | DPA signé, chiffrement AES-256 |
| OpenAI | Parsing CVs et recommandations IA | USA | DPA signé, données anonymisées |
| Stripe | Traitement des paiements | USA | PCI-DSS Level 1 certifié |
| Resend | Emails transactionnels | USA | DPA signé, TLS chiffrement |
| Apideck | Intégrations ATS tierces | USA | DPA signé, OAuth sécurisé |
⚠️ Nous ne vendons JAMAIS vos données à des tiers.
6Transferts internationaux
Certains sous-traitants sont situés aux États-Unis. Garanties applicables :
Standard Contractual Clauses (SCC)
Approuvées par la Commission européenne
Data Processing Agreements (DPA)
Signés avec chaque sous-traitant
Chiffrement
En transit (TLS 1.3) et au repos (AES-256)
Conformité SOC 2 Type II
Pour Vercel et Neon.tech
7Vos droits (PIPEDA + Loi 25 Québec)
Vous disposez des droits suivants, que vous pouvez exercer à tout moment :
📄Droit d'accès
Demander une copie de toutes vos données personnelles
- → Email : jlgouaho@recruiteasy.ca
- → Réponse sous 30 jours
✏️Droit de rectification
Corriger des données inexactes ou incomplètes
- → Depuis votre compte (Settings → Profile)
- → Ou par email : jlgouaho@recruiteasy.ca
🗑️Droit à l'effacement ("droit à l'oubli")
Supprimer votre compte et toutes vos données personnelles
- → Email : jlgouaho@recruiteasy.ca
- → Suppression immédiate avec période de grâce de 30 jours
📧Droit d'opposition
Refuser les emails marketing (vous recevrez toujours les emails transactionnels)
- → Lien "Se désabonner" dans chaque email
- → Ou Settings → Notifications
📦Droit à la portabilité
Exporter toutes vos données dans un format lisible par machine (JSON)
- → Email : jlgouaho@recruiteasy.ca
📬 Pour exercer vos droits :
Envoyez un email à jlgouaho@recruiteasy.ca avec votre demande.
Nous répondrons sous 30 jours maximum.
8Conservation des données
| Type de données | Durée de conservation |
|---|---|
| Compte actif | Tant que le compte existe |
| Compte supprimé | 30 jours (période de grâce) puis suppression définitive |
| CVs candidats | 2 ans ou suppression manuelle par le recruteur |
| Factures Stripe | 7 ans (obligation fiscale Canada) |
| Logs de sécurité (ActivityLog) | 1 an |
| Backups base de données | 30 jours (puis écrasés automatiquement) |
9Mesures de sécurité
Mesures techniques
Chiffrement en transit
HTTPS/TLS 1.3 obligatoire
Chiffrement au repos
AES-256 pour la base de données (Neon.tech)
Authentification sécurisée
JWT + cookies httpOnly via NextAuth.js
Hashage passwords
Bcrypt via ASP.NET Identity
Backups quotidiens
Chiffrés (rétention 30 jours)
Mesures organisationnelles
- •Accès aux données limité aux employés nécessaires (principe du moindre privilège)
- •Authentification à deux facteurs (2FA) pour les accès administratifs
- •Formation régulière à la sécurité pour l'équipe
- •Revue de code et audits de sécurité périodiques
11Modifications
Nous pouvons modifier cette politique. En cas de changement majeur, nous vous informerons par email 30 jours avant l'entrée en vigueur.
12Contact & Réclamations
Pour toute question concernant vos données ou pour déposer une plainte :
Email : jlgouaho@recruiteasy.ca
Adresse : Québec, Canada
Si vous n'êtes pas satisfait de notre réponse, vous pouvez contacter le Commissariat à la protection de la vie privée du Canada.