Politique de confidentialite
Derniere mise a jour : 19 mars 2026
Postulio accorde la plus grande importance a la protection de vos donnees personnelles. La presente politique de confidentialite a pour objet de vous informer sur la maniere dont nous collectons, utilisons, stockons et protegeons vos donnees, conformement au Reglement General sur la Protection des Donnees (RGPD, Reglement UE 2016/679) et a la loi Informatique et Libertes du 6 janvier 1978 modifiee.
1. Identite du responsable de traitement
Le responsable du traitement des donnees personnelles est :
- Raison sociale : [A COMPLETER, ex. : Postulio SAS]
- Siege social : [A COMPLETER, adresse complete]
- SIRET : [A COMPLETER]
- Representant legal : [A COMPLETER, Prenom NOM], [A COMPLETER, qualite]
- Email : dpo@postul.io
2. Donnees personnelles collectees
Dans le cadre de l'utilisation du service Postulio, nous sommes amenes a collecter et traiter les categories de donnees suivantes :
2.1 Donnees d'inscription et de compte
- Adresse email
- Mot de passe (stocke sous forme de hash cryptographique, jamais en clair)
- Prenom et nom (facultatifs)
- Identifiant de connexion tiers le cas echeant (Google, LinkedIn, OAuth)
- Plan d'abonnement (free, pro, max)
2.2 Donnees issues du CV
- Fichier CV original (PDF ou DOCX) stocke de maniere securisee
- Profil structure extrait par intelligence artificielle :
- Intitule de poste souhaite ou actuel
- Objectif professionnel
- Nombre d'annees d'experience
- Competences techniques et comportementales (soft skills)
- Formations (diplome, etablissement, annee)
- Langues parlees et niveaux
- Experiences professionnelles (intitule, entreprise, duree, mots-cles)
2.3 Donnees de recherche d'emploi
- Criteres de recherche (intitule de poste, localisation, niveau d'experience, plateformes selectionnees)
- Offres d'emploi collectees et associees a votre session de recherche
- Scores de compatibilite generes par IA (score, points forts, lacunes, mots-cles ATS, conseils)
- Lettres de motivation generees par IA
- Offres marquees comme postulees
2.4 Donnees techniques et de navigation
- Adresse IP
- Type et version du navigateur
- Systeme d'exploitation
- Pages visitees et horodatage
- Jetons d'authentification (JWT) stockes localement
3. Finalites du traitement
Vos donnees personnelles sont traitees pour les finalites suivantes :
| Finalite | Base legale (art. 6 RGPD) |
|---|---|
| Creation et gestion de votre compte utilisateur | Execution du contrat (art. 6.1.b) |
| Extraction et structuration de votre profil depuis votre CV | Consentement (art. 6.1.a), upload volontaire du CV |
| Recherche et collecte d'offres d'emploi correspondant a vos criteres | Execution du contrat (art. 6.1.b) |
| Scoring IA des offres par rapport a votre profil candidat | Execution du contrat (art. 6.1.b) |
| Generation de lettres de motivation personnalisees | Execution du contrat (art. 6.1.b) |
| Pre-remplissage de formulaires de candidature via l'extension navigateur | Consentement (art. 6.1.a), activation volontaire de l'extension |
| Gestion des abonnements et de la facturation | Execution du contrat (art. 6.1.b) |
| Amelioration du service et analyse d'usage | Interet legitime (art. 6.1.f) |
| Prevention des fraudes et securite du service | Interet legitime (art. 6.1.f) |
4. Traitement par intelligence artificielle
Postulio utilise des modeles d'intelligence artificielle (LLM, Large Language Models) pour :
- Extraire un profil structure a partir de votre CV (competences, experiences, formations, langues)
- Scorer la compatibilite entre votre profil et les offres d'emploi collectees (score de 0 a 100, points forts, lacunes, mots-cles ATS)
- Generer des lettres de motivation personnalisees et contextualisees
Informations importantes concernant ce traitement :
- Le modele utilise est Gemini 2.0 Flash fourni par Google (Google AI). Vos donnees sont transmises a l'API Google AI pour traitement.
- Conformement a l'article 22 du RGPD, ce traitement ne produit aucune decision automatisee ayant des effets juridiques ou significativement similaires. Les scores et contenus generes constituent uniquement une aide a la decision ; vous restez seul decisionnel quant a vos candidatures.
- Vous pouvez a tout moment demander une explication humaine du scoring ou refuser ce traitement en contactant notre DPO.
5. Sous-traitants et destinataires des donnees
Vos donnees personnelles peuvent etre transmises aux sous-traitants suivants, dans le strict cadre des finalites decrites ci-dessus :
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| Google LLC (Gemini API) | Traitement IA (extraction CV, scoring, generation de lettres) | Etats-Unis |
| Vercel Inc. | Hebergement du frontend (application web) | Etats-Unis |
| Railway Corporation | Hebergement de l'API, des workers et de la base de donnees PostgreSQL | Etats-Unis |
| Fly.io, Inc. | Hebergement du microservice de scraping | Etats-Unis |
| Cloudflare, Inc. (R2) | Stockage securise des fichiers CV | Etats-Unis / Points de presence mondiaux |
| Bright Data Ltd. | Service de proxies pour la collecte d'offres d'emploi | Israel |
Chaque sous-traitant est lie par un contrat de traitement de donnees (Data Processing Agreement) conformement a l'article 28 du RGPD. Postulio ne vend, ne loue ni ne cede vos donnees personnelles a des tiers a des fins commerciales.
6. Transferts de donnees hors de l'Union europeenne
Certains de nos sous-traitants sont situes aux Etats-Unis. Ces transferts de donnees sont encadres par les mecanismes suivants, conformement au chapitre V du RGPD :
- EU-U.S. Data Privacy Framework (DPF) : les sous-traitants certifies dans le cadre du DPF beneficient d'une decision d'adequation de la Commission europeenne (decision du 10 juillet 2023).
- Clauses contractuelles types (CCT) : en l'absence de certification DPF, des clauses contractuelles types adoptees par la Commission europeenne sont integrees aux contrats avec nos sous-traitants.
- Mesures supplementaires : chiffrement des donnees en transit (TLS 1.3) et au repos, pseudonymisation le cas echeant, et limitation de l'acces aux seules donnees strictement necessaires.
Vous pouvez obtenir une copie des garanties appropriees en contactant notre DPO a l'adresse dpo@postul.io.
7. Duree de conservation des donnees
| Categorie de donnees | Duree de conservation |
|---|---|
| Donnees de compte (email, mot de passe hashe) | Duree de la relation contractuelle + 3 ans apres la derniere connexion (prescription legale) |
| CV (fichier original et version extraite) | Duree de la relation contractuelle. Supprime dans un delai de 30 jours apres la suppression du compte. |
| Profil structure (JSON) | Duree de la relation contractuelle. Supprime avec le compte. |
| Sessions de recherche, offres scorees, lettres de motivation | 12 mois apres leur creation, ou suppression du compte (le premier des deux) |
| Donnees de facturation | 10 ans (obligations comptables legales, article L.123-22 du Code de commerce) |
| Logs techniques et adresses IP | 12 mois (obligation legale, LCEN) |
A l'expiration de ces delais, les donnees sont supprimees ou anonymisees de maniere irreversible.
8. Vos droits
Conformement au RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants sur vos donnees personnelles :
- Droit d'acces (article 15 RGPD) : obtenir la confirmation que vos donnees sont traitees et en recevoir une copie.
- Droit de rectification (article 16 RGPD) : faire corriger toute donnee inexacte ou incomplete vous concernant.
- Droit a l'effacement (article 17 RGPD) : demander la suppression de vos donnees, sous reserve des obligations legales de conservation. Vous pouvez egalement supprimer votre compte directement depuis la page Parametres du service.
- Droit a la portabilite (article 20 RGPD) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine (JSON), et les transmettre a un autre responsable de traitement.
- Droit d'opposition (article 21 RGPD) : vous opposer a tout moment au traitement de vos donnees fonde sur l'interet legitime.
- Droit a la limitation du traitement (article 18 RGPD) : demander la suspension du traitement de vos donnees dans certains cas prevus par le RGPD.
- Droit de retirer votre consentement : lorsque le traitement repose sur votre consentement, vous pouvez le retirer a tout moment, sans que cela affecte la licite du traitement effectue avant le retrait.
- Droit de definir des directives relatives au sort de vos donnees apres votre deces (article 85 de la loi Informatique et Libertes).
Comment exercer vos droits ?
Vous pouvez exercer vos droits a tout moment en nous contactant :
- Par email : dpo@postul.io
- Par courrier postal : [A COMPLETER, adresse du DPO ou du siege social]
Nous nous engageons a repondre a votre demande dans un delai d'un mois a compter de sa reception, conformement a l'article 12 du RGPD. Ce delai peut etre prolonge de deux mois supplementaires en cas de demande complexe, apres vous en avoir informe.
En cas de difficulte dans l'exercice de vos droits, vous pouvez introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. Cookies et traceurs
9.1 Cookies utilises
Le site Postulio utilise les categories de cookies suivantes :
| Cookie / Stockage | Type | Finalite | Duree |
|---|---|---|---|
postulio_token | Strictement necessaire | Authentification de l'utilisateur (JWT, localStorage) | 15 minutes (access token), 30 jours (refresh token) |
postulio_theme | Strictement necessaire | Preference de theme (clair / sombre) | Persistant (localStorage) |
9.2 Absence de cookies de pistage
A la date de redaction de la presente politique, Postulio n'utilise aucun cookie publicitaire, de pistage ou d'analyse tiers (pas de Google Analytics, Facebook Pixel ou equivalent). Si cela venait a evoluer, la presente politique serait mise a jour et votre consentement prealable serait recueilli conformement a la reglementation en vigueur.
10. Securite des donnees
Postulio met en oeuvre des mesures techniques et organisationnelles appropriees pour assurer la securite et la confidentialite de vos donnees, notamment :
- Chiffrement en transit : toutes les communications sont protegees par HTTPS/TLS 1.3.
- Chiffrement au repos : les fichiers CV sont stockes de maniere chiffree sur Cloudflare R2 ; la base de donnees PostgreSQL est chiffree au repos.
- Hachage des mots de passe : les mots de passe sont haches a l'aide d'algorithmes modernes et securises (bcrypt) avant stockage. Postulio ne stocke jamais de mot de passe en clair.
- Authentification securisee : utilisation de jetons JWT a duree limitee (15 minutes) avec refresh tokens.
- Isolation des services : les differents composants du service (API, scraper, base de donnees, queue) sont isoles et communiquent via des secrets partages.
- Minimisation des donnees : seules les donnees strictement necessaires sont collectees et transmises a chaque sous-traitant.
- Monitoring : surveillance des erreurs et anomalies via Sentry avec alerting.
11. Protection des mineurs
Le service Postulio est destine aux personnes agees d'au moins 16 ans. Nous ne collectons pas sciemment de donnees personnelles de mineurs de moins de 16 ans. Si nous decouvrons que des donnees de mineurs ont ete collectees, nous les supprimerons dans les meilleurs delais.
12. Modification de la politique de confidentialite
Nous nous reservons le droit de modifier la presente politique de confidentialite a tout moment. En cas de modification substantielle, vous en serez informe par email ou par une notification au sein du service au moins 30 jours avant l'entree en vigueur des modifications.
Nous vous invitons a consulter regulierement cette page pour prendre connaissance de toute mise a jour.
13. Delegue a la protection des donnees (DPO)
Pour toute question relative a la protection de vos donnees personnelles, ou pour exercer vos droits, vous pouvez contacter notre Delegue a la Protection des Donnees :
- Nom : [A COMPLETER, Prenom NOM]
- Email : dpo@postul.io
- Adresse : [A COMPLETER, adresse postale]