Politique de confidentialité

1. Introduction

Bienvenue sur preparAItor (« Service »), exploité par CHW-Services (« Entreprise », « nous » ou « notre »). Nous nous engageons à protéger vos données personnelles et votre droit à la vie privée conformément à la loi fédérale suisse sur la protection des données (LPD), au Règlement général sur la protection des données de l’UE (RGPD) et à la Règlement (UE) 2024/1689 sur l’intelligence artificielle.

La présente politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos données lorsque vous utilisez notre Service. Si vous n’êtes pas d’accord avec cette politique, veuillez ne pas utiliser le Service.

Responsable du traitement : CHW-Services est responsable du traitement de toutes les données personnelles traitées via le Service preparAItor. Nous déterminons à ce titre les finalités et les moyens du traitement de vos données personnelles. Nos sous-traitants (listés sur Sous-traitants) agissent en tant que sous-traitants pour notre compte et traitent les données uniquement selon nos instructions documentées.

2. Données que nous collectons

2.1 Données personnelles que vous nous fournissez

Inscription au compte :

• Adresse e-mail (obligatoire)
• Mot de passe (chiffré)
• Nom d’affichage
• Prénom et nom
• Préférences de langue et de fuseau horaire
• Confirmation d’âge
• Acceptation des Conditions d’utilisation

Données de profil :

• Résumé professionnel
• Coordonnées (téléphone, LinkedIn, GitHub, URL de portfolio)
• Localisation (ville, pays, code postal)

Préférences utilisateur :

• Thème (clair/sombre)
• Langue d’interface et langue de génération des documents (FR, DE, EN, IT)
• Ton préféré des documents (formel, affirmé, amical)
• Orthographe suisse (ss vs ß)
• Durée de conservation (5 minutes, 30, 60, 90, 180 ou 365 jours)
• Préférences de notification par e-mail et in-app
• Préférences de format pour les téléchargements groupés (PDF, documents Word éditables, fichiers texte)

Données du CV :

• Parcours professionnel (entreprises, postes, dates, descriptions)
• Formation (établissements, diplômes, domaines d’études, dates)
• Compétences (techniques et humaines)
• Projets et réalisations
• Langues et niveaux de maîtrise
• Références (si fournies)
• Texte brut extrait lors de l’analyse du CV
• Métadonnées du fichier (nom, type, taille, date d’envoi, version de l’analyseur)

Données de candidature :

• Intitulés et descriptions de poste
• Informations sur l’entreprise
• Exigences du poste
• Échéances de candidature

Données d’entraînement aux entretiens :

• Transcriptions des sessions d’entretien
• Questions générées par IA et réponses du candidat
• Métadonnées et horodatage des sessions

Informations de paiement :

• Identifiant client Stripe
• Détails de l’abonnement
• Historique des transactions
• Adresse de facturation (si fournie)
• Remarque : nous ne stockons pas directement les numéros de carte de crédit ni les données bancaires

Préférences de synchronisation cloud :

• Statut de connexion à Google Drive et jetons OAuth (chiffrés)
• Statut de connexion à OneDrive et jetons OAuth (chiffrés)

2.2 Données collectées automatiquement

Informations sur l’appareil et le navigateur :

• Adresse IP, type et version du navigateur, résolution d’écran, système d’exploitation
• Préférences linguistiques, fuseau horaire, état des cookies et de JavaScript
• Empreinte canvas (50 premiers caractères) — pour la prévention de la fraude
• Prise en charge de WebGL — pour la vérification de compatibilité
• Capacité tactile — pour l’optimisation de l’interface

Base légale : intérêt légitime à prévenir la fraude et à garantir la compatibilité du service.

Informations d’utilisation :

• Pages visitées, fonctionnalités utilisées, historique des générations
• Schémas de clic, chronométrage des interactions avec les formulaires, durée des sessions
• Journaux d’erreurs

Authentification et sécurité :

• Horodatages de connexion, dernière activité, événements de sécurité
• Évaluations reCAPTCHA, jetons App Check

Confirmation de la notice de cookies :

• Version de la notice, horodatage et identifiant (UUID)
• Stocké uniquement dans le localStorage du navigateur afin de ne pas réafficher la notice à chaque visite

2.3 Données fournies par des tiers

Fournisseurs OAuth (Google) : Adresse e-mail, nom d’affichage, URL de la photo de profil.

Fournisseurs OAuth (Microsoft) : Adresse e-mail, nom d’affichage, autorisations d’accès OneDrive.

Processeur de paiement (Stripe) : Confirmation de paiement, statut de l’abonnement, détails de transaction.

3. Utilisation de vos données

3.1 Fourniture du service (base légale : exécution du contrat)

• Créer et gérer votre compte
• Traiter vos informations de CV et de poste via nos systèmes d’IA
• Générer des documents de candidature personnalisés par IA
• Stocker vos documents et vos modèles
• Suivre votre utilisation et vos crédits
• Effectuer des recherches web pour enrichir les informations sur les entreprises
• Animer des sessions d’entraînement aux entretiens avec des questions générées par IA

3.2 Amélioration du service (base légale : intérêt légitime)

• Analyser les schémas d’utilisation
• Améliorer la précision des modèles d’IA (uniquement sur des données anonymisées)
• Développer de nouvelles fonctionnalités, corriger des bogues, optimiser les performances

3.3 Traitement par IA

Nous utilisons l’intelligence artificielle (modèles Google Gemini via Vertex AI sur Google Cloud) pour :

• Traiter et analyser votre CV et les descriptions de poste
• Générer des documents de candidature personnalisés
• Effectuer des recherches web pour enrichir les informations sur les entreprises
• Extraire les informations pertinentes des offres d’emploi
• Générer des questions d’entretien adaptées aux exigences du poste
• Analyser les réponses des candidats lors des sessions d’entraînement

Important : Le traitement par IA implique une génération automatisée de contenu. Vous avez le droit de demander une revue humaine du contenu généré par IA (voir la section 12.3). Google n’utilise pas les données que vous soumettez via Vertex AI pour entraîner ses modèles de fondation, comme confirmé dans l’avenant de Google Cloud relatif au traitement des données.

3.4 Transparence au titre du règlement européen sur l’IA (Règlement (UE) 2024/1689, article 50)

Conformément au règlement européen sur l’intelligence artificielle, nous divulguons ce qui suit :

• Finalité du système d’IA : preparAItor utilise l’IA pour générer des documents de candidature (lettres de motivation, e-mails, questions-réponses d’entretien, résumés d’offres) et pour animer des sessions d’entraînement aux entretiens basées sur les données de CV et les descriptions de poste fournies par l’utilisateur.
• Fournisseur et modèles d’IA : Nous utilisons les modèles Google Gemini accessibles via l’API Vertex AI (Google Cloud). Le traitement par IA a lieu en europe-west3 (Francfort, Allemagne).
• Contenu généré par IA : Tous les documents produits par notre Service sont générés par IA et clairement identifiés comme tels dans l’interface de l’application. Il appartient aux utilisateurs de relire et d’éditer les contenus avant de les transmettre à des employeurs potentiels.
• Supervision humaine : Notre système d’IA est un outil d’aide à la décision. Il ne prend pas de décisions d’embauche autonomes et ne remplace pas le jugement humain. Vous gardez le plein contrôle sur l’utilisation, la modification ou le rejet des sorties générées.
• Classification du risque : preparAItor n’est pas classé comme un système d’IA à haut risque au sens de l’annexe III du règlement européen sur l’IA. Il s’agit d’un outil de productivité destiné aux utilisateurs qui assiste la rédaction de documents ; il n’effectue pas de recrutement, de sélection de candidats ni de filtrage automatisé pour le compte d’employeurs.
• Limitations : Les contenus générés par IA peuvent contenir des inexactitudes, des erreurs d’interprétation contextuelle ou des informations web obsolètes. Voir nos Conditions d’utilisation section 10.1 pour l’ensemble des avertissements.

3.5 Communication

• Envoyer des e-mails liés au service (confirmation de compte, réinitialisation de mot de passe, notifications de documents prêts)
• Notifier les activités sur le compte
• Fournir un support client
• Envoyer des notifications de facturation
• Alerter en cas de problème de sécurité

3.6 Opérations commerciales

• Traiter les paiements, prévenir la fraude et les abus
• Faire respecter nos Conditions d’utilisation
• Respecter les obligations légales

3.7 Marketing (avec consentement)

• Envoyer des e-mails promotionnels, informer des nouvelles fonctionnalités
• Partager des conseils et bonnes pratiques, mener des enquêtes utilisateurs

4. Partage de vos données

4.1 Prestataires de services

Firebase (Google) : Authentification des utilisateurs, stockage de base de données (Firestore), stockage de fichiers (Cloud Storage), App Check. preparAItor n’utilise pas Firebase Analytics ni Firebase Performance Monitoring. Localisation : europe-west6 (Zurich, Suisse).

Google Vertex AI (Google Cloud) : Génération de documents via les modèles Google Gemini, analyse de contenu, recherche web pour l’enrichissement d’entreprise (grounding), génération de questions d’entretien et analyse des réponses. Localisation : europe-west3 (Francfort, Allemagne). Google n’utilise pas vos données pour entraîner ses modèles d’IA. En vertu de l’avenant Google Cloud relatif au traitement des données et des conditions spécifiques du service Vertex AI, les données clients soumises via l’API Vertex AI ne sont pas utilisées par Google pour améliorer ou entraîner ses modèles de fondation. Les identifiants personnels (nom, e-mail, téléphone, adresse) sont supprimés ou minimisés avant envoi à l’API d’IA.

Google Cloud KMS : Chiffrement au niveau des champs des données personnelles sensibles (contenu du CV, jetons OAuth). Localisation : europe-west6 (Zurich, Suisse).

Google Drive : Synchronisation cloud des documents générés (uniquement si l’utilisateur l’a explicitement activée).

Microsoft OneDrive : Synchronisation cloud des documents générés (uniquement si l’utilisateur l’a explicitement activée).

Stripe : Traitement des paiements, gestion des abonnements, accès au portail client, historique des transactions. Stripe agit comme responsable de traitement indépendant pour les données de paiement qu’il traite.

Brevo (anciennement Sendinblue) : Envoi d’e-mails transactionnels (confirmation de compte, réinitialisation de mot de passe, rappels de facturation). E-mails marketing uniquement avec consentement explicite. Aucun contenu de CV ou de document n’est envoyé par e-mail.

reCAPTCHA (Google) : Détection de bots et évaluation de sécurité.

4.2 Obligations légales

Nous pouvons divulguer vos données si la loi l’exige, notamment en cas d’ordonnances judiciaires, de demandes gouvernementales, d’exigences d’application de la loi et de procédures judiciaires.

4.3 Transferts d’entreprise

En cas de fusion, d’acquisition ou de vente d’actifs, vos données peuvent être transférées dans le cadre de cette opération.

4.4 Informations agrégées

Nous pouvons partager avec des tiers des informations agrégées et anonymisées qui ne permettent pas de vous identifier, à des fins de recherche ou d’amélioration du service.

4.5 Votre consentement

Nous pouvons partager vos données avec votre consentement explicite pour des finalités spécifiques.

5. Sécurité des données

5.1 Mesures de sécurité

• Chiffrement HTTPS/TLS pour toutes les transmissions de données (HSTS activé)
• Chiffrement au niveau des champs par AES-256-GCM pour les données personnelles sensibles (contenu du CV, jetons OAuth), les clés étant gérées par Google Cloud KMS
• Firebase Authentication pour la gestion sécurisée des mots de passe et des sessions
• Règles de sécurité Firebase avec contrôle d’accès basé sur les rôles
• Protection des API via Firebase App Check et reCAPTCHA Enterprise
• Jetons OAuth chiffrés au repos (AES-256-GCM) avec données authentifiées liées à l’utilisateur
• Content Security Policy stricte et en-têtes de sécurité du navigateur, avec liste d’autorisation explicite frame-ancestors et X-Content-Type-Options
• Audits de sécurité réguliers
• Restrictions géographiques aux centres de données européens dans la mesure du possible
• Chiffrement au repos dans tous les centres de données
• Limitation de débit et protection anti-abus sur toutes les API

5.2 Réponse aux violations de données

En cas de violation de données :

• Nous informerons les utilisateurs concernés dans les 72 heures par e-mail
• Nous informerons le PFPDT suisse dans les 72 heures
• Nous informerons les autorités de contrôle européennes concernées si des résidents de l’UE sont affectés
• Nous documenterons la violation et prendrons immédiatement des mesures pour en limiter les conséquences

6. Conservation des données

6.1 Durée configurable par l’utilisateur

• Options : 5 minutes, 30, 60, 90, 180 ou 365 jours
• Valeur par défaut : 60 jours
• S’applique à : historique des générations, données de poste, fichiers temporaires, données des sessions d’entretien
• Suppression automatique après la période configurée
• Vous pouvez modifier la durée de conservation à tout moment dans les paramètres du compte

6.2 Durées de conservation fixes

• Traces de consentement : 3 ans (pour la preuve de consentement RGPD/LPD)
• Journaux de sécurité : 180 jours
• Journaux d’e-mails : 90 jours
• Traces d’audit de suppression : 30 jours (sans contenu personnel ; à des fins anti-abus et conformité)
• Traces anti-abus : 30 jours
• Journaux d’erreurs : 30 jours
• Sessions de paiement en attente : nettoyées automatiquement après expiration
• Données de paiement : métadonnées de transaction conservées par notre prestataire de paiement (Stripe) selon ses politiques

6.3 Suppression du compte

Vous pouvez supprimer votre compte à tout moment via les paramètres de votre compte. La suppression nécessite une confirmation multilingue (saisir « DELETE », « LÖSCHEN », « ELIMINA » ou « SUPPRIMER »). La suppression est immédiate et irréversible — il n’existe aucun délai de grâce ni aucune fenêtre de récupération. Lorsque vous confirmez :

• Toutes les données personnelles sont immédiatement et définitivement supprimées (compte, CV, offres analysées, documents générés, entrées du tracker, sessions d’entretien, résumés, modèles personnalisés)
• Les abonnements Stripe actifs sont annulés dans le même flux, de sorte qu’aucune facturation supplémentaire ne se produit
• Un e-mail de confirmation de suppression est envoyé
• Une trace d’audit de suppression (sans contenu personnel — uniquement la mention qu’une suppression a eu lieu) est conservée 30 jours à des fins anti-abus et de conformité
• Les enregistrements de facturation et métadonnées de transaction détenus par Stripe sont conservés selon leurs politiques et la législation fiscale applicable
• Des données d’utilisation anonymisées et agrégées peuvent être conservées à des fins d’amélioration du service
• Les fichiers déjà synchronisés sur votre propre Google Drive ou OneDrive restent dans votre stockage cloud ; révoquez notre accès OAuth depuis votre compte Google/Microsoft si vous souhaitez également couper cette connexion

Exportez tout ce que vous souhaitez conserver avant de confirmer — rien ne peut être récupéré après la suppression.

7. Vos droits en matière de confidentialité

7.1 Accès et portabilité

Vous avez le droit d’accéder à vos données personnelles, de télécharger vos données dans un format portable, de consulter l’historique des générations, d’exporter vos informations de CV et de demander une copie complète de toutes vos données en écrivant à admin@preparaitor.ch.

Remarque : les demandes d’accès complet peuvent prendre jusqu’à 30 jours.

7.2 Rectification et mise à jour

Vous pouvez mettre à jour vos informations de profil, corriger des données inexactes, modifier vos préférences et changer les paramètres de notification.

7.3 Suppression

Vous pouvez demander la suppression de documents individuels, de points de données spécifiques ou de la totalité de votre compte. Certaines données peuvent être conservées pour des raisons légales.

7.4 Limitation et opposition

Vous pouvez restreindre le traitement de vos données, vous opposer à certains usages et vous désinscrire des communications marketing. preparAItor ne collecte pas de données analytiques ; il n’y a donc rien à désactiver dans cette catégorie.

7.5 Retrait du consentement

Vous pouvez retirer votre consentement pour les communications marketing, les cookies non essentiels et les e-mails promotionnels.

Non désactivable : Cookies essentiels, traitement par IA (fonctionnalité de base du service), stockage des données d’offres d’emploi publiques et suivi d’utilisation de base à des fins de sécurité et de facturation. Ces éléments sont indispensables à la fourniture du Service.

8. Politique en matière de cookies

Champ d’application : La présente politique s’applique à l’application preparAItor disponible sur app.preparaitor.ch. La page d’accueil publique preparaitor.ch ne dépose aucun cookie et n’utilise aucune technologie de suivi.

preparAItor n’utilise que des cookies et du stockage local strictement nécessaires pour fournir le service que vous avez demandé. Nous n’exécutons ni Google Analytics, ni Firebase Analytics, ni Firebase Performance Monitoring, ni pixels publicitaires, ni aucun autre outil de suivi. Il n’y a rien à activer ou désactiver, et aucun bouton de consentement — parce que rien ne vous suit.

8.1 Ce qui est stocké, et pourquoi

• Connexion (Firebase Auth, IndexedDB) : vous garde connecté entre les sessions du navigateur. Effacé à la déconnexion ou à la suppression du compte.
• Protection anti-bot (reCAPTCHA via Firebase App Check) : jetons à courte durée de vie et cookies côté Google sur google.com/recaptcha pour bloquer les abus automatisés. Requis pour le fonctionnement de l’application.
• Signalisation de déconnexion inter-onglets (localStorage) : un indicateur temporaire qui permet aux autres onglets ouverts de savoir que vous vous êtes déconnecté dans cet onglet.
• Paiement (Stripe) : Stripe.js dépose ses propres cookies (__stripe_mid, __stripe_sid), uniquement pendant le flux de paiement et uniquement sur les pages où vous effectuez activement un paiement.
• Thème, langue d’interface et paramètres utilisateur (localStorage) : pour que l’application mémorise votre mode clair/sombre, la langue d’interface et les paramètres enregistrés entre les visites. First-party, jamais transmis.
• Confirmation de la notice de cookies (localStorage) : afin de ne pas réafficher la notice à chaque visite.

Tous ces éléments relèvent de l’exception « strictement nécessaires à un service demandé par l’utilisateur » au titre de la directive ePrivacy, telle qu’interprétée par la CNIL (France) et l’ICO (Royaume-Uni).

8.2 Connexion avec Google

Si vous choisissez de vous connecter avec Google, Google dépose ses propres cookies sur accounts.google.com pendant le flux OAuth, selon sa propre politique de confidentialité. preparAItor ne contrôle pas ces cookies et ne peut pas les lire. Utiliser la connexion par e-mail permet d’éviter complètement ce point.

8.3 Le traitement par IA est distinct

Le traitement de votre CV et des informations de poste par Google Gemini (Vertex AI) nécessite un consentement explicite. Ce consentement est recueilli via une fenêtre modale bloquante lors de la première connexion (flux « AI Processing Consent » décrit aux sections 3.3 et 4.1), et non via la notice de cookies. Vous pouvez le retirer à tout moment en supprimant votre compte — sans traitement par IA, la fonctionnalité principale du service ne peut pas fonctionner.

8.4 Comment gérer

Vous pouvez rouvrir la notice de cookies à tout moment depuis Paramètres → Préférences → Confidentialité → Afficher la notice de cookies. Comme rien ne vous suit, il n’y a rien à désactiver. Pour supprimer ce qui est stocké localement, utilisez la fonction Effacer les données du site de votre navigateur — cela vous déconnectera et réinitialisera vos préférences de thème et de langue.

9. Protection des mineurs

Notre Service n’est pas destiné aux enfants de moins de 16 ans (conformément à l’article 8 du RGPD). Nous ne collectons pas sciemment de données personnelles auprès d’enfants. Si nous apprenons qu’un enfant de moins de 16 ans nous a fourni des données personnelles, nous les supprimerons immédiatement.

10. Transferts internationaux de données

10.1 Lieux de traitement des données

Centres de données principaux :

• Services Firebase : europe-west6 (Zurich, Suisse)
• Traitement IA (Google Gemini / Vertex AI) : europe-west3 (Francfort, Allemagne)
• Génération de documents (Cloud Run) : europe-west6 (Zurich, Suisse)
• Limitation de débit et KMS : europe-west6 (Zurich, Suisse)

Traitement par des tiers :

• Stripe : Centres de données européens (principal), avec traitement éventuel aux États-Unis
• Google OAuth/reCAPTCHA : Infrastructure mondiale, centre de données le plus proche
• Microsoft OAuth (OneDrive) : Centres de données européens (principal)
• Envoi d’e-mails Brevo : Centres de données européens

10.2 Garanties de transfert

Pour tout transfert de données personnelles en dehors de la Suisse ou de l’EEE, nous mettons en œuvre les garanties suivantes :

• Clauses contractuelles types (CCT) : conclues avec tous les responsables du traitement et sous-traitants lorsque cela est requis
• Analyse d’impact des transferts (TIA) : Nous avons réalisé une analyse d’impact des transferts conformément à l’arrêt Schrems II (CJUE C-311/18) pour tous les flux de données vers des sous-traitants pouvant impliquer un traitement hors EEE. Notre analyse prend en compte le cadre juridique du pays destinataire, les mesures techniques complémentaires (chiffrement, pseudonymisation) et la probabilité pratique d’accès gouvernemental aux données transférées. La TIA est revue chaque année.
• Chiffrement en transit (TLS 1.3) et au repos (AES-256)
• Conformité aux dispositions de transfert de la LPD et du RGPD
• Localisation des données dans les centres européens (Zurich, Francfort) par défaut
• Audits réguliers de sécurité et de conformité

11. Droits des résidents de Californie (CCPA)

Si vous résidez en Californie, vous avez le droit de savoir quelles données personnelles sont collectées et si elles sont vendues ou divulguées, le droit de refuser toute vente, le droit à un service et à un prix équivalents, et le droit de demander la suppression de vos données personnelles. Nous ne vendons pas de données personnelles à des tiers.

12. Droits suisses et européens en matière de confidentialité (LPD/RGPD)

12.1 Vos droits

Droit d’accès, de rectification, d’effacement, de limitation du traitement, à la portabilité, d’opposition au traitement, de retrait du consentement, de ne pas faire l’objet d’une décision automatisée et de saisir une autorité de contrôle.

12.2 Base légale du traitement

• Exécution du contrat : Gestion du compte, fourniture du service, génération de documents par IA
• Intérêt légitime : Sécurité, prévention de la fraude, amélioration du service
• Consentement : Communications marketing, amélioration des modèles d’IA (données anonymisées uniquement)
• Obligation légale : Documentation fiscale, conformité

12.3 Décisions automatisées (art. 13(2)(f) / art. 22 RGPD)

Notre Service implique un traitement automatisé des manières suivantes :

• Génération de documents : L’IA génère automatiquement des lettres de motivation, des e-mails et d’autres documents de candidature à partir de vos données de CV et des descriptions de poste. Il s’agit de la fonctionnalité principale du Service, fondée sur votre consentement explicite et sur l’exécution du contrat.
• Analyse de CV : L’IA extrait des informations structurées (compétences, expérience, formation) des documents de CV téléchargés.
• Entraînement aux entretiens : L’IA génère des questions d’entretien sur mesure et évalue vos réponses sur plusieurs dimensions.
• Indications d’adéquation au poste : L’IA peut mettre en évidence des compétences pertinentes ou des lacunes d’expérience au regard des exigences du poste. Il s’agit uniquement d’informations et non d’une décision contraignante.

Aucune décision produisant un effet juridique ou significatif : preparAItor ne prend pas de décisions d’embauche, n’effectue pas de sélection de candidats pour le compte d’employeurs et ne produit pas de sorties ayant des effets juridiques ou similairement significatifs à votre égard au sens de l’article 22(1) du RGPD. La sortie de l’IA est un brouillon destiné à votre relecture.

Vos droits concernant le traitement automatisé :

• Demander une revue humaine de tout contenu généré par IA en écrivant à admin@preparaitor.ch
• Exprimer votre point de vue sur les sorties générées par IA
• Contester toute sortie que vous jugez inexacte ou injuste
• Demander une explication sur la manière dont une sortie particulière a été générée
• Nous nous efforçons de répondre aux demandes de revue humaine sous 5 jours ouvrables

12.4 Autorités de contrôle

Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, CH-3003 Berne — www.edoeb.admin.ch

UE : Votre autorité nationale de protection des données.

12.5 Champ géographique

preparAItor est principalement conçu pour le marché suisse de l’emploi. Lors de l’inscription, les utilisateurs confirment qu’ils résident en Suisse ou reconnaissent que le Service est principalement conçu pour le marché suisse. Nous étendons à tous les utilisateurs, indépendamment de leur localisation, des protections équivalentes à la LPD et au RGPD. Les utilisateurs hors de Suisse utilisent le Service à leur propre discrétion et sont responsables de la conformité aux réglementations locales de protection des données.

13. Liens vers des tiers

Notre Service peut contenir des liens vers des sites web tiers. Nous ne sommes pas responsables de leurs pratiques en matière de confidentialité et vous encourageons à lire leurs politiques.

14. Modifications de la présente politique

Nous pouvons mettre à jour cette politique de temps à autre. Nous vous en informerons en publiant la nouvelle version, en actualisant la date « Dernière mise à jour » et en envoyant une notification par e-mail en cas de modifications importantes.

15. Accord de traitement des données (DPA)

Les clients professionnels ayant besoin d’un DPA peuvent contacter admin@preparaitor.ch. Notre DPA standard inclut des clauses de conformité LPD/RGPD, les clauses contractuelles types, les obligations de sécurité, les droits d’audit et la liste des sous-traitants.

16. Registre des activités de traitement

Conformément à la LPD et à l’article 30 du RGPD, nous tenons un registre de toutes les activités de traitement. Ces registres sont mis à disposition des autorités de contrôle sur demande.

17. Privacy by Design

• Minimisation des données dans les prompts IA : Nous supprimons ou pseudonymisons les identifiants personnels (nom complet, e-mail, numéro de téléphone, adresse) dans les prompts IA avant de les envoyer à l’API Vertex AI. Seuls le contenu professionnel de votre CV (compétences, descriptions d’expérience, détails de formation) et le texte de la description de poste sont inclus dans les requêtes IA.
• Chiffrement par défaut (Cloud KMS pour les champs sensibles, HTTPS pour le transport)
• Analyses d’impact sur la vie privée régulières
• Analyse d’impact relative à la protection des données (AIPD) : Réalisée conformément à l’article 35 du RGPD pour nos activités de traitement de CV basées sur l’IA, qui impliquent un traitement à grande échelle de données personnelles et un profilage automatisé. L’AIPD est revue chaque année ou dès que des modifications significatives sont apportées à notre pipeline de traitement par IA.
• Tests de sécurité et audits
• Séparation des données personnelles et des données d’entraînement IA
• Anonymisation avant tout entraînement de modèle IA

Un résumé des conclusions de notre AIPD est disponible sur demande aux autorités de contrôle. L’analyse couvre la nécessité et la proportionnalité du traitement par IA, les risques pour les personnes concernées et les garanties mises en œuvre (chiffrement, minimisation des données, contrôle de la conservation et droits à une revue humaine).

18. Nous contacter

Pour toute question ou préoccupation concernant la présente politique, veuillez nous contacter :

Pour les demandes d’accès aux données : admin@preparaitor.ch (jusqu’à 30 jours de traitement)
Pour les demandes LPD/RGPD : admin@preparaitor.ch
Pour les demandes CCPA : admin@preparaitor.ch

Vous pouvez également soumettre des demandes relatives à vos données depuis les paramètres de votre compte.