Politique de Confidentialite

Derniere mise a jour : 27 avril 2026 — Version 1.6 (V2.4c bidirectional Kombo sync + clarifications GDPR Art. 5.1.c minimisation)

1. Introduction

La presente Politique de Confidentialite decrit comment CareerToolbox.AI (ci-apres "nous", "notre" ou "le Service") collecte, utilise et protege vos donnees personnelles conformement au Reglement General sur la Protection des Donnees (RGPD) et a la legislation belge.

Nous nous engageons a proteger votre vie privee et a traiter vos donnees de maniere transparente, legale et securisee.

2. Responsable du Traitement

Identite : Sivel Labs SRL
Adresse : La Hulpe, Belgique
N° BCE : BE 1037.283.356
Email : privacy@careertoolbox.ai
DPO : dpo@careertoolbox.ai

3. Donnees Collectees

3.1 Donnees d'identification

Donnee	Finalite	Base legale
Nom/Prenom	Identification, personnalisation	Contrat
Email	Authentification, communications	Contrat
Mot de passe (hashe)	Securite du compte	Contrat

3.2 Donnees professionnelles (Candidats)

Donnee	Finalite	Base legale
CV uploades	Optimisation CV par IA	Contrat
Documents uploades (images)	Extraction texte (OCR) pour optimisation IA	Contrat
Parcours professionnel	Coaching carriere	Contrat
Candidatures	Suivi de recherche d'emploi	Contrat

3.3 Donnees professionnelles (Recruteurs)

Donnee	Finalite	Base legale
Fichiers audio	Transcription	Contrat
Documents uploades (images)	Extraction texte (OCR) pour feedback RH	Contrat
Fiches de poste	Matching candidats	Contrat
Notes d'entretien	Feedback RH	Contrat

3.4 Donnees techniques

Donnee	Finalite	Base legale
Adresse IP	Securite, logs	Interet legitime
User-agent	Compatibilite, debugging	Interet legitime
Cookies de session	Authentification	Contrat

3.5 Donnees video (Entretiens simules — opt-in)

Donnee	Finalite	Base legale
Flux video webcam (temps reel)	Analyse langage corporel (contact visuel, posture)	Consentement (Art. 6.1.a)
Une capture d'image (JPEG)	Evaluation environnement d'entretien	Consentement (Art. 6.1.a)

Important :

Cette fonctionnalite est desactivee par defaut — activation explicite par l'utilisateur
Le flux video est analyse localement sur l'appareil de l'utilisateur (MediaPipe, Google, open-source) — aucune donnee video n'est transmise a nos serveurs
Une seule image est envoyee au serveur pour l'evaluation de l'environnement, analysee par l'API OpenAI Vision, puis immediatement supprimee (non stockee)
Aucun enregistrement video n'est effectue ni conserve

3.6 Donnees de paiement

Les donnees de paiement (carte bancaire) sont traitees directement par Stripe et ne sont pas stockees sur nos serveurs.

3.7 Entretien de pre-selection IA (AI Screening Interview)

Lorsqu'un recruteur vous envoie une invitation pour un entretien de pre-selection :

Donnees collectees : Votre voix (audio en temps reel), la transcription de l'entretien, votre CV (si disponible sur la plateforme), et les analytiques vocales (duree de parole, nombre de mots).

Traitement : Un rapport d'evaluation est genere automatiquement par intelligence artificielle (GPT-5.2). Ce rapport comprend des scores (0-100) sur 6 dimensions, une recommandation, et des citations de l'entretien. Ce rapport est transmis au recruteur.

Sous-traitants : Vos donnees audio sont traitees en temps reel par Google (service Gemini Live, Etats-Unis). Le rapport est genere par OpenAI (GPT-5.2, Etats-Unis). Ces transferts sont encadres par des clauses contractuelles types.

Vos droits : Vous pouvez acceder a votre rapport d'evaluation, demander la rectification ou la suppression de vos donnees. Vous avez le droit de contester la decision basee sur ce rapport (Art. 22 RGPD).

Conservation : Les donnees d'entretien sont conservees pendant 6 mois apres completion. Le rapport est conserve pendant 12 mois.

Consentement : Avant de commencer l'entretien, vous devrez accepter les conditions de traitement de vos donnees. Vous pouvez refuser sans consequence.

3.8 Enregistrement de reunions d'intake (Intake Meeting Recorder)

Lorsqu'un recruteur enregistre une reunion d'intake (prise de besoin avec un hiring manager) :

Donnees collectees : Enregistrement audio de la reunion (via capture d'onglet navigateur, upload de fichier, ou dictee micro), la transcription complete avec identification des interlocuteurs, et les champs de poste extraits automatiquement par IA.

Traitement : L'audio est transcrit par OpenAI (modele gpt-4o-transcribe-diarize) avec diarisation. Les champs du poste (titre, competences, salaire, etc.) sont extraits par GPT-5.2. Le recruteur revoit et ajuste les donnees avant de creer la fiche de poste.

Sous-traitants : OpenAI (Etats-Unis) pour la transcription audio et l'extraction de champs. Ces transferts sont encadres par les clauses contractuelles types existantes.

Conservation : Les enregistrements audio sont conserves pendant 90 jours ou jusqu'a suppression par le recruteur. Les transcriptions et donnees extraites sont conservees pendant la duree du compte.

Base legale : Interet legitime (Art. 6.1.f) — optimisation du processus de recrutement. Le recruteur est responsable d'informer les participants de la reunion que celle-ci est enregistree.

3.9 Sequences email de recrutement (Email Sequences)

Lorsqu'un recruteur utilise les sequences email pour contacter automatiquement des candidats :

Donnees collectees : Adresse email et nom du candidat, etape actuelle dans la sequence, donnees de suivi (ouverture d'email via pixel de suivi, clics sur liens, reponses recues).

Traitement : Les emails sont envoyes automatiquement selon un calendrier defini par le recruteur. Un pixel de suivi transparent (1x1 pixel) est integre pour detecter les ouvertures. Les liens sont encapsules pour le suivi des clics. Les adresses IP ne sont pas stockees ; seul un hash est conserve dans les evenements.

Desabonnement : Chaque email contient un lien de desabonnement obligatoire (RGPD). Le desabonnement arrete immediatement la sequence pour ce candidat.

Conservation : Les donnees de sequence (inscriptions, evenements) sont conservees pendant la duree du compte. Les statistiques agregees sont anonymisees.

Base legale : Interet legitime (Art. 6.1.f) — prospection de recrutement, avec droit d'opposition via desabonnement.

3.10 Planification d'entretiens (Interview Scheduling)

Lorsqu'un recruteur utilise le systeme de planification d'entretiens :

Donnees collectees : Nom et adresse email du candidat, date et heure de l'entretien, type d'entretien, lien de visioconference, notes du recruteur, fuseau horaire du candidat.

Auto-planification : Lorsqu'un lien d'auto-planification est envoye, le candidat accede a une page publique affichant les creneaux disponibles. Seuls le nom et l'email sont demandes pour la reservation.

Synchronisation calendrier : Les donnees d'entretien peuvent etre exportees au format ICS ou via des liens Google Calendar/Outlook. Aucune synchronisation bidirectionnelle n'est effectuee.

Rappels : Des rappels automatiques sont envoyes 24h avant l'entretien aux deux parties.

Conservation : Les donnees d'entretien sont conservees pendant 1 an apres la date de l'entretien, puis anonymisees.

Base legale : Interet legitime (Art. 6.1.f) — organisation du processus de recrutement. Consentement implicite du candidat lorsqu'il reserve un creneau via le lien d'auto-planification.

3.11 Suivi des sources de candidature (Source Tracking)

Nous enregistrons l'origine de chaque candidature dans le pipeline de recrutement (ex : LinkedIn, page carrieres, cooptation, job board). Ces donnees permettent aux recruteurs d'analyser la performance de leurs canaux de sourcing et d'optimiser leur budget recrutement.

Donnees collectees : Canal d'origine, detail de la source (nom du job board, nom du coopteur), cout associe au canal.

Conservation : Duree du compte du recruteur.

Base legale : Interet legitime (Art. 6.1.f) — optimisation du processus de recrutement.

3.12 Suivi des placements et facturation (Placement & Invoicing)

Lorsqu'un recruteur cloture un placement (recrutement abouti), nous enregistrons les donnees necessaires a la facturation et au suivi du contrat : montant des honoraires, devise, methode de calcul, frais a la signature, frais de garantie, conditions de paiement.

Donnees collectees : Identite du candidat place, identite de l'employeur, intitule du poste, date de demarrage, montant des honoraires HT, devise, base de calcul (% du salaire annuel ou montant fixe), conditions de garantie, statut du recouvrement.

Conservation : 10 ans (obligation comptable belge — Code de droit economique Art. III.86) puis archivage anonymise pour analyse de trafic.

Base legale : Execution du contrat (Art. 6.1.b) + obligation legale comptable (Art. 6.1.c).

3.13 Conventions de placement — signatures electroniques (E-Signature BYOK)

Pour les conventions de placement (contrats tripartites recruteur / employeur / candidat), CareerToolbox propose une signature electronique via un fournisseur tiers configure par l'agence : Yousign, DocuSign ou DocuSeal. CareerToolbox n'est pas l'editeur de ces services — c'est l'agence de recrutement qui contracte avec le fournisseur (modele "BYOK", Bring Your Own Key) et fournit sa propre cle API. Les documents signes transitent directement entre CareerToolbox et le fournisseur choisi par l'agence, sans passage par un tiers commun.

Donnees collectees : Document a signer (DOCX converti en PDF), identite des signataires (nom, prenom, email), statut de signature, URL du document signe, identifiant de l'enveloppe cote fournisseur.

Cle API stockee : Chiffree au repos via Fernet (cryptography lib) avec une cle derivee specifique au serveur. Audit trail complet (creation / rotation / revocation) dans org_credential_audit_log.

Sous-traitants tiers (au choix de l'agence) : Yousign SAS (FR), DocuSign Inc. (US — SCC + DPF), DocuSeal Ltd. (UK — auto-hebergement possible).

Conservation : Tant que la convention reste active + duree de conservation imposee par le fournisseur (typiquement 10 ans cote Yousign / DocuSign pour conformite eIDAS).

Base legale : Execution du contrat (Art. 6.1.b) — signature electronique conforme reglement eIDAS UE 910/2014.

3.14 Portail client (Client Portal — lecture seule sans compte CareerToolbox)

Sur invitation du recruteur, un contact employeur peut acceder a un portail en lecture seule pour consulter ses placements en cours et ses factures, sans creer de compte CareerToolbox. L'acces est gere via un lien magique unique (token de 256 bits) envoye par email.

Donnees collectees : Email du destinataire de l'invitation, nom (optionnel), token d'acces, horodatages d'acces (last_accessed_at, access_count) pour audit.

Donnees affichees au destinataire : Liste des placements en cours et factures de son organisation employeur uniquement — aucun acces aux placements d'autres clients de l'agence ou aux donnees internes (notes recruteur, marges).

Conservation : Token actif jusqu'a expiration (90 jours par defaut) ou revocation manuelle. Trace d'audit conservee 10 ans.

Base legale : Interet legitime (Art. 6.1.f) — transparence du processus de recrutement vis-a-vis du client final.

3.15 Feedback de placement (Placement Feedback — 30 / 60 / 90 jours)

30, 60 et 90 jours apres la prise de fonction d'un candidat place, CareerToolbox envoie automatiquement au candidat ET au manager hierarchique un formulaire de retour d'experience accessible via un lien magique unique (token de 256 bits, chiffre serveur-side au repos via SHA-256). Aucune creation de compte CareerToolbox n'est necessaire — le token EST la frontiere d'authentification (modele "magic link"), valide une seule soumission, expire automatiquement et tracable per-IP + per-User-Agent pour audit. Le formulaire est facultatif — le destinataire peut ignorer l'email sans consequence.

Donnees collectees : Notes (echelle 0-10), commentaires textuels libres, statut "le candidat est-il toujours en poste ?", recommandation. Adresse IP et User-Agent du soumissionnaire enregistres dans le journal d'audit pour conformite (preuve d'identite du retour).

Conservation : L'ensemble des donnees liees au feedback (reponses qualitatives + IP + User-Agent + horodatage de soumission) est purge 18 mois apres la soumission (ou 18 mois apres l'expiration du token pour les requetes restees sans reponse) via le cron quotidien POST /api/cron/feedback-purge — constante _RETENTION_DAYS = 540 dans api/routes/placement_feedback.py. Cette duree applique le principe de limitation de la conservation (Art. 5(1)(e) RGPD) : assez courte pour ne pas accumuler indefiniment, suffisamment longue pour permettre l'analyse retroactive des incidents de placement (litige garantie, contestation candidat) qui se manifestent en general dans les 12 mois post-prise-de-fonction. Apres purge, les donnees individuelles sont supprimees definitivement et irreversiblement — le tableau de bord recruteur ne calcule ses indicateurs (NPS, taux de retention 90j, etc.) que sur les feedback encore presents dans la fenetre de retention 18 mois.

Robustesse au phishing : En cas de fuite du token (par exemple email transferee a un tiers), CareerToolbox applique deux protections complementaires : (a) la soumission de feedback est single-shot — le token est invalide automatiquement apres la premiere soumission valide (verrou completed_at en base), aucun ecrasement de la reponse legitime n'est possible ; (b) un rate-limit de 10 soumissions par heure et par token, plus 30 lectures par heure et par IP, limite mecaniquement les tentatives d'abus en cas de fuite. Le destinataire legitime peut neanmoins contacter privacy@careertoolbox.ai pour requerir la regeneration d'un nouveau token en cas d'incident avere.

Base legale : Interet legitime (Art. 6.1.f) — amelioration de la qualite de placement, mesure de la retention. Droit d'opposition explicite via lien de desinscription dans chaque email.

3.16 Synchronisation ATS Kombo (Kombo BYOK)

Si l'agence connecte son systeme de suivi de candidatures (ATS — Greenhouse, Lever, Workable, etc.) via Kombo, CareerToolbox synchronise quotidiennement les candidats et offres d'emploi entre les deux systemes pour eviter la double saisie. Comme pour la signature electronique, c'est l'agence qui detient la cle API Kombo (modele BYOK) — CareerToolbox ne stocke aucune donnee candidat dans Kombo, mais peut lire les donnees ATS de l'agence.

Donnees synchronisees (allowlist stricte — minimisation Art. 5.1.c) : Pour les candidats : identite (nom, email), statut dans le pipeline, intitule de poste, date de mise a jour cote ATS. Pour les offres d'emploi (V2.4c, depuis 2026-04-27) : intitule, description du poste (max. 5000 caracteres), statut (open/closed), localisation. Aucune information de remuneration, aucune note interne, aucune donnee sensible (RGPD Art. 9). Tout autre champ Kombo est ignore par CareerToolbox.

Sens de la synchronisation (V2.4c bidirectionnelle) : (1) Cron quotidien POST /api/cron/kombo-sync declenche un pull Kombo → CareerToolbox pour les candidats et les offres d'emploi de chaque organisation cliente disposant d'identifiants actifs. (2) Webhook POST /api/webhooks/kombo recoit en temps reel les evenements candidate.created/updated et (V2.4c) job.created/updated et applique la politique de conflit configuree. Aucun envoi automatique de donnees CareerToolbox vers Kombo n'est realise — le sens de la synchronisation est read-only depuis Kombo.

Politique de conflit : Par defaut manual_review — tout ecart entre l'ATS et CareerToolbox est mis en file d'attente (kombo_sync_conflicts) pour decision admin via le digest email quotidien (template kombo_conflicts_digest). Politiques alternatives : kombo_wins (UPDATE auto applique cote CareerToolbox — tracabilite via kombo_audit_log) ou ct_wins (modification Kombo ignoree). Pour les offres d'emploi nouvelles (jamais vues cote CareerToolbox), la regle est toujours kombo_wins (creation automatique — pas de risque d'ecrasement).

Tracabilite : Toute mise a jour automatique applique le suffixe "system_kombo" dans creator_id + entree dans kombo_audit_log avec horodatage UTC, identifiant de l'enregistrement et resume des champs modifies. Les conflits resolus manuellement conservent l'identifiant de l'admin qui a tranche.

Sous-traitant : Kombo SAS (FR) — https://kombo.dev/privacy.

Base legale : Interet legitime (Art. 6.1.f) — cohesion des donnees entre outils de recrutement utilises par la meme equipe. Test de balance documente dans le registre des traitements (Art. 30) — tenue a disposition de l'autorite de controle.

3.17 Feuilles d'heures (Timesheets — placements interim / contracting)

Pour les placements de type interim ou contracting, le recruteur saisit chaque semaine les heures effectuees par le candidat, les taux de facturation client et de cout interne. Ces donnees alimentent la facturation hebdomadaire / mensuelle.

Donnees collectees : Date de debut de semaine, nombre d'heures travaillees, taux horaire (charge / cost), marge calculee, statut (brouillon / soumis / approuve / facture / paye), motif de rejet le cas echeant.

Audit : Chaque transition d'etat (soumission, approbation, rejet) ecrit une entree d'audit avec horodatage, identite de l'acteur, adresse IP et User-Agent — conformite a la legislation interim belge (Loi du 24 juillet 1987).

Conservation : 10 ans (obligation comptable + droit du travail).

Base legale : Execution du contrat (Art. 6.1.b) + obligation legale (Art. 6.1.c).

3.18 Conversion temp→perm (Phase 13 V2.2)

Lorsqu'un placement intérim est converti en CDI, CareerToolbox calcule un complément d'honoraires selon une méthode négociée avec le client (cinq méthodes : prorated_months, hours_credit, margin_offset, flat_fee, free) et émet une facture placement_conversion. Une période de garantie redémarre selon la base configurée (depuis la date de conversion / depuis le démarrage temp original / pas de garantie).

Donnees collectees : Méthode de conversion, taux de complément, montant calculé, base de garantie, identifiant du manager approbateur (si seuil de double-validation dépassé), historique des transitions.

Conservation : 10 ans (obligation comptable).

Base legale : Execution du contrat (Art. 6.1.b) + obligation legale (Art. 6.1.c).

3.19 Coopération inter-agence et fee split (Phase 14)

CareerToolbox permet à deux agences de recrutement de coopérer sur un même placement via un fee split agreement (accord de partage d'honoraires). L'une (Lead Agency) tient le contrat avec l'employeur final, l'autre (Source Agency) fournit le candidat. Les honoraires sont partagés selon un pourcentage négocié.

Qualification RGPD — Article 26 EDPB : Les deux agences sont qualifiées de responsables conjoints du traitement (joint controllers, Article 26 RGPD). Pas de relation responsable / sous-traitant Article 28 entre les agences. CareerToolbox.AI reste sous-traitant Article 28 pour chaque agence.

Transmission de données candidat — consentement nommé : Lorsque la Source Agency transmet les données d'un candidat à la Lead Agency, le candidat doit donner un consentement explicite et nommé (Article 6(1)(a) RGPD). La notice mentionne le nom de la Lead Agency destinataire et le poste précis. Formulation type : « Vos données seront transmises à Lead Agency XYZ pour le poste ABC ». Le candidat peut retirer son consentement à tout moment via le portail dédié.

Donnees collectees : Identifiant de l'agence partenaire, n° TVA, IBAN, contact principal, juridiction, pourcentages de partage, mode de facturation (strict NPA / flexible co-facturation), mode garantie, mode visibilité NDA cascade, arrangement Article 26 documenté entre les deux agences.

Cooperation Token cross-tenant : Si les deux agences sont clientes CareerToolbox, un Cooperation Token UUID v4 (validité 30 jours, usage unique) permet à la seconde agence de mirroriser l'accord dans son tenant. Anti-forge strict + anti-self-accept + anti-replay.

Facturation TVA intra-UE : Pour les factures inter-agence intra-EU, la mention obligatoire « Auto-liquidation TVA — Article 196 Directive 2006/112/CE » est ajoutée automatiquement (4 langues). Les factures sont émises HT — le destinataire (Lead Agency) auto-liquide la TVA dans sa propre déclaration.

Conservation : 10 ans (obligation comptable + droit du travail). Le retrait de consentement candidat efface en cascade les enregistrements consent_records.consent_type='fee_split_transmission'.

Base legale : Execution du contrat (Art. 6.1.b) entre les agences + Consentement explicite nommé (Art. 6.1.a) pour la transmission de données candidat. DPIA dédiée Phase 14 validée par le DPO interne.

4. Finalites du Traitement

Nous traitons vos donnees pour :

Fournir le Service : Creer et gerer votre compte, fournir les fonctionnalites
Ameliorer le Service : Analyser l'utilisation, corriger les bugs
Communiquer : Envoyer des notifications, repondre a vos demandes
Facturer : Gerer les abonnements et paiements
Securiser : Detecter les fraudes, proteger contre les abus
Respecter la loi : Obligations legales, demandes des autorites

5. Bases Legales

Base legale	Application
Execution du contrat (Art. 6.1.b)	Fourniture du Service, gestion de compte
Interet legitime (Art. 6.1.f)	Securite, amelioration du Service, analytics
Consentement (Art. 6.1.a)	Marketing, cookies non essentiels
Obligation legale (Art. 6.1.c)	Conservation factures, demandes autorites

6. Destinataires des Donnees

6.1 Sous-traitants techniques

Sous-traitant	Localisation	Finalite	Garanties
OpenAI	Etats-Unis	Traitement IA (CV, transcription, feedback, OCR documents, rapport AI Screening)	Clauses contractuelles types (SCC)
Anthropic (Claude)	Etats-Unis	Coaching IA conversationnel	Clauses contractuelles types (SCC)
Google (Gemini Live)	Etats-Unis	AI Screening Interview (audio temps reel)	SCC, DPA Google Cloud
Stripe	Etats-Unis	Paiements	Certifie PCI-DSS, SCC
Brevo (Sendinblue)	France	Emails transactionnels (legacy / SMTP fallback)	RGPD compliant
ActiveCampaign Postmark	Etats-Unis	Emails transactionnels (route principale Phase 12.2) + DKIM Sender Signature	SCC (transfert hors UE), DPA Postmark, retention body 45j max
OVH	France	Hebergement serveurs	RGPD compliant
Cloudflare	Etats-Unis	CDN, securite (Turnstile)	SCC
Adzuna	Royaume-Uni	Donnees salaires agregees (benchmark)	Adequation UK
Yousign	France	Signature electronique conventions de placement (BYOK — cle de l'agence)	RGPD natif, conformite eIDAS
DocuSign	Etats-Unis	Signature electronique conventions de placement (BYOK — alternative)	SCC + DPF, conformite eIDAS
DocuSeal	Royaume-Uni / auto-hebergement	Signature electronique open-source (BYOK — alternative)	Adequation UK / instance auto-hebergee
Kombo	France	Synchronisation ATS (Greenhouse, Lever, Workable, etc.) — BYOK — cle de l'agence	RGPD natif
Banque Centrale Europeenne (ECB)	Union Europeenne	Taux de change pour facturation multi-devises (donnees publiques)	Source publique, aucune PII transmise

Outils internes auto-heberges : CareerToolbox.AI peut traiter des donnees d'usage, de diagnostic ou de logs dans des outils internes exploites par nos soins sur notre infrastructure OVH. Ces outils ne constituent pas des destinataires tiers : aucune donnee n'est transmise aux editeurs de ces logiciels lorsque l'instance est auto-hebergee. Le sous-traitant externe pertinent pour cet hebergement reste OVH, deja liste ci-dessus.

Note sur le modele BYOK (Bring Your Own Key) : pour Yousign / DocuSign / DocuSeal / Kombo, c'est l'agence cliente qui contracte directement avec le fournisseur et fournit sa cle API a CareerToolbox. CareerToolbox stocke cette cle chiffree au repos (Fernet) et l'utilise uniquement pour transmettre les documents / synchroniser les donnees au nom de l'agence. CareerToolbox ne facture pas ces fournisseurs et n'agit pas comme intermediaire commercial — la relation contractuelle reste entre l'agence et le fournisseur.

6.2 Transcription audio (API cloud)

Modele	Editeur	Finalite
gpt-4o-transcribe-diarize	OpenAI (API)	Transcription audio → texte + detection des interlocuteurs (diarisation)

La transcription et la diarisation sont realisees via l'API cloud OpenAI (modele gpt-4o-transcribe-diarize). Les donnees audio transitent par les serveurs d'OpenAI aux Etats-Unis, dans le cadre du DPA (Data Processing Agreement) existant avec OpenAI. OpenAI ne conserve pas les donnees audio et ne les utilise pas pour l'entrainement de ses modeles (API usage policy).

6.3 Modeles IA cote client (traitement sur l'appareil de l'utilisateur)

Modele	Editeur	Licence	Finalite
MediaPipe Face Mesh	Google	Apache 2.0	Detection du contact visuel
MediaPipe Pose	Google	Apache 2.0	Analyse de la posture

Ces modeles sont executes entierement sur l'appareil de l'utilisateur (navigateur). Aucune donnee video n'est transmise a nos serveurs ni a Google. L'activation est optionnelle (opt-in explicite).

6.4 Transferts hors UE

Certains sous-traitants sont situes aux Etats-Unis. Ces transferts sont encadres par :

Les Clauses Contractuelles Types de la Commission Europeenne
Des mesures de securite supplementaires

6.5 OCR de documents (images)

Lorsqu'un utilisateur uploade un document sous forme d'image (JPEG, PNG, WebP), l'image est envoyee a l'API OpenAI Vision pour extraction de texte (OCR). Ce traitement est identique a l'envoi de texte extrait de fichiers PDF/DOCX — le contenu du document transite via OpenAI dans le cadre du DPA (Data Processing Agreement) existant. L'image est traitee et non conservee par OpenAI.

6.6 Donnees transmises a OpenAI — Transparence

Textes (CV, transcriptions, fiches de poste) : Le texte extrait de vos documents (PDF, DOCX) est traite avant envoi a OpenAI — les adresses email, numeros de telephone, URLs de profils LinkedIn et GitHub, numeros IBAN, numeros de securite sociale et numeros nationaux sont automatiquement masques, puis restaures dans le resultat final.

Documents uploades en image (JPEG, PNG, WebP) : Lorsqu'un document est uploade sous forme d'image, celle-ci est transmise integralement a l'API OpenAI Vision pour extraction de texte (OCR). L'image n'est pas anonymisee avant envoi — les donnees personnelles visibles sur le document (nom, coordonnees, photo, etc.) sont transmises telles quelles. Cette transmission est necessaire car l'extraction de texte ne peut etre realisee qu'a partir de l'image originale.

Toutes ces transmissions sont encadrees par le DPA (Data Processing Agreement) signe avec OpenAI. Conformement a la politique d'utilisation API d'OpenAI, les donnees transmises via l'API ne sont pas conservees par OpenAI et ne sont pas utilisees pour l'entrainement de ses modeles.

7. Duree de Conservation

Type de donnees	Duree
Donnees de compte	Abonnement + 3 ans
CV et documents	Abonnement + 30 jours
Fichiers audio	90 jours apres transcription
Capture video (environnement)	Immediatement supprimee apres analyse (non stockee)
Flux video webcam	Non transmis au serveur — traitement local uniquement
Transcription AI Screening	6 mois apres completion
Rapport AI Screening (scores)	12 mois apres completion
Logs de connexion	18 mois
Factures	10 ans (obligation legale)
Logs d'audit (employer-clients)	10 ans par defaut, configurable 3/5/10 ans par organisation (Art. 5(1)(e) justification : obligations comptables + defense juridique)
Placements (donnees de facturation)	10 ans — obligation comptable belge Art. III.86
Conventions de placement signees	Tant que active + duree fournisseur eIDAS (typiquement 10 ans)
Tokens portail client	90 jours par defaut (configurable 1-365), trace d'audit 10 ans
Feedback de placement (30/60/90j)	18 mois apres soumission (reponses + audit IP/UA), puis purge automatique quotidienne — Art. 5(1)(e) RGPD
Feuilles d'heures (timesheets)	10 ans — obligation comptable + droit du travail belge
Sync Kombo (conflits en attente)	Resolus : 12 mois — en attente : permanent jusqu'a decision admin
Audit credentials BYOK (e-sig + Kombo)	10 ans — conformite SOC 2 + tracabilite rotation cles
Donnees supprimees	Effacement sous 30 jours

A l'issue de ces durees, les donnees sont supprimees ou anonymisees de maniere irreversible.

Hash d'integrite des PII supprimees : pour preuver qu'une demande d'effacement (Art. 17) a bien ete executee, nous conservons un hash cryptographique (SHA-256) de la donnee effacee dans nos logs d'audit. Le hash ne permet pas de reconstituer la donnee originale — il sert uniquement de preuve d'integrite en cas d'audit ulterieur.

7.bis Decisions assistees par IA (Reglement UE 2024/1689 — AI Act)

Notre plateforme utilise des modeles d'intelligence artificielle (OpenAI, Anthropic) pour assister les recruteurs dans certaines decisions :

Pre-screening de CV : extraction de competences, scoring d'adequation au poste
Notation d'entretiens AI Screening : analyse de transcriptions et generation de rapports
Suggestions de placement : matching candidat-poste
Enrichissement B2B des contacts employeurs : recherche automatisee de coordonnees professionnelles publiques (cf. § 7.ter ci-dessous)
Extraction structuree de jobs entrants : parsing d'emails et de webhooks pour creer automatiquement des offres a partir des donnees du client (a partir du Sprint 4 / Phase 4)

Conformement au Reglement UE 2024/1689 sur l'IA (entree en vigueur 2026), nous vous informons que :

Aucune decision de recrutement finale n'est prise automatiquement par l'IA — un recruteur humain valide systematiquement
Vous pouvez demander une explication des recommandations IA vous concernant (dpo@careertoolbox.ai)
Vous pouvez vous opposer a une decision automatisee qui aurait un effet juridique (Art. 22 RGPD) en contactant notre DPO
Les sous-traitants IA sont listes sur /legal/subprocessors.html avec leur juridiction et la base legale du transfert

7.ter Enrichissement automatise des contacts employeurs (Apollo)

Finalite : permettre aux agences abonnees au plan Enterprise Premium de pre-remplir les fiches contact (responsables RH, hiring managers) de leurs clients employeurs a partir d'une base de donnees professionnelle publique.

Sous-traitant : Apollo.io, Inc. (Etats-Unis) — fournisseur de services d'enrichissement automatise par intelligence artificielle (recherche par correspondance d'identite, agregation de donnees professionnelles publiques). Conformement a l'EU AI Act 2024/1689 Article 13 (transparence), nous vous informons que cette operation constitue un traitement assiste par IA ; voir /legal/subprocessors.html pour le DPA et les clauses contractuelles types (SCC) encadrant le transfert hors UE.

Donnees enrichies (a partir du nom + entreprise du contact) :

Coordonnees professionnelles : email, telephone direct (si disponible), profil LinkedIn
Intitule du poste, departement, anciennete
Coordonnees publiques de l'entreprise : siege social, secteur (NACE), taille, profils sociaux

Donnees explicitement EXCLUES (data minimization Art. 5.1.c) : aucun identifiant gouvernemental, aucune donnee biometrique, aucune donnee de sante deductible, aucune donnee privee non-professionnelle.

Base legale : interet legitime (Art. 6.1.f RGPD) au titre de la prospection B2B encadree (recrutement professionnel). Le contact dispose d'un droit d'opposition (Art. 21 RGPD) exercable a tout moment via dpo@careertoolbox.ai — le retrait declenche l'anonymisation immediate de la fiche.

Information du contact (Art. 14 RGPD) : lors du premier email transactionnel adresse au contact (notification d'assignation a un job, demande d'entretien, etc.), un lien vers la presente politique est inclus, mentionnant la source des donnees (Apollo.io) et le droit d'opposition.

Reserve abonnes Enterprise Premium : la fonctionnalite n'est pas activee sur les autres plans (Freelance, Business). Aucun debit de credit n'est applique — l'usage est inclus dans l'abonnement, dans la limite des quotas Apollo (free tier 1000 requetes/mois, monitor admin a 80% / 90%).

Analyse d'impact (DPIA, Art. 35 RGPD) : une analyse d'impact dediee est documentee dans /docs/audits/2026-04-26-ws024-dpia-apollo.md — disponible sur demande aupres du DPO.

Conservation : les donnees Apollo sont stockees dans le champ enrichment_data_json de la fiche contact. Lors d'une demande d'effacement (Art. 17), ce champ est nettoye en meme temps que les autres PII (cascade GDPR sur employer_client_contacts).

8. Vos Droits (RGPD)

Droit d'acces (Art. 15) : Demander une copie de vos donnees
Droit de rectification (Art. 16) : Corriger vos donnees
Droit a l'effacement (Art. 17) : Demander la suppression ("droit a l'oubli")
Droit a la portabilite (Art. 20) : Recevoir vos donnees en format structure et lisible par machine
Droit d'opposition (Art. 21) : S'opposer au traitement base sur l'interet legitime
Droit a la limitation (Art. 18) : Demander la suspension du traitement dans certains cas

Exercice de vos droits

En ligne : Depuis votre compte, section "Mes donnees"
Par email : privacy@careertoolbox.ai
Par courrier : Sivel Labs SRL, Avenue du Bois d'Hennessy 30, 1310 La Hulpe, Belgique
Delai de reponse : 30 jours. En cas de demande complexe, ce delai peut etre prolonge de 60 jours.

Reclamation

Vous avez le droit d'introduire une reclamation aupres de l'Autorite de Protection des Donnees (APD) :

Site : www.autoriteprotectiondonnees.be
Email : contact@apd-gba.be

9. Cookies

Cookies essentiels

Ces cookies sont necessaires au fonctionnement du Service (base legale RGPD : execution du contrat - Art. 6.1.b) :

ct_session : Authentification (cookie legacy ; expiration : 7 jours)
ct_access_token : Authentification OAuth 2.1 (HttpOnly, SameSite=Lax ; expiration : 7 jours pendant la transition)
ct_refresh_token : Rotation des tokens d'authentification (HttpOnly, SameSite=Strict, scope: /api/auth/ ; expiration : 30 jours)
csrf_token : Protection CSRF (expiration : 24 heures)

Refresh tokens OAuth 2.1 (depuis le 5 mai 2026)

Pour ameliorer la securite de votre compte, CareerToolbox.AI utilise le protocole OAuth 2.1 avec rotation automatique des tokens d'acces. Concretement :

Duree de vie maximale : 30 jours apres votre derniere connexion. Au-dela, vous devez vous reconnecter avec votre mot de passe.
Rotation automatique : a chaque requete d'authentification, un nouveau token est genere et l'ancien est invalide. Cela limite l'impact d'une compromission eventuelle.
Detection d'utilisation frauduleuse (family compromise) : si un token deja utilise est presente a nouveau (signe d'un vol), TOUTES les sessions de la famille sont automatiquement revoquees et vous etes deconnecte.
Stockage : seul un hash HMAC-SHA256 du token est conserve cote serveur ; le token en clair n'est jamais stocke.
Revocation utilisateur : vous pouvez consulter et revoquer vos sessions actives a tout moment depuis "Parametres > Securite > Sessions actives".

Cookies analytiques

Aucun cookie analytique n'est actuellement utilise.

Gestion des cookies

Vous pouvez gerer vos preferences cookies depuis les parametres de votre navigateur. Note : la suppression des cookies essentiels vous deconnecte immediatement.

10. Securite des Donnees

Mesures techniques

Chiffrement TLS en transit (HTTPS)
Mots de passe hashes (bcrypt)
Tokens de session securises
Pare-feu et protection DDoS (Cloudflare)
Sauvegardes regulieres chiffrees

Mesures organisationnelles

Acces limite au besoin d'en connaitre
Formation des employes
Politique de mots de passe forts
Journalisation des acces

Notification de violation

En cas de violation de donnees susceptible d'engendrer un risque eleve, nous vous informerons dans les 72 heures conformement a l'article 34 du RGPD.

11. Mineurs

Le Service n'est pas destine aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de donnees de mineurs.

12. Modifications

Nous pouvons modifier cette politique a tout moment. Les modifications substantielles seront notifiees par email ou via l'interface. La date de derniere mise a jour est indiquee en haut du document.

13. Contact

Delegue a la Protection des Donnees
Email : dpo@careertoolbox.ai
Adresse : Sivel Labs SRL, Avenue du Bois d'Hennessy 30, 1310 La Hulpe, Belgique

Annexe : Registre des Traitements (Resume)

Traitement	Finalite	Base legale	Duree	Destinataires
Gestion comptes	Service	Contrat	Abonnement + 3 ans	Interne
Optimisation CV	Service	Contrat	Abonnement	OpenAI
Transcription	Service	Contrat	90 jours	OpenAI
Paiements	Facturation	Contrat	10 ans	Stripe
Emails	Communication	Contrat	Abonnement	Brevo
Logs securite	Securite	Interet legitime	1 an	Interne
Analyse langage corporel	Feedback entretien	Consentement	Non stockee (temps reel)	MediaPipe (local), OpenAI (1 image)
OCR documents	Extraction texte	Contrat	Duree abonnement	OpenAI
AI Screening	Pre-selection candidats	Consentement	6-12 mois	Google, OpenAI
Coaching IA	Accompagnement candidat	Contrat	Duree abonnement	Anthropic (Claude)

Document version 1.6 — 27 avril 2026