1. Responsable du traitement
Le responsable du traitement des données personnelles est Ghost Agent, joignable par email à privacy@ghost-agent.fr. Ghost Agent est conforme au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi Informatique et Libertés.
2. Données collectées
Les données personnelles collectées par Ghost Agent sont :
- Données d'identification : email, mot de passe (haché avec bcrypt), nom, numéro de téléphone, URL LinkedIn (facultatif).
- Données de candidature : CV (PDF ou texte), compétences, expériences, formations, lettres de motivation générées.
- Données de ciblage : intitulés de poste visés, localisations, salaire minimum, types de contrat, préférence télétravail, mots-clés à inclure ou exclure.
- Données d'activité : offres consultées, candidatures envoyées, réponses reçues, entretiens planifiés.
- Données de paiement : identifiant client Stripe uniquement. Aucune donnée bancaire n'est stockée par Ghost Agent.
- Données techniques : adresse IP, logs de connexion, identifiants de session (cookies).
3. Finalités du traitement
Les données sont traitées pour les finalités suivantes :
- Fournir le Service : analyse du CV, matching d'offres, adaptation des candidatures, envoi, suivi.
- Gérer l'abonnement et la facturation via Stripe.
- Assurer le support utilisateur.
- Améliorer le Service (statistiques anonymisées).
- Respecter nos obligations légales (comptabilité, lutte contre la fraude).
4. Base légale
- Exécution du contrat : la quasi-totalité des traitements découle de l'exécution du Service souscrit par l'Utilisateur.
- Consentement : pour l'envoi automatique de candidatures en votre nom et pour les cookies analytiques non essentiels.
- Obligation légale : pour la conservation des factures (10 ans).
5. Hébergement et localisation
Les données sont hébergées exclusivement en Union Européenne, sur des serveurs Scaleway situés à Paris (France). La base de données est chiffrée au repos et en transit (TLS 1.3).
6. Sous-traitants
Ghost Agent fait appel aux sous-traitants suivants :
- Stripe Payments Europe (Irlande) – traitement des paiements. Conforme PCI-DSS niveau 1.
- Anthropic PBC (USA) – modèle d'IA Claude pour l'adaptation du CV et la rédaction des lettres. Données transmises de manière minimisée ; Anthropic ne conserve pas les prompts pour l'entraînement (politique zero-retention pour l'API).
- Scaleway SAS (France) – hébergement de la base de données et des sauvegardes.
- Sendgrid / SMTP provider (UE) – envoi des emails transactionnels et des candidatures.
- Hostinger International Ltd (Chypre, UE) – infrastructure applicative.
Des clauses contractuelles types de la Commission européenne encadrent les éventuels transferts hors UE.
7. Durée de conservation
- Compte actif : tant que l'abonnement est actif, puis 3 mois après résiliation.
- Candidatures et historique : 24 mois à compter de leur envoi.
- Factures : 10 ans (obligation légale).
- Logs techniques : 12 mois.
L'Utilisateur peut demander la suppression anticipée (voir article 9).
8. Sécurité
Mot de passe haché avec bcrypt (12 rounds), cookies de session httpOnly et SameSite, chiffrement TLS 1.3, sauvegardes quotidiennes chiffrées, accès base de données restreint par clé SSH, journalisation des accès administrateur.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : modifier une donnée inexacte.
- Droit à l'effacement : supprimer votre compte et toutes vos données (hors obligations légales).
- Droit à la portabilité : récupérer vos données dans un format structuré (JSON).
- Droit d'opposition et de limitation.
- Droit de retirer votre consentement à tout moment.
Ces droits s'exercent depuis votre tableau de bord (export et suppression en 1 clic) ou par email à privacy@ghost-agent.fr. Délai de réponse : maximum 30 jours.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).
10. Cookies
Ghost Agent utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d'authentification JWT). Aucun cookie publicitaire ni traceur tiers n'est déposé sans votre consentement explicite. Aucun pixel Meta, Google Ads ou TikTok n'est présent sur les pages authentifiées.
11. Données transmises aux recruteurs
Lors de l'envoi d'une candidature, Ghost Agent transmet au recruteur uniquement les données nécessaires à l'étude de votre dossier : identité, coordonnées, CV adapté et lettre de motivation. Aucune donnée de navigation, de comportement ou de profilage n'est partagée.
12. Modifications
Toute modification substantielle de la présente politique vous sera notifiée par email au moins 15 jours avant son entrée en vigueur.