Politique de confidentialité

Le responsable du traitement des données personnelles est Ghost Agent, joignable par email à privacy@ghost-agent.fr. Ghost Agent est conforme au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi Informatique et Libertés.

Les données personnelles collectées par Ghost Agent sont :

• Données d'identification : email, mot de passe (haché avec bcrypt), nom, numéro de téléphone, URL LinkedIn (facultatif).
• Données de candidature : CV (PDF ou texte), compétences, expériences, formations, lettres de motivation générées.
• Données de ciblage : intitulés de poste visés, localisations, salaire minimum, types de contrat, préférence télétravail, mots-clés à inclure ou exclure.
• Données d'activité : offres consultées, candidatures envoyées, réponses reçues, entretiens planifiés.
• Données de paiement : identifiant client Stripe uniquement. Aucune donnée bancaire n'est stockée par Ghost Agent.
• Données techniques : adresse IP, logs de connexion, identifiants de session (cookies).

Les données sont traitées pour les finalités suivantes :

• Fournir le Service : analyse du CV, matching d'offres, adaptation des candidatures, envoi, suivi.
• Gérer l'abonnement et la facturation via Stripe.
• Assurer le support utilisateur.
• Améliorer le Service (statistiques anonymisées).
• Respecter nos obligations légales (comptabilité, lutte contre la fraude).

• Exécution du contrat : la quasi-totalité des traitements découle de l'exécution du Service souscrit par l'Utilisateur.
• Consentement : pour l'envoi automatique de candidatures en votre nom et pour les cookies analytiques non essentiels.
• Obligation légale : pour la conservation des factures (10 ans).

Les données sont hébergées exclusivement en Union Européenne, sur des serveurs Scaleway situés à Paris (France). La base de données est chiffrée au repos et en transit (TLS 1.3).

Ghost Agent fait appel aux sous-traitants suivants :

• Stripe Payments Europe (Irlande) – traitement des paiements. Conforme PCI-DSS niveau 1.
• Anthropic PBC (USA) – modèle d'IA Claude pour l'adaptation du CV et la rédaction des lettres. Données transmises de manière minimisée ; Anthropic ne conserve pas les prompts pour l'entraînement (politique zero-retention pour l'API).
• Scaleway SAS (France) – hébergement de la base de données et des sauvegardes.
• Sendgrid / SMTP provider (UE) – envoi des emails transactionnels et des candidatures.
• Hostinger International Ltd (Chypre, UE) – infrastructure applicative.

Des clauses contractuelles types de la Commission européenne encadrent les éventuels transferts hors UE.

• Compte actif : tant que l'abonnement est actif, puis 3 mois après résiliation.
• Candidatures et historique : 24 mois à compter de leur envoi.
• Factures : 10 ans (obligation légale).
• Logs techniques : 12 mois.

L'Utilisateur peut demander la suppression anticipée (voir article 9).

Mot de passe haché avec bcrypt (12 rounds), cookies de session httpOnly et SameSite, chiffrement TLS 1.3, sauvegardes quotidiennes chiffrées, accès base de données restreint par clé SSH, journalisation des accès administrateur.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : modifier une donnée inexacte.
• Droit à l'effacement : supprimer votre compte et toutes vos données (hors obligations légales).
• Droit à la portabilité : récupérer vos données dans un format structuré (JSON).
• Droit d'opposition et de limitation.
• Droit de retirer votre consentement à tout moment.

Ces droits s'exercent depuis votre tableau de bord (export et suppression en 1 clic) ou par email à privacy@ghost-agent.fr. Délai de réponse : maximum 30 jours.

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).

Ghost Agent utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session d'authentification JWT). Aucun cookie publicitaire ni traceur tiers n'est déposé sans votre consentement explicite. Aucun pixel Meta, Google Ads ou TikTok n'est présent sur les pages authentifiées.

Lors de l'envoi d'une candidature, Ghost Agent transmet au recruteur uniquement les données nécessaires à l'étude de votre dossier : identité, coordonnées, CV adapté et lettre de motivation. Aucune donnée de navigation, de comportement ou de profilage n'est partagée.

Toute modification substantielle de la présente politique vous sera notifiée par email au moins 15 jours avant son entrée en vigueur.