Accord de traitement des données (DPA)

Le présent accord de traitement des données (ci-après le « DPA ») encadre le traitement des données à caractère personnel effectué par CVpass(ci-après « le Sous-traitant ») pour le compte du client professionnel ayant souscrit à un plan B2B (ci-après « le Responsable de traitement »), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Il complète les Conditions Générales d'Utilisation B2B et prévaut sur celles-ci en cas de divergence concernant la protection des données.

• Nature et finalité : analyse de CV, scoring ATS, réécriture assistée par IA, génération de PDF, gestion des comptes membres et statistiques agrégées d'usage.
• Catégories de données : données d'identification (nom, prénom, email professionnel), contenu de CV (parcours, compétences, formations), contenu d'offres d'emploi téléversées, métadonnées d'usage.
• Catégories de personnes concernées : membres de l'organisation cliente (collaborateurs, étudiants, candidats accompagnés).
• Durée : pendant toute la durée du contrat, plus une période de conservation maximum de 30 jours après résiliation pour les données techniques et 6 mois pour les données de facturation conformément aux obligations légales.

CVpass s'engage à :

• Traiter les données uniquement sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.
• Garantir la confidentialité des données et veiller à ce que les personnes autorisées soient soumises à une obligation de confidentialité.
• Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 6.
• Assister le Responsable de traitement dans le respect de ses obligations (réponses aux droits des personnes, analyses d'impact, notifications de violation).
• À l'expiration du contrat, supprimer ou restituer l'ensemble des données dans un délai de 30 jours, et détruire les copies sauvegardées dans un délai raisonnable n'excédant pas 90 jours.

Le Responsable de traitement autorise CVpass à faire appel aux sous-traitants ultérieurs suivants :

• Vercel Inc. (États-Unis, encadrement DPF) — hébergement de l'application, distribution et fonctions serverless.
• Supabase Inc. (Irlande / Allemagne) — base de données PostgreSQL et stockage de fichiers.
• Clerk Inc. (États-Unis, encadrement DPF) — authentification et gestion des organisations.
• OpenAI, LLC (États-Unis, encadrement DPF) — analyse sémantique et réécriture par IA. Aucune donnée n'est utilisée à des fins d'entraînement (option « zero data retention » activée sur API).
• Stripe Inc. (États-Unis / Irlande) — traitement des paiements et facturation.
• Sendinblue / Brevo (France) — envois d'emails transactionnels.

Toute évolution de cette liste sera notifiée au Responsable de traitement par email avec un préavis de 30 jours, lui permettant de s'opposer pour motif légitime.

Les transferts de données vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et le Data Privacy Framework lorsque le sous-traitant ultérieur y est certifié.

• Chiffrement TLS 1.2+ en transit et chiffrement au repos sur la base de données.
• Cloisonnement strict des données par organisation (org_id).
• Authentification forte multi-facteurs disponible pour les administrateurs.
• Journalisation des accès administrateurs et accès uniquement via tunnel chiffré.
• Sauvegardes quotidiennes chiffrées avec rétention 7 jours.
• Aucune donnée de CV ou d'offre n'est conservée par OpenAI grâce à l'option « zero data retention » activée sur l'API.

CVpass notifiera le Responsable de traitement de toute violation de données à caractère personnel sans délai injustifié et au plus tard dans les 48 heures après en avoir pris connaissance, par email aux contacts désignés dans l'organisation.

Le Responsable de traitement peut, une fois par an et avec un préavis raisonnable, demander un rapport d'audit ou la documentation des mesures de sécurité. Un audit sur place est réalisable aux frais du Responsable de traitement, dans le respect de la confidentialité des autres clients.

CVpass met à disposition du Responsable de traitement les outils nécessaires pour répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition). Les demandes reçues directement par CVpass seront transférées au Responsable de traitement sous 5 jours ouvrés.

Délégué à la protection des données : dpo@cvpass.fr.

Le présent DPA est accepté par défaut lors de la souscription à un plan B2B. Une version signée bilatéralement peut être fournie sur demande, à legal@cvpass.fr.