Conformité RGPD et sécurité

Tout ce que votre DPO doit savoir avant de signer

CVpass est conçu pour passer la due diligence d'un DPO d'école publique ou d'un cabinet conseil. Hébergement UE, DPA signable, anonymisation 6 mois, cloisonnement strict par organisation. Documentation complète ci-dessous.

Lire le DPA complet Contacter notre DPO

Six engagements concrets

Hébergement Union européenne

Base de données et stockage de fichiers hébergés sur Supabase (région Frankfurt, Allemagne). Aucune donnée client en dehors de l'UE pour le stockage primaire.

DPA signable Article 28

Accord de traitement des données conforme au RGPD article 28, accepté par défaut à la souscription B2B. Version signée bilatéralement disponible sur demande.

Anonymisation à 6 mois

Les CV et offres téléversés sont supprimés ou anonymisés après 6 mois sans activité. Les données techniques après 30 jours post-résiliation. Politique stricte par défaut.

Cloisonnement par organisation

Chaque organisation cliente a son propre org_id. Aucune visibilité croisée entre organisations. Politique Row Level Security au niveau base.

Chiffrement bout en bout

TLS 1.2+ en transit, AES-256 au repos sur la base de données. Certificats SSL renouvelés automatiquement. Sauvegardes chiffrées 7 jours de rétention.

Zero data retention sur l'IA

L'option zero data retention est activée sur l'API OpenAI. Aucun CV ni offre n'est conservé par OpenAI. Aucune donnée n'alimente l'entraînement des modèles.

Sous-traitants et finalités

Liste exhaustive des sous-traitants ultérieurs et leur finalité. Toute évolution est notifiée par email avec un préavis de 30 jours.

Sous-traitant	Finalité	Région
Vercel Inc.	Hébergement front et fonctions serverless	États-Unis (DPF)
Supabase Inc.	Base PostgreSQL et stockage fichiers	Allemagne (UE)
Clerk Inc.	Authentification et gestion organisations	États-Unis (DPF)
OpenAI, LLC	Analyse sémantique et réécriture IA (zero retention)	États-Unis (DPF)
Stripe Inc.	Traitement des paiements et facturation	États-Unis / Irlande
Brevo (Sendinblue)	Envois d'emails transactionnels	France (UE)

Droits des personnes concernées

CVpass met à disposition les outils nécessaires au Responsable de traitement pour répondre aux demandes des personnes concernées. Les demandes reçues directement par CVpass sont transférées sous 5 jours ouvrés.

Droit d'accès aux données
Droit de rectification
Droit à l'effacement
Droit à la portabilité
Droit d'opposition
Droit à la limitation du traitement

Une question RGPD spécifique ?

Notre Délégué à la protection des données répond sous 48 h ouvrées. Audit documentaire annuel disponible pour les clients sous contrat.

Écrire au DPO Lire le DPA complet