Conformité RGPD et sécurité
Tout ce que votre DPO doit savoir avant de signer
CVpass est conçu pour passer la due diligence d'un DPO d'école publique ou d'un cabinet conseil. Hébergement UE, DPA signable, anonymisation 6 mois, cloisonnement strict par organisation. Documentation complète ci-dessous.
Six engagements concrets
Hébergement Union européenne
Base de données et stockage de fichiers hébergés sur Supabase (région Frankfurt, Allemagne). Aucune donnée client en dehors de l'UE pour le stockage primaire.
DPA signable Article 28
Accord de traitement des données conforme au RGPD article 28, accepté par défaut à la souscription B2B. Version signée bilatéralement disponible sur demande.
Anonymisation à 6 mois
Les CV et offres téléversés sont supprimés ou anonymisés après 6 mois sans activité. Les données techniques après 30 jours post-résiliation. Politique stricte par défaut.
Cloisonnement par organisation
Chaque organisation cliente a son propre org_id. Aucune visibilité croisée entre organisations. Politique Row Level Security au niveau base.
Chiffrement bout en bout
TLS 1.2+ en transit, AES-256 au repos sur la base de données. Certificats SSL renouvelés automatiquement. Sauvegardes chiffrées 7 jours de rétention.
Zero data retention sur l'IA
L'option zero data retention est activée sur l'API OpenAI. Aucun CV ni offre n'est conservé par OpenAI. Aucune donnée n'alimente l'entraînement des modèles.
Sous-traitants et finalités
Liste exhaustive des sous-traitants ultérieurs et leur finalité. Toute évolution est notifiée par email avec un préavis de 30 jours.
| Sous-traitant | Région |
|---|---|
| Vercel Inc. | États-Unis (DPF) |
| Supabase Inc. | Allemagne (UE) |
| Clerk Inc. | États-Unis (DPF) |
| OpenAI, LLC | États-Unis (DPF) |
| Stripe Inc. | États-Unis / Irlande |
| Brevo (Sendinblue) | France (UE) |
Droits des personnes concernées
CVpass met à disposition les outils nécessaires au Responsable de traitement pour répondre aux demandes des personnes concernées. Les demandes reçues directement par CVpass sont transférées sous 5 jours ouvrés.
- Droit d'accès aux données
- Droit de rectification
- Droit à l'effacement
- Droit à la portabilité
- Droit d'opposition
- Droit à la limitation du traitement
FAQ
Questions DPO les plus posées
Les réponses aux 5 questions que les délégués à la protection des données nous posent en premier lors d'un audit pré-signature.
Où sont stockées les données ? Restent-elles en Union européenne ?
Les données primaires (CV, offres, métadonnées d'usage, organisations, membres) sont stockées sur Supabase région Frankfurt (Allemagne, UE). Aucune réplication hors-UE. Les seuls transferts vers les États-Unis concernent les sous-traitants ultérieurs (Vercel pour l'hébergement front, Clerk pour l'authentification, OpenAI pour l'IA), tous certifiés DPF (Data Privacy Framework) avec CCT en complément.
Le DPA est-il signable bilatéralement ou imposé tel quel ?
Les deux options. Le DPA est accepté tacitement à la souscription B2B (texte affiché sur /b2b/dpa). Pour les organisations qui demandent une signature bilatérale, écrivez à legal@cvpass.fr : nous renvoyons un PDF sous 48 h ouvrées, signable via DocuSign ou en physique selon vos contraintes.
Quelle politique d'anonymisation après la fin du contrat ?
Suppression des données techniques (logs, métadonnées) sous 30 jours après résiliation. Suppression des CV et offres téléversés sous 90 jours. Anonymisation automatique à 6 mois sans activité même pour les abonnements actifs (les CV ne sont pas conservés indéfiniment). Les factures sont conservées 10 ans pour obligations comptables françaises.
Que fait OpenAI de nos données quand l'IA analyse un CV ?
Rien. Nous utilisons l'API OpenAI avec l'option 'zero data retention' activée : aucun CV ni offre n'est conservé par OpenAI, ni utilisé pour entraîner les modèles. Documenté dans notre DPA Article 28 et confirmé par la documentation OpenAI Enterprise.
Délai de notification en cas de violation de données ?
48 heures maximum après prise de connaissance, par email aux contacts désignés dans l'organisation cliente, conformément à l'article 33 du RGPD. Le DPO CVpass (dpo@cvpass.fr) coordonne la procédure incluant la notification CNIL si nécessaire.
Une question RGPD spécifique ?
Notre Délégué à la protection des données répond sous 48 h ouvrées. Audit documentaire annuel disponible pour les clients sous contrat.