Politique de confidentialité

Dernière mise à jour · 2026-05-14

Document de travail. Ce texte est un brouillon destiné à être révisé par un avocat avant l'ouverture commerciale. Toute incohérence prévaudra contre Vitaa et en faveur de l'utilisateur.

1. Responsable du traitement

Vitaa (« nous ») est responsable du traitement des données personnelles collectées sur vitaa.app. Adresse de contact : privacy@vitaa.app.

2. Données collectées

Données fournies directement

  • Email, mot de passe (haché bcrypt), nom optionnel, langue.
  • Profil professionnel (expériences, formations, compétences, projets) — créé par toi.
  • CVs générés et offres d'emploi sauvegardées.
  • Clé API IA tierce (stockée chiffrée AES-256-GCM, jamais affichée en clair).

Données collectées automatiquement

  • Adresse IP au moment de la connexion (logs sécurité, conservés 30 jours).
  • Identifiant de session (cookie strictement nécessaire).
  • Événements de facturation transmis par Lemon Squeezy.

Données NON collectées

  • Aucun tracker tiers (Google Analytics, Meta Pixel, etc.).
  • Aucun cookie publicitaire.
  • Aucune écoute du contenu de tes CVs pour entraînement IA.

3. Finalités du traitement

  • Fournir le Service (compte, génération de CV, sauvegarde).
  • Facturation (Lemon Squeezy, sous-traitant).
  • Communication transactionnelle (vérification email, reset password, factures).
  • Sécurité (détection d'abus, journalisation des connexions).

4. Base légale

Exécution du contrat (CGU) pour les fonctionnalités essentielles. Intérêt légitime pour la sécurité. Consentement explicite pour les communications non transactionnelles (newsletter — optin séparé).

5. Sous-traitants

  • Lemon Squeezy (USA) — paiement et facturation (Merchant of Record).
  • Hébergeur — TBD selon déploiement.
  • Fournisseur SMTP — TBD (Resend / Brevo / Postmark).
  • Fournisseurs IA tiers (OpenAI, Anthropic, Gemini) — uniquement appelés avec ta propre clé, à ton initiative.

6. Durée de conservation

  • Compte actif : tant que tu l'utilises.
  • Compte supprimé : effacement immédiat, sauf obligations comptables (10 ans pour les factures, anonymisées).
  • Logs sécurité : 30 jours.
  • Tokens de réinitialisation : 1 heure (puis purge).

7. Tes droits (RGPD)

  • Accès — exporter toutes tes données depuis tes paramètres.
  • Rectification — modifier ton profil à tout moment.
  • Suppression — supprimer ton compte en 1 clic.
  • Portabilité — export JSON disponible.
  • Opposition / Limitation — écris-nous.
  • Réclamation — saisir la CNIL (cnil.fr).

8. Cookies

Vitaa n'utilise que des cookies strictement nécessaires. Voir politique cookies.

9. Sécurité

  • Mots de passe hachés bcrypt (cost 12).
  • Tokens de session signés (JWT, secret 32+ bytes).
  • Clés API tierces chiffrées AES-256-GCM au repos.
  • HTTPS obligatoire en production.
  • Sauvegardes DB quotidiennes (chiffrées).

10. Transferts hors UE

Lemon Squeezy traite les paiements aux États-Unis sous Clauses Contractuelles Types (SCC). Les fournisseurs IA tiers (à ta discrétion) peuvent transférer tes prompts hors UE — c'est ton choix.

11. Contact

privacy@vitaa.app