Politique de confidentialité
Dernière mise à jour : avril 2026
Cette politique de confidentialité explique comment Applivoo (« nous », « notre ») collecte, utilise et protège vos données à caractère personnel lorsque vous utilisez notre service. Nous nous engageons à protéger votre vie privée conformément au Règlement général sur la protection des données (RGPD) et à la législation luxembourgeoise sur la protection des données. Nous recommandons que ce document soit examiné par un juriste qualifié avant toute utilisation en production.
1. Identité et coordonnées du responsable du traitement
Le responsable du traitement de vos données à caractère personnel est :
tupevo S.àr.l.-S
12, Rue du Château d'Eau, L-3364 Leudelange, Luxembourg
RCS Luxembourg B306404 | TVA LU37375443
E-mail : [email protected]
Pour toute question concernant le traitement de vos données, veuillez nous contacter à l'adresse e-mail ci-dessus.
2. Délégué à la protection des données
Compte tenu de l'ampleur actuelle de nos activités, aucun délégué à la protection des données (DPD) formel n'a été désigné, car cela n'est pas requis au titre de l'article 37 du RGPD. Pour toute demande relative à la protection des données, veuillez nous contacter à l'adresse e-mail indiquée à la section 1. Si nos activités de traitement venaient à l'exiger à l'avenir, nous désignerons un DPD et mettrons à jour la présente politique en conséquence.
3. Finalités et bases juridiques du traitement
Nous traitons vos données à caractère personnel aux finalités suivantes et sur les bases juridiques suivantes :
- Gestion du compte et authentification (art. 6, par. 1, point b) du RGPD - exécution d'un contrat) : nous traitons votre adresse e-mail et vos données de profil OAuth pour créer et gérer votre compte.
- Adaptation de CV assistée par IA (art. 6, par. 1, point b) du RGPD - exécution d'un contrat) : nous envoyons le contenu de votre CV et les offres d'emploi à l'API Anthropic Claude afin de générer des suggestions personnalisées. Il s'agit d'une fonctionnalité essentielle du service que vous avez commandé.
- Facturation de l'abonnement (art. 6, par. 1, point b) du RGPD - exécution d'un contrat) : nous partageons les informations de facturation avec Stripe pour traiter les paiements de votre abonnement.
- Analyse web (art. 6, par. 1, point f) du RGPD - intérêt légitime) : nous collectons des statistiques d'utilisation anonymes via notre instance Umami auto-hébergée afin de comprendre comment notre service est utilisé. Umami fonctionne sans cookies, ne stocke ni ne lit aucune information sur votre appareil et ne collecte aucune donnée à caractère personnel, de sorte qu'aucun consentement ePrivacy/cookie n'est requis. Notre intérêt légitime est de comprendre et d'améliorer l'utilisation du service.
- Suivi des erreurs (art. 6, par. 1, point f) du RGPD - intérêt légitime) : nous utilisons GlitchTip pour surveiller les erreurs de l'application et maintenir la fiabilité du service. Notre intérêt légitime est d'assurer la qualité et la sécurité du service.
- Conformité légale (art. 6, par. 1, point c) du RGPD - obligation légale) : nous pouvons traiter des données lorsque la loi l'exige, par exemple la conservation des documents de facturation à des fins fiscales.
4. Intérêts légitimes
Lorsque nous nous appuyons sur les intérêts légitimes comme base juridique (art. 6, par. 1, point f) du RGPD), ces intérêts sont les suivants :
- Suivi des erreurs et surveillance de la sécurité : maintenir la fiabilité et la sécurité de notre service en collectant des rapports d'erreurs et des données de performance via GlitchTip.
- Prévention de la fraude : détecter et empêcher toute utilisation non autorisée ou abusive du service.
Nous avons effectué une mise en balance des intérêts afin de garantir que ces intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Vous avez le droit de vous opposer au traitement fondé sur les intérêts légitimes (voir section 8).
5. Destinataires et catégories de destinataires
Nous partageons vos données à caractère personnel avec les destinataires suivants uniquement dans la mesure nécessaire aux finalités décrites à la section 3 :
- Anthropic (API Claude) : le contenu de votre CV et le texte des offres d'emploi sont envoyés à l'API Anthropic Claude afin de générer des suggestions assistées par IA. Anthropic traite ces données uniquement pour fournir le service et ne les utilise pas pour l'entraînement de modèles.
- Scaleway (hébergement LLM dans l'UE) : selon le routage, l'inférence Claude pour la fonctionnalité d'adaptation par IA peut être assurée via Scaleway, un fournisseur cloud français/européen, dans une région de l'UE. Lorsque la requête est traitée via Scaleway, le traitement d'inférence reste au sein de l'UE/EEE. Données traitées : le même contenu de CV et le même texte d'offre d'emploi décrits ci-dessus pour la fonctionnalité d'IA.
- Stripe : vos informations de facturation (nom, e-mail, moyen de paiement) sont partagées avec Stripe pour le traitement des paiements d'abonnement.
- GlitchTip : les rapports d'erreurs peuvent contenir des informations techniques telles que des adresses IP et des métadonnées de navigateur. Aucun contenu de CV n'est inclus dans les rapports d'erreurs.
- Umami : des statistiques d'utilisation anonymes et agrégées sont collectées via notre instance Umami auto-hébergée sur la base de notre intérêt légitime (art. 6, par. 1, point f) du RGPD). Umami fonctionne sans cookies et ne collecte aucune donnée à caractère personnel.
- Fournisseur OAuth (Google) : lorsque vous vous connectez via Google OAuth, Google partage votre adresse e-mail et votre nom de profil avec nous. Nous ne partageons aucune de vos données en retour avec Google au-delà du flux d'authentification.
- Hébergeur : notre infrastructure est hébergée sur des serveurs dédiés Hetzner situés en Allemagne. Vos données sont stockées sur ces serveurs.
- Resend : les e-mails transactionnels (par exemple, l'e-mail de bienvenue) sont envoyés via l'API de Resend. Données traitées : adresse e-mail du destinataire, contenu de l'e-mail. Aucune donnée de CV n'est incluse dans les e-mails transactionnels. Resend traite les données uniquement pour la distribution des e-mails.
6. Transferts internationaux
Certains des destinataires énumérés à la section 5 sont situés en dehors de l'Espace économique européen (EEE) :
- Anthropic (États-Unis) : le contenu des CV et les offres d'emploi sont transférés vers les serveurs d'Anthropic aux États-Unis pour le traitement par IA. Ce transfert est régi par les clauses contractuelles types (CCT) adoptées par la Commission européenne.
- Stripe (États-Unis) : les données de facturation sont transférées vers l'infrastructure américaine de Stripe. Stripe est certifié au titre du cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) et s'appuie en outre sur les CCT.
Tous les transferts vers des pays tiers sont effectués avec des garanties appropriées conformément au chapitre V du RGPD.
7. Conservation des données
Nous ne conservons vos données à caractère personnel que le temps nécessaire aux finalités décrites dans la présente politique :
- Données de compte (e-mail, nom, préférences) : conservées pendant toute la durée de votre compte. Supprimées dans les 30 jours suivant la clôture du compte.
- Données de CV et offres d'emploi : conservées pendant toute la durée de votre compte. Vous pouvez supprimer des CV individuels à tout moment. Toutes les données de CV sont supprimées dans les 30 jours suivant la clôture du compte.
- Justificatifs de paiement : conservés pendant 10 ans à compter de la date de la transaction, comme l'exige le droit fiscal luxembourgeois.
- Données analytiques : collectées sous forme agrégée et anonyme. Aucune donnée à caractère personnel n'est conservée.
- Journaux d'erreurs : conservés pendant 90 jours, puis automatiquement purgés.
- Registres de consentement : conservés pendant toute la durée de votre compte plus 3 ans à des fins de démonstration de conformité.
8. Vos droits
En vertu du RGPD, vous disposez des droits suivants concernant vos données à caractère personnel :
- Droit d'accès (art. 15) : vous pouvez demander une copie des données à caractère personnel que nous détenons à votre sujet. Vous pouvez exporter vos données depuis Paramètres > Données et confidentialité.
- Droit de rectification (art. 16) : vous pouvez demander la correction de données à caractère personnel inexactes. Vous pouvez mettre à jour les informations de votre profil directement dans les paramètres de votre compte.
- Droit à l'effacement (art. 17) : vous pouvez demander la suppression de vos données à caractère personnel. Vous pouvez supprimer votre compte depuis Paramètres > Zone de danger, ce qui déclenche un délai de grâce de 30 jours avant la suppression définitive.
- Droit à la portabilité des données (art. 20) : vous pouvez demander vos données dans un format structuré et lisible par machine. Utilisez la fonction d'export dans Paramètres > Données et confidentialité.
- Droit à la limitation du traitement (art. 18) : vous pouvez demander que nous limitions le traitement de vos données dans certaines circonstances.
- Droit d'opposition (art. 21) : vous pouvez vous opposer au traitement fondé sur les intérêts légitimes ou à des fins de prospection directe.
Pour exercer l'un de ces droits, veuillez nous contacter à l'adresse e-mail indiquée à la section 1. Nous répondrons dans un délai de 30 jours.
9. Retrait du consentement
Lorsque nous traitons vos données sur la base du consentement, vous pouvez retirer votre consentement à tout moment, et ce retrait n'affecte pas la licéité du traitement effectué avant le retrait. Vous pouvez gérer vos préférences de traitement des données dans les paramètres de votre compte.
Notre analyse web (Umami) ne repose pas sur le consentement : elle fonctionne sans cookies et s'appuie sur notre intérêt légitime (art. 6, par. 1, point f) du RGPD), de sorte qu'il n'y a aucun consentement analytique à retirer. Vous pouvez en revanche exercer à tout moment votre droit de vous opposer au traitement fondé sur les intérêts légitimes (voir section 8).
10. Droit d'introduire une réclamation
Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle si vous estimez que notre traitement de vos données à caractère personnel enfreint le RGPD.
L'autorité de contrôle pour le Luxembourg est :
Commission nationale pour la protection des donnees (CNPD)
15, Boulevard du Jazz
L-4370 Belvaux
Luxembourg
Site web : https://cnpd.public.lu
Vous pouvez également introduire une réclamation auprès de l'autorité de contrôle de votre pays de résidence ou de votre lieu de travail.
11. Obligation de fournir des données
La fourniture de votre adresse e-mail est nécessaire pour créer un compte et utiliser le service (exigence contractuelle). Sans elle, nous ne pouvons pas fournir le service Applivoo.
La fourniture de données de CV et d'offres d'emploi est facultative mais nécessaire pour utiliser les fonctionnalités d'adaptation de CV assistées par IA.
Il n'existe aucune obligation légale de fournir des données à caractère personnel. Toutefois, le défaut de fourniture de certaines données peut limiter votre capacité à utiliser des fonctionnalités spécifiques du service.
12. Prise de décision automatisée et profilage par IA
Applivoo utilise l'IA Anthropic Claude pour analyser les offres d'emploi et générer des suggestions de CV personnalisées. Cela implique un traitement automatisé du contenu de votre CV et du texte des offres d'emploi.
Précisions importantes :
- L'IA génère uniquement des suggestions. Toutes les décisions finales concernant le contenu de votre CV vous appartiennent. Vous examinez, sélectionnez et modifiez toutes les variantes générées par l'IA avant qu'elles ne soient appliquées.
- Ce traitement ne constitue pas une prise de décision exclusivement automatisée produisant des effets juridiques ou des effets similaires significatifs au sens de l'article 22 du RGPD, car une intervention humaine (la vôtre) fait toujours partie du processus.
- L'IA ne prend aucune décision d'embauche, n'évalue pas votre employabilité et ne produit aucune évaluation juridiquement contraignante.
- Vous pouvez choisir de ne pas utiliser les fonctionnalités d'IA et utiliser malgré tout l'éditeur de CV manuellement.
13. Cookies et technologies de suivi
Applivoo utilise les catégories suivantes de cookies et de technologies similaires :
- Cookies nécessaires : requis pour l'authentification, la gestion de session et la sécurité. Ils ne peuvent pas être désactivés car ils sont essentiels au fonctionnement du site web. Base juridique : art. 6, par. 1, point f) du RGPD (intérêt légitime).
- Analyse (Umami) : nous utilisons notre instance Umami auto-hébergée pour collecter des statistiques d'utilisation anonymes. Umami fonctionne sans cookies : il ne dépose aucun cookie et ne stocke ni ne lit aucune information sur votre appareil. Il ne collecte non plus aucune donnée à caractère personnel. Comme il ne stocke ni n'accède à aucune information sur votre équipement terminal, aucun consentement ePrivacy/cookie n'est requis, et nous ne présentons donc aucune demande de consentement aux cookies. Base juridique : art. 6, par. 1, point f) du RGPD (intérêt légitime).
Étant donné que notre analyse fonctionne sans cookies et que nous n'utilisons aucun cookie non essentiel, il n'existe aucun réglage de préférence de cookies à gérer.
14. Services tiers
Nous utilisons les services tiers suivants en lien avec Applivoo :
- API Anthropic Claude : fournit l'adaptation de CV assistée par IA et l'analyse des offres d'emploi. Données traitées : contenu de CV, offres d'emploi. Politique de confidentialité : https://www.anthropic.com/privacy
- Scaleway : fournisseur cloud de l'UE susceptible d'héberger l'inférence Claude pour la fonctionnalité d'adaptation par IA dans une région de l'UE. Données traitées : contenu de CV, offres d'emploi. Politique de confidentialité : https://www.scaleway.com/en/privacy-policy/
- Stripe : traite les paiements d'abonnement. Données traitées : nom, e-mail, moyen de paiement, adresse de facturation. Politique de confidentialité : https://stripe.com/privacy
- GlitchTip : suivi des erreurs auto-hébergé (compatible Sentry). Données traitées : rapports d'erreurs, métadonnées de navigateur, adresses IP. Hébergé sur notre propre infrastructure.
- Umami : analyse web auto-hébergée, sans cookies. Données traitées : pages vues et événements anonymes. Aucune donnée à caractère personnel. Hébergé sur notre propre infrastructure.
- Google OAuth : fournisseur d'authentification. Données reçues : e-mail, nom, photo de profil. Politique de confidentialité : https://policies.google.com/privacy
- Resend : service de distribution d'e-mails transactionnels. Données traitées : adresse e-mail du destinataire. Politique de confidentialité : https://resend.com/legal/privacy-policy
15. Calendrier de conservation des données
Le tableau suivant résume nos durées de conservation des données :
- Données de compte (e-mail, nom) : jusqu'à la suppression du compte + 30 jours
- Données de CV et offres d'emploi : jusqu'à la suppression par l'utilisateur ou la clôture du compte + 30 jours
- Justificatifs de paiement et de facturation : 10 ans (exigence du droit fiscal luxembourgeois)
- Journaux d'authentification : 90 jours
- Journaux d'erreurs (GlitchTip) : 90 jours
- Données analytiques (Umami) : agrégées, anonymes, aucune limite de conservation
- Registres de consentement : durée du compte + 3 ans
- Préférences de cookies : stockées dans le stockage local du navigateur, contrôlées par l'utilisateur
16. Données des enfants
Applivoo ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants de moins de 16 ans. Si nous apprenons que nous avons collecté des données d'un enfant de moins de 16 ans, nous prendrons des mesures pour supprimer ces données dans les meilleurs délais.
Si vous êtes un parent ou un tuteur et que vous pensez que votre enfant nous a fourni des données à caractère personnel, veuillez nous contacter à l'adresse e-mail indiquée à la section 1.
17. Mises à jour de la politique
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre afin de refléter les changements de nos activités de traitement, des exigences légales ou des fonctionnalités du service.
Nous vous informerons de tout changement important par les moyens suivants :
- Affichage d'un avis dans l'application après votre connexion.
- Envoi d'une notification par e-mail à l'adresse associée à votre compte.
La date de « Dernière mise à jour » figurant en haut de cette politique indique la révision la plus récente. La poursuite de l'utilisation du service après notification des changements vaut acceptation de la politique mise à jour.