Légal
Politique de confidentialité
Dernière mise à jour : 7 juin 2026
La présente politique décrit comment Implikare collecte, utilise et protège vos données à caractère personnel, en application du Règlement (UE) 2016/679 (RGPD) et de la loi française n° 78-17 du 6 janvier 1978 modifiée. Notre approche tient en une phrase : nous traitons le strict minimum nécessaire pour faire fonctionner le service, vous gardez la main, et vous pouvez exercer vos droits à tout moment.
1. Responsable du traitement
Qui est responsable de vos données
Iliès Mahoudeau, entrepreneur individuel exerçant sous le nom commercial « Implikare », SIRET 942 715 046 00010, 8 rue Georges Lechartier, 35700 Rennes, France. Pour toute question relative à vos données ou à l'exercice de vos droits : contact@implikare.com.
Aucun délégué à la protection des données (DPO) n'a été désigné à ce jour : la désignation n'est pas obligatoire dans notre cas (article 37 RGPD), nos traitements n'étant ni de grande échelle, ni à haut risque, ni effectués par une autorité publique. L'email de contact ci-dessus reste le point d'entrée unique pour toutes vos demandes RGPD.
2. Données collectées
Ce que nous collectons et pourquoi
Données de compte
- Adresse email (obligatoire), mot de passe haché avec bcrypt (cost 12, jamais stocké en clair).
- Prénom, nom, locale (français ou anglais) — facultatifs.
- Dates de création, de mise à jour et de connexion du Compte.
- Identifiant Google (
google_id) si vous choisissez la connexion Google — nous ne recevons jamais votre mot de passe Google.
Contenu lié à la recherche d'emploi
- CV téléversés (fichiers PDF / DOCX) et données extraites par parsing (formations, expériences, compétences).
- Historique des analyses ATS : CV concerné, offre concernée (snapshot), score, mots-clés matching et manquants, résumé.
- Lettres de motivation et phrases de CV reformulées par intelligence artificielle, conservées tant que vous ne les supprimez pas.
- Candidatures du tracker : titre du poste, entreprise, statut, dates, notes personnelles.
Données techniques
- Adresse IP (logs serveur et rate limiting Redis), user-agent du navigateur — conservés 12 mois glissants.
- Un cookie d'authentification
refresh_token(httpOnly, Secure, SameSite=Strict, durée 30 jours). - Un enregistrement LocalStorage
consentmémorisant votre choix sur le bandeau cookies (12 mois). - Rapports d'erreurs transmis à Sentry(nom de la page, message d'erreur technique, identifiant de session anonymisé) — base légale : intérêt légitime (maintien de la qualité du service), sans consentement préalable.
- Si vous avez accepté les cookies analytiques : événements PostHog (pages visitées, clics, conversions) liés à un identifiant aléatoire
distinct_id, ainsi qu'un enregistrement de session (session replay). Vos CV, lettres de motivation, profil et adresse email ne sont jamais enregistrés dans les sessions — voir Politique cookies.
Données analytiques (si vous y consentez)
Lorsque vous acceptez les cookies via le bandeau, nous activons PostHog (EU Cloud)pour comprendre comment le service est utilisé : pages visitées, interactions, conversions, et enregistrement de session. Vos CV, lettres de motivation, profil et adresse email sont masqués et ne figurent jamais dans les sessions enregistrées. PostHog est désactivé par défaut et aucune donnée analytique n'est collectée avant votre consentement.
Données publicitaires (si vous y consentez)
Certaines pages publiques du site affichent de la publicité via Google AdSense. Les espaces dashboard et l'abonnement Boost en restent exempts. La diffusion publicitaire et la lecture de traceurs associés ne se déclenchent qu'après votre consentement explicitevia le bandeau cookies Implikare. Tant que vous n'avez pas consenti, aucune donnée publicitaire n'est collectée.
- Identifiants techniques déposés par Google (cookies
__gads,__gpi,IDE,NID) et identifiants publicitaires associés. - Données techniques transmises à Google pour le ciblage et la mesure : adresse IP, user-agent, URL de la page consultée, horodatage, interactions avec les annonces (impressions, clics).
- Si la publicité personnalisée est refusée, Google diffuse des annonces non personnalisées en s'appuyant uniquement sur le contexte de la page et des données techniques limitées.
Vous pouvez retirer votre consentement à tout moment via le bandeau cookies. Le détail des traceurs figure dans la Politique cookies.
3. Finalités et bases légales
Pourquoi nous traitons ces données
| Traitement | Base légale (RGPD) | Conservation |
|---|---|---|
| Création et gestion du Compte | Exécution du contrat (art. 6.1.b) | Tant que le Compte est actif |
| Stockage et traitement des CV, analyses, lettres, reformulations | Exécution du contrat (art. 6.1.b) | Tant que le Compte est actif |
| Facturation et abonnement Boost (à venir) | Exécution du contrat + obligation légale (art. 6.1.b et c) | 10 ans après dernière transaction (art. L102 B LPF) |
| Logs techniques et sécurité | Intérêt légitime (art. 6.1.f) | 12 mois glissants |
| Rapports d'erreurs (Sentry) — monitoring qualité du service | Intérêt légitime (art. 6.1.f) | 90 jours (politique Sentry) |
| Mesure d'audience produit et session replay (PostHog) | Consentement (art. 6.1.a) | 12 mois après la dernière visite |
| Affichage de publicités Google AdSense (personnalisées ou non) sur les pages publiques | Consentement (art. 6.1.a) | Selon la durée de vie des cookies AdSense (jusqu'à 13 mois pour IDE, 6 mois pour NID) |
| Emails transactionnels (vérification email, reset password, notifications) | Exécution du contrat (art. 6.1.b) | Durée de vie du Compte |
4. Destinataires et sous-traitants
Avec qui nous partageons vos données
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles sont accessibles à Iliès Mahoudeau et, strictement pour les besoins du service, aux sous-traitants suivants encadrés par des contrats conformes à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH SAS | Hébergement des serveurs | France (UE) |
| Cloudflare, Inc. | Stockage objet (CV, avatars, sauvegardes) | États-Unis — bucket UE (Western Europe) |
| Mistral AI SAS | Modèles IA : analyse ATS, reformulation de phrases, enrichissement profil | France (UE) |
| Anthropic, PBC | Modèles IA : lettres de motivation, génération CV | États-Unis |
| Stripe Payments Europe Ltd | Paiement de l'abonnement Boost | Irlande (UE) — sous-traitance US |
| Sentry (Functional Software, Inc.) | Monitoring des erreurs — intérêt légitime, sans consentement préalable | États-Unis (DPF) |
| PostHog Inc. (EU Cloud) | Analytics produit et session replay, sous consentement uniquement | Allemagne (UE) |
| Google LLC (AdSense) | Diffusion publicitaire sur les pages publiques, sous consentement uniquement | États-Unis (DPF) |
5. Transferts en dehors de l'Union européenne
Garanties pour les transferts UE → US
Cloudflare (stockage), Anthropic (modèles IA pour les lettres de motivation), Google LLC (AdSense, sous consentement uniquement) et Sentry (monitoring des erreurs) sont établis aux États-Unis. Les transferts vers ces prestataires sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914), incluses dans les contrats de sous-traitance.
- La certification au Data Privacy Framework (DPF) UE-US, qui établit un niveau de protection adéquat reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023. Cloudflare, Anthropic, Google LLC et Sentry sont certifiés DPF.
Pour les autres sous-traitants (OVH, Mistral AI, Stripe Europe, PostHog EU Cloud), les traitements ont lieu intégralement dans l'Union européenne.
6. Vos droits
Ce que vous pouvez exiger
En application des articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données :
- Accès — obtenir une copie des données vous concernant.
- Rectification — faire corriger une donnée inexacte ou incomplète.
- Effacement(« droit à l'oubli ») — demander la suppression de vos données, hors obligations légales de conservation.
- Opposition— vous opposer à un traitement fondé sur l'intérêt légitime.
- Limitation— demander le gel du traitement le temps d'une vérification.
- Portabilité — récupérer vos données dans un format structuré et lisible par machine.
- Retrait du consentement — pour les traitements fondés sur le consentement (cookies analytiques notamment), à tout moment et sans justification.
- Directives post-mortem — définir le sort de vos données après votre décès.
Pour exercer un droit, contactez contact@implikare.com avec un moyen de prouver votre identité (email du Compte, ou pièce d'identité en cas de doute). Nous nous engageons à répondre dans un délai d'un mois maximum (article 12.3 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : cnil.fr/fr/plaintes.
7. Sécurité
Mesures techniques et organisationnelles
Nous mettons en œuvre des mesures proportionnées au risque, parmi lesquelles :
- Hashage des mots de passe avec bcrypt (cost 12), conformément aux recommandations OWASP.
- Authentification par jetons JWT RS256 signés (15 minutes pour le token d'accès, 30 jours pour le refresh, avec rotation à chaque utilisation pour détecter le vol).
- Chiffrement des communications en TLS 1.2+, HSTS activé.
- En-têtes de sécurité (Helmet, CSP, X-Frame-Options, Referrer-Policy).
- Sauvegardes quotidiennes de la base de données, chiffrées en transit (TLS) et stockées hors-site sur Cloudflare R2 avec rétention 14 jours.
- Accès aux données limité au strict nécessaire et restreint à Iliès Mahoudeau.
8. Cookies
Voir la politique dédiée
Le détail des cookies utilisés, leur finalité et la manière de les gérer sont décrits dans la Politique cookies.
9. Extension navigateur
Données traitées par l'extension Chrome
Si vous installez l'extension Chrome Implikare, les traitements suivants s'ajoutent à ceux décrits ci-dessus.
- Données de session: après connexion, l'extension stocke dans le stockage local de votre navigateur un jeton de rafraîchissement (opaque) et une copie de votre nom et adresse e-mail, afin de vous maintenir connecté et d'afficher votre état dans la fenêtre de l'extension. Ce jeton est révocable à tout moment (déconnexion depuis l'extension ou depuis votre compte).
- Données de candidature: lorsque vous envoyez une candidature sur un jobboard supporté (LinkedIn, Indeed, France Travail, HelloWork, Welcome to the Jungle, JobTeaser, La Bonne Alternance), l'extension lit, sur la page de l'offre concernée, l'intitulé du poste, le nom de l'entreprise et l'URL de l'offre, puis les enregistre dans votre tracker Implikare. Aucune autre page, aucun historique de navigation et aucune frappe clavier ne sont collectés.
- Finalité et base légale: ces traitements ont pour seule finalité d'alimenter votre tracker de candidatures (exécution du service, article 6.1.b RGPD). Les données ne sont ni vendues ni transmises à des tiers à des fins publicitaires.
- Contrôle: aucune donnée n'est transmise tant que vous n'êtes pas connecté. Vous pouvez supprimer une candidature à tout moment depuis votre dashboard et désinstaller l'extension pour effacer les données de session locales.
10. Mineurs
Âge minimum d'utilisation
Le service est ouvert aux personnes âgées de 15 ans ou plus (article 45 de la loi du 6 janvier 1978 modifiée, qui transpose l'article 8 du RGPD). Les utilisateurs de moins de 15 ans doivent obtenir le consentement préalable du titulaire de l'autorité parentale, qui doit pouvoir être justifié sur simple demande.
11. Modifications de la politique
Évolution du document
En cas de modification substantielle de la présente politique, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La date de dernière mise à jour, affichée en haut de cette page, fait foi pour identifier la version applicable.