Légal
Politique de confidentialité
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement est :
- —Arnaud Lasserre — Entrepreneur individuel
- —SIREN : 100 137 959
- —Adresse : 14 rue du 8 mai 1945, 32600 L'Isle Jourdain, France
Nos serveurs sont hébergés en France (Union européenne).
Pour toute question relative à la confidentialité : privacy@entrevia.dev
2. Données collectées
Nous collectons uniquement ce qui est nécessaire pour fournir le Service :
Données de compte (si vous vous connectez)
Adresse e-mail, nom d'affichage et photo de profil depuis votre fournisseur OAuth (Google ou GitHub), ou uniquement votre adresse e-mail si vous utilisez un lien magique. Nous ne recevons ni ne stockons vos mots de passe OAuth.
Données de session
Lors d'une session de révision, nous stockons les questions auxquelles vous avez répondu, vos auto-évaluations (0–3), le temps passé par question, les horodatages et, en mode simulation, vos réponses textuelles saisies. Si vous utilisez l'analyse AI, le score automatisé (0–3) et le feedback textuel générés par l'IA sont également stockés pour chaque réponse. Ces données alimentent votre suivi de progression.
Données techniques
Journaux serveur standard (adresse IP, type de navigateur, pages visitées) conservés 30 jours maximum à des fins de sécurité.
Signalements de questions
Si vous signalez une question, nous stockons la raison du signalement et votre commentaire optionnel, liés à votre compte.
Jetons OAuth
Lorsque vous vous connectez via Google ou GitHub, nous stockons temporairement les jetons d'accès et de rafraîchissement fournis par le fournisseur. Ces jetons sont supprimés lors de la suppression du compte.
Données d'erreur
En cas d'erreur, Sentry peut capturer une trace de pile et le contexte limité du navigateur. Nous avons configuré Sentry pour exclure autant que possible les réponses de simulation et les données de paiement des rapports d'erreur. Des données techniques limitées peuvent être capturées involontairement en cas d'erreur.
Données de facturation (si vous souscrivez)
Identifiant client Stripe et historique d'abonnement. Les numéros de carte ne transitent jamais par nos serveurs et sont gérés directement par Stripe (certifié PCI-DSS).
Offres d'emploi : Lorsque vous utilisez la fonctionnalité d'analyse d'offres d'emploi, les documents téléversés (PDF ou texte) sont traités de façon transitoire par notre prestataire d'IA (Anthropic PBC) pour en extraire les technologies mentionnées. Ces données ne sont pas conservées au-delà du traitement.
3. Finalités et bases légales
Fourniture du Service
Création de compte, authentification et suivi de progression (Art. 6.1.b RGPD — exécution du contrat).
Amélioration de la plateforme
Analyse agrégée et anonymisée des usages (Art. 6.1.f RGPD — intérêt légitime). Vous pouvez vous y opposer à tout moment.
Sécurité
Journaux serveur et monitoring d'erreurs (Art. 6.1.f RGPD — intérêt légitime).
E-mails transactionnels
Envoi du lien magique sur demande directe (Art. 6.1.b RGPD). Nous n'envoyons pas d'e-mails marketing sans consentement explicite.
4. Durées de conservation
- —Données de compte : conservées pendant la durée d'activité du compte. En cas d'inactivité de 3 ans, un email de confirmation est envoyé avant suppression automatique.
- —Données de session : conservées 12 mois maximum. Une purge automatique hebdomadaire supprime les données au-delà de cette période.
- —Jetons de vérification : les jetons expirés sont automatiquement supprimés lors de la purge hebdomadaire.
- —Journaux serveur : conservés 30 jours maximum.
- —Rapports d'erreur (Sentry) : conservés 90 jours.
5. Sous-traitants
Nous partageons des données avec les sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| GitHub OAuth | Authentification | US (CCT) |
| Google OAuth | Authentification | UE / US (CCT) |
| OVHcloud | Hébergement de l'infrastructure (base de données, serveur) | France (UE) |
| Resend | E-mails transactionnels (adresse e-mail uniquement) | US (CCT) |
| Sentry | Monitoring d'erreurs | US (CCT) |
| Stripe | Paiements | US (CCT) |
| Anthropic PBC | Scoring AI des réponses + analyse d'offres d'emploi | US (CCT) — pas de réutilisation pour l'entraînement |
CCT = Clauses contractuelles types approuvées par la Commission européenne.
6. Cookies et stockage local
Nous n'utilisons que les cookies et le stockage local strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire ou de tracking.
| Cookie | Finalité | Durée |
|---|---|---|
| authjs.session-token | Session d'authentification | 7 jours |
| authjs.callback-url | URL de redirection après connexion | Session |
| authjs.csrf-token | Protection CSRF | Session |
Notre application progressive (PWA) utilise également le cache navigateur et le stockage local (Cache Storage, localStorage) pour permettre l'accès hors ligne et améliorer les performances. Ces données restent sur votre appareil et ne sont pas transmises à nos serveurs.
7. Transferts internationaux de données
Nos serveurs sont hébergés en France (Union européenne). Certains de nos sous-traitants (Google, GitHub, Stripe, Sentry, Resend, Anthropic) opèrent aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne conformément à l'article 46.2.c du RGPD.
8. Mineurs
Le Service est destiné aux personnes âgées d'au moins 16 ans. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, contactez-nous à privacy@entrevia.dev et nous les supprimerons.
9. Vos droits (RGPD)
Si vous résidez dans l'EEE, vous disposez des droits suivants :
- —Accès : Demander une copie de vos données personnelles.
- —Rectification : Nous demander de corriger des données inexactes.
- —Effacement : Supprimer votre compte depuis les Paramètres (suppression immédiate et complète de toutes les données personnelles et de session) ou en nous contactant.
- —Limitation : Demander la limitation du traitement dans certains cas.
- —Portabilité : Recevoir vos données dans un format structuré et lisible. Un export JSON est disponible depuis les Paramètres de votre compte.
- —Opposition : Vous opposer au traitement fondé sur l'intérêt légitime.
- —Retrait du consentement : Si un traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
- —Réclamation : Déposer une plainte auprès de la CNIL sur cnil.fr.
Pour exercer ces droits : privacy@entrevia.dev. Nous répondons sous 30 jours. Pour les demandes complexes, ce délai peut être prolongé de deux mois supplémentaires, auquel cas nous vous en informerons dans le premier mois (Art. 12.3 RGPD).
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : connexions chiffrées (HTTPS/TLS), contrôles d'accès et mises à jour régulières des dépendances.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous en informerons dans les meilleurs délais conformément aux articles 33 et 34 du RGPD.
11. Modifications
Nous pouvons mettre à jour cette Politique ponctuellement. En cas de modification substantielle, nous vous notifierons par e-mail (si vous avez un compte) ou via une notice sur le Service.
12. Contact
Pour toute question : privacy@entrevia.dev.