Vie privée
Politique de confidentialité
Chez Matchaa, nous traitons tes données personnelles avec respect et transparence, conformément au RGPD (Règlement Général sur la Protection des Données).
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via matchaa.fr est :
- Nom : [TON NOM COMPLET — à compléter]
- Email DPO / contact : hello@matchaa.fr
2. Données collectées
Matchaa collecte uniquement les données strictement nécessaires au fonctionnement du service :
Données de compte
- Adresse email (identifiant du compte)
- Prénom (optionnel, renseigné volontairement)
Données d'utilisation
- Texte des CV soumis (pour générer les adaptations)
- Texte des offres d'emploi soumises
- CV adaptés et lettres générées (historique)
- Statistiques d'utilisation (nombre d'adaptations, plan actuel)
Données de paiement
- Identifiant client Stripe (référence anonymisée)
- Plan souscrit et dates de renouvellement
- Les données de carte bancaire ne transitent jamais par nos serveurs — elles sont traitées directement par Stripe.
Données techniques
- Hash de l'adresse IP (haché avec un sel secret — non réversible) pour le rate limiting
- Cookies de session (HttpOnly, nécessaires à l'authentification)
3. Finalités du traitement
- Fournir le service d'adaptation de CV (finalité principale)
- Authentifier les utilisateurs et sécuriser les comptes
- Gérer les abonnements et les paiements
- Limiter les abus (rate limiting, anti-spam)
- Améliorer le service (statistiques agrégées et anonymisées)
- Envoyer les emails transactionnels (lien de connexion, confirmation d'achat)
4. Base légale
- Exécution du contrat : traitement du CV et génération des adaptations.
- Intérêt légitime : sécurité, rate limiting, amélioration du service.
- Consentement : emails marketing (si acceptés — actuellement non proposé).
- Obligation légale : conservation des données de facturation.
5. Durée de conservation
- Données de compte actif : conservées jusqu'à suppression du compte.
- Historique des adaptations : conservé pendant la durée du compte, supprimé avec lui.
- Logs techniques (IP hashée) : conservés 90 jours maximum.
- Données de facturation : 10 ans (obligation légale française).
6. Sous-traitants et destinataires
Matchaa fait appel aux sous-traitants suivants pour assurer le service. Tous ont été sélectionnés pour leur conformité RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification | USA (AWS us-east-1) |
| Vercel | Hébergement, serveur | USA |
| OpenRouter / Anthropic / DeepSeek | Traitement IA des CV | USA |
| Stripe | Paiements en ligne | USA / UE |
| Resend | Emails transactionnels | USA |
Transferts hors UE : certains sous-traitants sont basés aux États-Unis. Les transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne ou par le mécanisme EU-US Data Privacy Framework.
7. Tes droits
Conformément au RGPD, tu disposes des droits suivants sur tes données :
- Droit d'accès : obtenir une copie de tes données (bouton "Exporter mes données" dans les Paramètres).
- Droit de rectification : corriger tes informations personnelles.
- Droit à l'effacement : supprimer ton compte et toutes tes données (bouton "Supprimer mon compte" dans les Paramètres).
- Droit à la portabilité : exporter tes données au format JSON.
- Droit d'opposition : contacter hello@matchaa.fr pour toute opposition.
Pour exercer tes droits, rends-toi dans Paramètres ou contacte-nous à hello@matchaa.fr. Nous répondons dans un délai de 30 jours.
Tu as également le droit d'introduire une réclamation auprès de la CNIL.
8. Cookies
Matchaa utilise uniquement des cookies strictement nécessaires :
- Cookies de session Supabase : permettent de maintenir la connexion. HttpOnly, SameSite=Lax. Durée : session + 1 semaine.
- LocalStorage : sauvegarde temporaire du texte du CV et de l'offre dans ton navigateur (pas transmis à nos serveurs tant que tu ne lances pas l'adaptation).
Aucun cookie publicitaire ni de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est utilisé.
9. Sécurité
Matchaa met en œuvre des mesures de sécurité adaptées :
- Connexion HTTPS/TLS obligatoire sur tout le site.
- Authentification sans mot de passe (lien magique) — réduit les risques de compromission.
- Row Level Security (RLS) en base de données — chaque utilisateur n'accède qu'à ses propres données.
- Clés d'API stockées côté serveur uniquement, jamais exposées au navigateur.
Dernière mise à jour : avril 2026