Politique de confidentialité
Dernière mise à jour : 6 avril 2026
1. Responsable du traitement
Bastion IT — Vincent Puget
Besançon, France
Email : dpo@vibe4us.com
SIRET : en cours d'immatriculation
Délégué à la Protection des Données (DPO) : Vincent Puget — dpo@vibe4us.com
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement de la Plateforme (principe de minimisation, article 5 du RGPD).
2.1 Données fournies par l'utilisateur
| Donnée | Finalité | Base légale |
|---|---|---|
| Email, mot de passe (hashé) | Authentification | Contrat |
| Prénom, nom | Affichage profil | Contrat |
| Ville, coordonnées GPS | Matching géographique | Contrat |
| Compétences techniques | Algorithme matching | Contrat |
| Soft skills, valeurs, style de travail | Algorithme matching | Contrat |
| Salaire souhaité, type de contrat | Algorithme matching | Contrat |
| Photo / avatar | Affichage profil | Consentement |
| SIRET (employeurs) | Vérification entreprise | Intérêt légitime |
| Messages | Messagerie | Contrat |
| Vérification d'identité (résultat oui/non) | Badge Certifié | Consentement |
2.2 Données NON collectées
Conformément à l'article L1132-1 du Code du travail et à l'article 9 du RGPD, nous ne collectons JAMAIS :
- L'âge ou la date de naissance
- Le sexe ou le genre
- L'origine ethnique ou la nationalité
- La religion ou les convictions philosophiques
- L'orientation sexuelle
- Les opinions politiques ou l'appartenance syndicale
- L'état de santé ou le handicap
- La situation familiale ou la grossesse
- L'apparence physique
Ces données n'existent pas dans notre base de données et ne peuvent pas être utilisées par notre algorithme.
2.3 Données collectées automatiquement
- Adresse IP (sécurité, anti-fraude) — base légale : intérêt légitime
- Date de dernière connexion — base légale : contrat
- Cookies essentiels (session, authentification) — base légale : strictement nécessaire (exempté de consentement)
Nous n'utilisons aucun cookie publicitaire, aucun tracker tiers, aucun pixel de suivi.
3. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Durée de l'inscription |
| Compte inactif (>24 mois sans connexion) | Anonymisation ou suppression après notification |
| Après suppression de compte | Suppression sous 30 jours (7 jours de rétractation + traitement) |
| Données de paiement (factures) | 10 ans (obligation comptable, article L123-22 du Code de commerce) |
| Logs de sécurité (IP, tentatives de connexion) | 12 mois (recommandation CNIL) |
4. Destinataires des données
Vos données sont accessibles uniquement :
- Bastion IT : équipe technique et administrative (accès restreint, journalisé).
- Google (authentification OAuth, optionnelle) : si l'utilisateur choisit de se connecter via Google, son adresse email et son nom sont transmis par Google à la Plateforme. Aucune autre donnée Google n'est collectée (contacts, agenda, etc.). Base légale : consentement. Politique Google.
- Stripe (paiement) : données de transaction uniquement. Stripe est certifié PCI-DSS et conforme au RGPD. Politique Stripe.
- Brevo (emails transactionnels) : adresse email uniquement, pour l'envoi de notifications liées au service (vérification de compte, alertes de match, rappels). Aucun email publicitaire sans consentement explicite. Politique Brevo.
- Didit (vérification d'identité KYC, optionnelle) : pièce d'identité et selfie traités par Didit pour vérification. vibe4us ne stocke jamais vos documents d'identité. Seul le résultat (vérifié oui/non) est conservé. Base légale : consentement explicite. Politique Didit.
- Hébergeur : OVH SAS — 2 rue Kellermann, 59100 Roubaix, France. Données stockées en France / UE.
Nous ne vendons, ne louons et ne partageons JAMAIS vos données avec des tiers à des fins commerciales ou publicitaires.
5. Transferts internationaux
Vos données sont hébergées en France. En cas de recours à un sous-traitant hors UE (ex: Stripe Inc., États-Unis), le transfert est encadré par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) ou par des clauses contractuelles types (CCT) approuvées par la Commission européenne.
6. Sécurité des données
- Mots de passe hashés avec argon2id (recommandation OWASP).
- Connexions chiffrées en HTTPS/TLS.
- Accès à la base de données restreint par réseau isolé (Docker).
- Protection contre les injections SQL (ORM Prisma).
- Validation et assainissement de toutes les entrées utilisateur.
- Rate limiting sur les routes d'authentification.
- Pare-feu (UFW) et système anti-intrusion (Fail2ban).
7. Vos droits (RGPD, articles 15 à 22)
Vous disposez des droits suivants sur vos données personnelles :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès | Obtenir une copie de vos données | Paramètres > Exporter mes données |
| Rectification | Corriger vos données | Modifier votre profil |
| Effacement | Supprimer votre compte et vos données | Paramètres > Supprimer mon compte |
| Portabilité | Récupérer vos données en format JSON | Paramètres > Exporter mes données |
| Opposition | Vous opposer à un traitement | Email à dpo@vibe4us.com |
| Limitation | Restreindre le traitement | Email à dpo@vibe4us.com |
Délai de réponse : 30 jours maximum (article 12.3 du RGPD).
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.
8. Transparence algorithmique
Conformément au Digital Services Act (Règlement UE 2022/2065), nous décrivons ci-dessous le fonctionnement de notre algorithme de matching.
8.1 Architecture de l'algorithme
L'algorithme de compatibilité est bidirectionnel : il mesure à la fois si le candidat correspond à ce que l'employeur recherche, ET si l'employeur correspond à ce que le candidat attend. Le score final est une combinaison équilibrée des deux directions.
Il s'articule en 4 couches :
- Critères éliminatoires (dealbreakers) : vérification binaire des deux côtés (contrat, salaire, télétravail, compétences obligatoires, secteurs exclus). Si un critère échoue, le score est 0 et le profil n'est pas proposé.
- Scores par catégorie (0-100 chacun) : compétences techniques, compétences humaines, valeurs/culture, conditions de travail.
- Pondération : chaque catégorie a un poids configurable (par défaut : compétences techniques 30%, compétences humaines 20%, valeurs/culture 30%, conditions 20%).
- Seuil : seuls les profils au-dessus du seuil de pertinence (configurable, par défaut 60%) sont proposés.
8.2 Méthodes mathématiques utilisées
L'algorithme repose exclusivement sur des méthodes mathématiques et statistiques validées par la littérature scientifique :
| Composant | Méthode | Référence |
|---|---|---|
| Compétences humaines (soft skills) | Similarité cosinus (cosine similarity) | Salton, G. (1989). Automatic Text Processing |
| Avantages / attentes | Similarité cosinus | Standard en systèmes de recommandation |
| Style de travail | Similarité cosinus sur encodage ordinal | Réponses converties en positions numériques sur un spectre |
| Personnalité professionnelle | Similarité cosinus sur encodage ordinal | Idem |
| Valeurs (recouvrement) | Indice de Jaccard | Jaccard, P. (1912). The distribution of the flora in the alpine zone |
| Valeurs (classement) | Corrélation de rang de Spearman | Spearman, C. (1904). The proof and measurement of association |
| Expérience | Distribution gaussienne | Fonction standard e-x²/2σ² |
| Compétences techniques | Jaccard pondéré + ratio de niveau | Standard en competency matching |
| Score final | MCDM (Multi-Criteria Decision Making) pondéré | Discipline établie en recherche opérationnelle |
8.3 Garanties
- L'algorithme n'utilise aucun critère discriminatoire au sens de l'article L1132-1 du Code du travail. Les données d'âge, genre, origine, religion, orientation sexuelle, situation familiale, handicap ou apparence physique ne sont ni collectées ni stockées.
- L'algorithme n'utilise aucun apprentissage automatique (machine learning) basé sur les historiques d'embauche, évitant ainsi tout risque de reproduction de biais discriminatoires passés.
- Les profils « boostés » (fonctionnalité Premium/Pro) apparaissent en priorité dans les résultats. Ce classement privilégié est clairement signalé.
- Aucune décision entièrement automatisée n'est prise. La décision de recrutement reste à la discrétion exclusive du candidat et de l'employeur.
- Les pondérations de l'algorithme sont configurables et pourront être ajustées sur la base de données anonymisées de résultats réels (taux d'embauche, satisfaction). Toute modification sera documentée et versionée.
- Le score de compatibilité est explicable : chaque utilisateur peut consulter le détail de son score catégorie par catégorie (selon son plan).
9. Cookies
La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Ces cookies sont exemptés de consentement conformément aux lignes directrices de la CNIL.
Nous n'utilisons aucun cookie publicitaire, analytique ou de suivi tiers.
10. Modification
Toute modification substantielle de la présente politique sera notifiée par email au moins 30 jours avant son entrée en vigueur.