- Chiffrement au repos
- Tous les CV et les enregistrements d'analyse sont stockés sur Google Cloud Storage chiffré en AES-256. Le chiffrement est géré par Google Cloud et appliqué à chaque fichier par défaut.
- Chiffrement en transit
- Tout le trafic entre votre navigateur, notre service et le stockage passe par TLS 1.2+. Nous n'autorisons aucune connexion en HTTP simple.
- Isolation des locataires
- Architecture multicliente par conception, isolée par identifiant de locataire au niveau du contrôle d'accès. Vos requêtes ne peuvent renvoyer que vos enregistrements - appliqué côté serveur, pas seulement masqué dans l'interface.
- Authentification
- E-mail + mot de passe avec exigences de robustesse strictes, plus le SSO en option (SAML 2.0 / OIDC) sur Enterprise. Tout accès exige une réauthentification à l'expiration de la session.
- Localisation des données
- La région par défaut est les États-Unis (Google Cloud us-central1). Les clients Enterprise peuvent demander une localisation dans l'UE ou au Canada dans le cadre de leur DPA.
- Sauvegardes
- Sauvegardes quotidiennes chiffrées avec restauration à un instant précis sur 30 jours. Les sauvegardes restent dans la même région de localisation que vos données en production.
- Conservation et suppression
- Les CV sont conservés tant que vous gardez l'analyse. La suppression d'une analyse purge les CV immédiatement ; les sauvegardes disparaissent sous 30 jours. La suppression au niveau du compte sur demande est définitive.
- Aucun entraînement, aucun partage
- Nous n'utilisons pas les CV des clients pour entraîner un quelconque modèle. Nous ne partageons jamais les CV, les analyses ou les données de candidats avec des tiers à des fins marketing ou comparatives.
- Sous-traitants
- Nous faisons appel à un petit ensemble de fournisseurs d'infrastructure sélectionnés (Google Cloud pour le stockage et le calcul ; Stripe pour la facturation des forfaits payants ; un fournisseur d'e-mails pour les courriers transactionnels). La liste actuelle est disponible sur demande et sera publiée avant tout changement.
- Contrôles d'accès (internes)
- L'accès aux données de production requiert une approbation nominative, est journalisé, et n'est accordé que pour les cas de support explicites que vous avez ouverts. Il n'existe aucune voie « pour simplement jeter un œil » à vos données.
- Réponse aux incidents
- Si un incident de sécurité touche vos données, nous vous prévenons par écrit sous 72 heures avec une description, le périmètre et un plan de remédiation.
- Conformité
- Nous suivons les principes du RGPD en matière de minimisation des données, d'accès et de suppression. Les contrats Enterprise peuvent inclure un avenant relatif au traitement des données (DPA). Les attestations formelles SOC 2 / ISO 27001 figurent à notre feuille de route ; contactez-nous pour notre questionnaire de sécurité actuel.
Une ligne en toute honnêteté : nous sommes une jeune entreprise. Nous ne revendiquons pas de certifications que nous n'avons pas. Ce que nous avons, en revanche, c'est une politique claire, une architecture propre et la volonté de vous l'engager par écrit.