andidAI
← candidai.me
Vie privée & données

Politique de confidentialité

Mise à jour · Mai 2026

§ 01Préambule

CandidAI s'engage à protéger la vie privée de ses utilisateurs. La présente politique décrit, en langage clair, quelles données nous collectons, pourquoi, combien de temps nous les conservons, et comment vous pouvez exercer vos droits.

Ce document est conforme à la loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.

Notre principe directeur : le minimum nécessaire. Le texte de votre CV est traité en mémoire lors de l'analyse et n'est jamais sauvegardé sur nos serveurs. Vos résultats d'analyse et lettres générées sont en revanche conservés dans votre espace pour que vous puissiez y revenir.

§ 02Responsable du traitement

Responsable
Maxence Yrowah, développeur indépendant
Pays
Côte d'Ivoire
Contact
contact@candidai.me

Pour toute demande relative à vos données personnelles, nous répondons sous 30 jours maximum.

§ 03Données collectées

Nous collectons trois catégories de données, toutes minimisées :

a · Données de compte

  • Email — pour authentification et communications de service
  • Mot de passe — stocké haché (bcrypt), jamais en clair
  • Solde de créditset historique d'achats

b · Données d'usage

  • Texte du CV— extrait localement dans votre navigateur, transmis à l'IA pour analyse, non sauvegardé sur nos serveurs
  • Texte de l'offre d'emploi— sauvegardé avec le résultat d'analyse pour permettre la consultation de l'historique
  • Résultats d'analyse — score, diagnostic, recommandations — sauvegardés dans votre espace et consultables à tout moment
  • Lettres et candidatures générées — sauvegardées dans votre espace
  • Métadonnées d'action— date, type d'outil utilisé, crédits consommés (pour la facturation)
  • Retours sur les outils IA — si vous utilisez les boutons de satisfaction (👍 / 👎) après une génération, votre évaluation et les préférences de style qui en sont déduites sont conservées dans votre compte pour personnaliser vos prochaines générations. Ces données ne sont pas partagées et restent liées à votre compte.

c · Données techniques

  • Adresse IP — anonymisée avant journalisation
  • User-agent — type de navigateur, OS (à des fins de compatibilité)

§ 04Finalités du traitement

Service
Fournir l'analyse de CV, générer les rapports, gérer votre compte et vos achats de crédits
Historique
Conserver vos analyses, lettres et candidatures pour que vous puissiez y revenir
Facturation
Émission des factures, conservation comptable
Support
Vous répondre quand vous nous écrivez
Sécurité
Détection des abus, prévention de la fraude, intégrité du système
Personnalisation IA
Adapter le style des générations futures (lettres, optimisations CV) à vos préférences exprimées via les retours 👍 / 👎

Aucun CV ou offre individueln'est utilisé pour entraîner des modèles d'IA.

§ 05Base légale

Chaque traitement repose sur une base légale précise au sens de la loi n° 2013-450 :

Compte & analyses
Nécessité à l'exécution du contrat
Facturation
Obligation légale
Sécurité, anti-fraude
Intérêt légitime du responsable de traitement

§ 06Durées de conservation

Texte du CV
Traité en mémoire · non stocké
Résultats d'analyse
Conservés dans votre espace tant que votre compte est actif
Lettres générées
Conservées dans votre espace tant que votre compte est actif
Données de compte
Durée d'activité du compte + 3 ans après dernière utilisation
Logs techniques
12 mois
Factures
10 ans (obligation comptable et fiscale)
Données de paiement
Jamais traitées par CandidAI — gérées intégralement par Paystack
Compte supprimé
Suppression effective sous 30 jours après votre demande

§ 07Vos droits

Conformément à la loi n° 2013-450, vous disposez des droits suivants :

  • Accès — obtenir une copie des données vous concernant
  • Rectification — corriger une donnée inexacte
  • Effacement — supprimer votre compte et vos données
  • Portabilité — récupérer vos données dans un format ouvert (JSON)
  • Limitation— geler l'utilisation de vos données
  • Opposition— vous opposer à un traitement fondé sur l'intérêt légitime

Pour exercer ces droits, écrivez à contact@candidai.me. Nous répondons sous 30 jours, gratuitement.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'ARTCI (Autorité de Régulation des Télécommunications/TIC de Côte d'Ivoire) via la Commission Informatique et Libertés (CIL).

§ 08Cookies & traceurs

Notre politique cookies est volontairement minimale :

Session
Cookie d'authentification (essentiel, durée 30 jours). Sans consentement requis.
CSRF
Jeton anti-falsification (essentiel, session)
Préférences
Langue, mode clair/sombre (localStorage, pas un cookie)
Vercel Analytics
Mesure d'audience anonyme intégrée à notre hébergeur Vercel. Sans cookie, sans identifiant persistant, sans croisement de données. Seules des métriques agrégées sont collectées (pages vues, performances). Aucune donnée personnelle transmise.

Aucuncookie publicitaire, pixel Facebook, Google Analytics, ou traceur tiers n'est posé.

§ 09Partage avec des tiers

Nous travaillons avec un nombre restreint de sous-traitants techniques :

Anthropic, PBC
Modèle Claude — traitement de l'analyse IA. Données transmises en transit chiffré. Anthropic ne réutilise pas vos données pour entraîner ses modèles (accord DPA).
Vercel Inc.
Hébergement de l'application et mesure d'audience anonyme (Vercel Analytics — cookieless). Serveurs Europe (Francfort).
Upstash Inc.
Cache Redis serverless utilisé pour le rate limiting (limitation du nombre de requêtes par IP/compte, prévention des abus). Seuls des identifiants de session anonymisés transitent — aucune donnée de contenu.
Supabase Inc.
Base de données (authentification, historique, crédits). Données chiffrées au repos.
Paystack
Traitement des paiements. CandidAI ne reçoit jamais vos informations de carte.
Zoho Mail
Emails transactionnels (confirmation, réinitialisation de mot de passe, support).

Aucune revente, aucun partage commercial de vos données.

§ 10Sécurité

  • HTTPS partout (TLS 1.3) — aucun trafic en clair
  • Chiffrement au repos sur la base de données
  • Mots de passe hachés avec bcrypt, jamais en clair
  • Sessions avec rotation de jeton et invalidation à la déconnexion
  • Rate limiting — limitation des requêtes par IP et par compte via Upstash Redis (protection contre les abus et les attaques par force brute)
  • Protection double-débit— déduction de crédits atomique (Compare-And-Swap) pour garantir qu'un crédit ne peut être consommé deux fois
  • Vérification webhook — signature Paystack re-vérifiée côté serveur à chaque callback de paiement
  • Backup chiffré quotidien, conservé 30 jours

En cas de violation de données, les utilisateurs concernés seront notifiés dans les meilleurs délais conformément à la loi n° 2013-450.

§ 11Transferts internationaux

Vercel et Anthropic ont leur siège aux États-Unis ; Supabase et Paystack opèrent également hors de Côte d'Ivoire. Ces transferts sont encadrés par des accords contractuels garantissant un niveau de protection adéquat des données, conformément à la loi n° 2013-450 (art. 54 et suivants).

Pour l'analyse IA, les données circulent en transit chiffré, ne sont pas persistées chez Anthropic et ne servent pas à l'entraînement de modèles. Les serveurs applicatifs sont hébergés en Europe (Francfort) par Vercel.

§ 12Mineurs

CandidAI n'est pas destiné aux personnes de moins de 18 ans. Si vous avez moins de 18 ans, vous devez obtenir l'accord de vos parents ou tuteurs légaux avant de créer un compte.

§ 13Modifications de la politique

Cette politique peut être modifiée pour refléter des évolutions du service ou de la réglementation. Toute modification substantielle est notifiée par email aux utilisateurs actifs. La date de dernière mise à jour figure en haut de cette page.

Contact & support : contact@candidai.me · Maxence Yrowah, développeur indépendant · Côte d'Ivoire