Politique de confidentialité
Version v1.2-2026-06-11 · En vigueur depuis le 11 juin 2026
1. Responsable de traitement et DPO
Profeeld - Entreprise individuelle représentée par Godefroy Grandin [En cours de création]. Contact pour toute demande relative à vos données : contact@profeeld.com. Profeeld n'a pas désigné de DPO externe (early stage, traitements non sensibles à grande échelle au sens art. 37 RGPD) ; les missions DPO sont exercées en interne par le fondateur.
2. Finalités, bases légales, données
| Traitement | Finalité | Base légale | Données |
|---|---|---|---|
| Bilan Profeeld | Bilan de positionnement | Art. 6.1.b (contrat) | Email, prénom, réponses, score |
| Pack Job Hunter | Exécution service payant | Art. 6.1.b | Identité, paiement, usage agent |
| Import LinkedIn | Recos contacts, scripts | Art. 6.1.f intérêt légitime (LIA) | Nom, poste, entreprise, URL profil tiers |
| Purchase consents | Preuve waiver L221-28 13° | Art. 6.1.c + 6.1.b | Timestamp, IP, version CGV |
| Analytics PostHog | Mesure d'audience | Art. 6.1.a consentement (cookies) | Events, IP anonymisée |
| Sentry | Détection erreurs | Art. 6.1.f intérêt légitime | Logs techniques minimisés |
| Emails Resend | Transactionnel | Art. 6.1.b | Email + contenu transactionnel |
| Nurture / Prospection | Relance commerciale après le bilan | Art. 6.1.a (consentement) | Email, prénom, stade |
3. Destinataires et sous-traitants
- Supabase (hébergement DB + auth, UE - Francfort)
- Vercel (hébergement frontend, US/UE)
- Stripe (paiement, US/UE - PCI-DSS)
- Resend (email transactionnel, US)
- PostHog (analytics, instance UE)
- Sentry (monitoring, instance UE)
- AI providers : Google (Gemini), Mistral (UE), Perplexity (US)
4. Durées de conservation
- Comptes actifs : durée du compte + 3 ans après dernier contact.
- LinkedIn imports : J+90 suppression auto.
- Purchase consents : 5 ans (prescription contractuelle).
- Consentement prospection (nurture) : preuve conservée 3 ans après le dernier contact, ou jusqu'au retrait du consentement (désinscription en un clic dans chaque email).
- Analytics : 12 mois (PostHog), 90 jours (Sentry).
- Factures : 10 ans (obligation comptable).
5. Droits des personnes (art. 15 à 22 RGPD)
- Accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20), opposition (art. 21), retrait du consentement à tout moment.
- Exercice : contact@profeeld.com. SLA réponse : 72h (engagement Profeeld), traitement complet < 1 mois (art. 12.3 RGPD).
- Réclamation possible auprès de la CNIL (www.cnil.fr).
6. Import LinkedIn (information art. 14 pour les tiers)
Les contacts LinkedIn (relations 1er degré) d'un utilisateur Profeeld sont traités sur la base de l'intérêt légitime (LIA documentée chiffrée). Données : nom, prénom, poste, entreprise, URL profil public. Pas de données sensibles. Pas d'enrichissement externe, pas de revente.
L'information individuelle aux tiers est dispensée au titre de l'art. 14.5.b RGPD (effort disproportionné — volume estimé < 500 contacts par utilisateur, coût marginal de notification individuelle disproportionné par rapport au risque résiduel sur la base d'une LIA chiffrée). Tout tiers peut exercer son droit d'opposition par deux canaux : (1) email à contact@profeeld.com, (2) formulaire dédié sur /legal/dpo (sélection "opposition" + URL de profil LinkedIn comme identifiant). Suppression sous 72h. Suppression automatique J+90 dans tous les cas.
7. Transferts hors UE (chapitre V RGPD)
Une partie de nos données est hébergée et traitée dans l'Union européenne (base de données Supabase à Francfort, analytics PostHog et monitoring Sentry en instance UE, sous-traitant IA Mistral en France).
Certains sous-traitants traitent des données aux États-Unis (Stripe, Resend, Vercel, Google/Gemini, Perplexity). Pour ces transferts, nous nous appuyons sur :
- la décision d'adéquation EU-US Data Privacy Framework lorsque le sous-traitant est certifié (Stripe, Resend, Vercel, Google) ;
- à défaut, les Clauses Contractuelles Types de la Commission UE (décision 2021/914) prévues par le contrat de traitement du sous-traitant ;
- des mesures complémentaires : chiffrement en transit (TLS 1.3), chiffrement au repos, minimisation des données transmises.
Nous avons réalisé une analyse d'impact des transferts (Transfer Impact Assessment), disponible sur demande à contact@profeeld.com.
8. Décisions automatisées (art. 22 RGPD)
L'attribution d'un profil professionnel à l'issue du bilan repose sur un traitement automatisé (scoring interne) pour adapter les contenus du service. Cette décision est :
- prise sur la base de réponses fournies volontairement,
- nécessaire à l'exécution du service (art. 22.2.a),
- assortie du droit d'intervention humaine : tout utilisateur peut contester son stade ou demander un examen humain en écrivant à contact@profeeld.com (endpoint dédié, traitement < 72h).
L'utilisateur peut également exprimer son point de vue et obtenir une explication sur la logique du scoring.
9. Cookies et traceurs (art. 82 LIL) {#cookies}
Profeeld utilise un bandeau de consentement (PostHog opt-in). Cookies présents :
- Strictement nécessaires (auth Supabase, session) - exemptés de consentement, durée session.
- Mesure d'audience PostHog - consentement requis, opt-in explicite, pas d'écriture avant consentement. Durée 12 mois.
- Pas de cookies publicitaires, pas de partage tiers à fin marketing.
L'utilisateur peut retirer son consentement à tout moment via le lien "Cookies" en pied de page (réinitialise le bandeau).
10. Sécurité
Profeeld met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'art. 32 RGPD : isolation des données par utilisateur, chiffrement en transit (TLS 1.3) et au repos, authentification scopée côté serveur, audit logs, rotation régulière des clés API, monitoring des erreurs en production, secrets chiffrés dans l'environnement de déploiement.
11. Contact
contact@profeeld.com - réponse sous 72h.