CandyTrack

Politique de Confidentialite

Derniere mise a jour : 27 mars 2026

FrancaisEnglish

1. Informations sur le responsable du traitement

CandyTrack (« nous », « notre ») agit en qualite de responsable du traitement des donnees personnelles traitees via le service CandyTrack (disponible a l'adresse candytrack.app).

CandyTrack est exploite par un developpeur independant. Pour toute question relative a la protection des donnees, veuillez nous contacter a : contact@candytrack.app.

La presente Politique de Confidentialite s'applique a tous les utilisateurs du Service dans le monde et est concue pour etre conforme au Reglement General sur la Protection des Donnees de l'Union europeenne (RGPD), au California Consumer Privacy Act (CCPA), a la Lei Geral de Protecao de Dados bresilienne (LGPD), a la Loi sur la protection des renseignements personnels et les documents electroniques canadienne (PIPEDA), et aux autres lois internationales applicables en matiere de protection des donnees.

2. Types de donnees collectees

2.1 Donnees personnelles

Lorsque vous creez un compte et utilisez CandyTrack, nous collectons :

  • Donnees de compte : nom, adresse e-mail, photo de profil (si fournie via Google OAuth)
  • Donnees de candidature : noms d'entreprises, intitules de postes, statuts de candidature, dates, notes et toute autre information que vous saisissez concernant vos candidatures
  • Donnees de contacts : noms, adresses e-mail, numeros de telephone et autres coordonnees de contacts professionnels que vous ajoutez
  • Donnees de CV : documents et leur contenu que vous telechargez sur le Service
  • Donnees d'analyse IA : resultats generes par l'analyse IA de vos documents et candidatures
  • Donnees de paiement : informations de facturation traitees via Stripe (nous ne stockons pas les numeros de carte bancaire)
  • Donnees de preferences : preferences linguistiques, parametres de notification et autres preferences utilisateur

2.2 Donnees d'utilisation

Nous collectons automatiquement :

  • Adresse IP et localisation geographique approximative
  • Type et version du navigateur
  • Type d'appareil et systeme d'exploitation
  • Pages visitees, fonctionnalites utilisees et actions realisees au sein du Service
  • Date et heure d'acces
  • URL de provenance

2.3 Cookies et technologies similaires

Nous utilisons des cookies essentiels pour l'authentification et la gestion des sessions, ainsi que des cookies fonctionnels pour vos preferences. Nous n'utilisons pas de cookies publicitaires ni de cookies de suivi. Voir la Section 9 pour notre Politique complete en matiere de cookies.

3. Base juridique du traitement (Article 6 du RGPD)

Nous traitons vos donnees personnelles sur les bases juridiques suivantes, conformement a l'article 6(1) du RGPD :

  • Execution d'un contrat (Art. 6(1)(b)) : Traitement necessaire a la fourniture du Service, la gestion de votre compte, le traitement des abonnements et la mise a disposition des fonctionnalites que vous utilisez
  • Consentement (Art. 6(1)(a)) : Traitement de vos donnees via les fonctionnalites d'analyse IA lorsque vous choisissez explicitement de les utiliser ; envoi de communications marketing optionnelles
  • Interet legitime (Art. 6(1)(f)) : Amelioration et securisation du Service, analyse des usages pour ameliorer les fonctionnalites, prevention des fraudes et abus, reponse aux demandes de support
  • Obligation legale (Art. 6(1)(c)) : Traitement requis pour se conformer aux lois applicables, telles que les exigences fiscales et comptables pour les abonnements payants

Lorsque nous nous appuyons sur l'interet legitime, nous avons realise un test de mise en balance pour garantir que vos droits et libertes fondamentaux ne sont pas defavorablement affectes. Vous avez le droit de vous opposer a tout moment au traitement fonde sur l'interet legitime.

4. Utilisation des donnees

Nous utilisons vos donnees personnelles aux fins suivantes :

  • Fourniture du Service : Fournir, maintenir et ameliorer les fonctionnalites de CandyTrack
  • Gestion de compte : Creation et gestion de votre compte utilisateur, authentification de votre identite
  • Analyse IA : Traitement de vos documents et donnees de candidature pour generer des informations et recommandations (uniquement lorsque vous utilisez les fonctionnalites IA)
  • Traitement des paiements : Gestion des abonnements Pro, traitement des paiements et gestion des factures
  • Communications : Envoi d'e-mails transactionnels (verification de compte, reinitialisation de mot de passe, confirmations d'abonnement), notifications sur vos candidatures et mises a jour du Service
  • Securite : Detection et prevention des fraudes, acces non autorises et autres activites malveillantes
  • Analytique : Comprehension de l'utilisation du Service pour ameliorer les fonctionnalites et l'experience utilisateur (en utilisant des donnees agregees et anonymisees lorsque possible)
  • Conformite legale : Respect des lois, reglementations et procedures juridiques applicables

Nous ne vendons pasvos donnees personnelles a des tiers. Nous n'utilisons pasvos donnees pour des prises de decision automatisees produisant des effets juridiques ou des effets significatifs similaires sur vous, au-dela des fonctionnalites d'analyse IA que vous utilisez volontairement.

5. Partage des donnees avec des tiers

Nous partageons vos donnees avec les prestataires de services tiers suivants, chacun agissant en qualite de sous-traitant pour notre compte :

5.1 Supabase (base de donnees et authentification)

  • Donnees partagees : Toutes les donnees utilisateur stockees dans le Service (informations de compte, donnees de candidature, contacts, donnees CV)
  • Finalite : Hebergement de la base de donnees, authentification des utilisateurs et stockage des donnees
  • Localisation : Les donnees peuvent etre traitees dans l'UE ou aux Etats-Unis selon la region du projet Supabase
  • Politique de confidentialite : https://supabase.com/privacy

5.2 Vercel (hebergement et deploiement)

  • Donnees partagees : Adresses IP, donnees d'utilisation, journaux de requetes
  • Finalite : Hebergement de l'application web et diffusion du contenu
  • Localisation : CDN mondial avec des points de presence partout dans le monde
  • Politique de confidentialite : https://vercel.com/legal/privacy-policy

5.3 Stripe (traitement des paiements)

  • Donnees partagees : Adresse e-mail, informations de facturation, details de paiement
  • Finalite : Traitement securise des paiements d'abonnement Pro
  • Localisation : Etats-Unis (avec des capacites de traitement des donnees dans l'UE)
  • Politique de confidentialite : https://stripe.com/privacy
  • Note : Stripe est certifie PCI DSS Niveau 1. Nous ne stockons pas les numeros de carte bancaire.

5.4 Google (authentification OAuth)

  • Donnees partagees : Jetons d'authentification ; Google partage votre nom, e-mail et photo de profil avec nous lors de la connexion
  • Finalite : Fournir une methode de connexion securisee et pratique
  • Localisation : Etats-Unis (avec une infrastructure mondiale)
  • Politique de confidentialite : https://policies.google.com/privacy

5.5 Groq (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://groq.com/privacy-policy
  • Note : Les donnees envoyees a Groq sont utilisees uniquement pour traiter votre requete et ne sont pas utilisees pour entrainer leurs modeles.

5.6 Anthropic (analyse IA - plan Pro)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://www.anthropic.com/privacy
  • Note : Les donnees envoyees via l'API ne sont pas utilisees pour entrainer les modeles d'Anthropic.

5.7 Google Gemini (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://ai.google/static/documents/google-gemini-privacy-notice.pdf
  • Note : Les donnees envoyees via l'API Gemini ne sont pas utilisees pour entrainer les modeles de Google.

5.8 Mistral AI (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA
  • Localisation : France / Union europeenne
  • Politique de confidentialite : https://mistral.ai/terms/#privacy-policy
  • Note : Mistral AI est une entreprise francaise. Les donnees envoyees via l'API ne sont pas utilisees pour entrainer leurs modeles.

5.9 Cohere (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA
  • Localisation : Canada / Etats-Unis
  • Politique de confidentialite : https://cohere.com/privacy
  • Note : Les donnees envoyees via l'API ne sont pas utilisees pour entrainer les modeles de Cohere.

5.10 Cerebras (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Generation d'analyses et de recommandations assistees par IA via inference acceleree
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://cerebras.ai/privacy-policy
  • Note : Les donnees envoyees via l'API ne sont pas utilisees pour entrainer des modeles.

5.11 OpenRouter (analyse IA)

  • Donnees partagees : Contenu que vous soumettez pour analyse IA (texte de CV, descriptions de poste, details de candidature)
  • Finalite : Routage et acces aux modeles IA via une interface unifiee
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://openrouter.ai/privacy
  • Note : OpenRouter agit comme intermediaire pour l'acces aux modeles IA. Les donnees ne sont pas utilisees pour l'entrainement de modeles.

5.12 Resend (envoi d'e-mails)

  • Donnees partagees : Adresses e-mail, contenu des e-mails (notifications, messages transactionnels)
  • Finalite : Envoi d'e-mails transactionnels et de notifications
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://resend.com/legal/privacy-policy

5.13 Sentry (surveillance des erreurs)

  • Donnees partagees : Donnees techniques d'erreur (traces d'execution, URL, type de navigateur, adresse IP anonymisee), informations de session
  • Finalite : Detection, suivi et resolution des erreurs applicatives pour ameliorer la fiabilite du Service
  • Localisation : Etats-Unis
  • Politique de confidentialite : https://sentry.io/privacy/
  • Note : Sentry ne recoit pas de donnees de candidature ni de contenu utilisateur. Seules les donnees techniques necessaires au diagnostic d'erreurs sont transmises.

Nous exigeons de tous les prestataires de services tiers qu'ils traitent vos donnees conformement aux lois applicables en matiere de protection des donnees et uniquement aux fins specifiees ci-dessus. Nous avons conclu des accords de traitement des donnees appropries avec chaque prestataire lorsque cela est requis.

6. Transferts internationaux de donnees

Vos donnees personnelles peuvent etre transferees et traitees dans des pays situes en dehors de votre pays de residence, y compris les Etats-Unis, ou certains de nos prestataires de services tiers sont situes.

Pour les transferts de donnees personnelles depuis l'Espace economique europeen (EEE), le Royaume-Uni ou la Suisse vers des pays n'ayant pas ete reconnus comme offrant un niveau de protection adequat, nous nous appuyons sur les garanties suivantes :

  • Clauses contractuelles types (CCT) : Nous utilisons les Clauses contractuelles types approuvees par l'UE comme mecanisme principal pour les transferts internationaux de donnees
  • Cadre de protection des donnees UE-E.U. : Le cas echeant, nous nous appuyons sur des prestataires certifies dans le cadre du Data Privacy Framework UE-E.U.
  • Mesures supplementaires : Nous mettons en oeuvre des mesures techniques et organisationnelles supplementaires, telles que le chiffrement en transit et au repos, pour garantir un niveau de protection adequat

Pour les utilisateurs au Bresil (LGPD) : Les transferts internationaux sont effectues avec les garanties appropriees requises par la LGPD, y compris les clauses contractuelles types et le respect des principes de protection des donnees.

Pour les utilisateurs au Canada (PIPEDA) : Vos donnees peuvent etre traitees en dehors du Canada. Nous veillons a ce que tout transfert international soit soumis a des niveaux de protection comparables par le biais de garanties contractuelles et organisationnelles.

Vous pouvez demander une copie des mecanismes de transfert applicables en nous contactant a l'adresse indiquee a la Section 14.

7. Durees de conservation des donnees

Nous conservons vos donnees personnelles uniquement pendant la duree necessaire a la realisation des finalites decrites dans la presente Politique de Confidentialite, sauf si une duree de conservation plus longue est requise ou permise par la loi :

  • Donnees de compte actif : Conservees pendant toute la duree d'existence de votre compte
  • Donnees de candidature et de contacts : Conservees tant que votre compte est actif
  • Fichiers CV : Conserves tant que votre compte est actif ; supprimes dans les 30 jours suivant la suppression du compte
  • Resultats d'analyse IA : Conserves tant que les donnees de candidature associees existent dans votre compte
  • Enregistrements de paiement : Conserves jusqu'a 10 ans apres la transaction, conformement aux lois fiscales et comptables applicables
  • Journaux d'utilisation et analytique : Conserves jusqu'a 12 mois, puis agreges et anonymises
  • Donnees de compte supprime : Definitivement supprimees dans les 30 jours suivant la suppression du compte, sauf obligation legale de conservation

Lorsque les donnees ne sont plus necessaires, elles sont supprimees de maniere securisee ou irreversiblement anonymisees.

8. Vos droits

Selon votre lieu de residence, vous pouvez disposer des droits suivants concernant vos donnees personnelles :

8.1 Droits en vertu du RGPD (residents UE/EEE)

  • Droit d'acces (Art. 15) : Demander une copie de vos donnees personnelles
  • Droit de rectification (Art. 16) : Demander la correction de donnees inexactes
  • Droit a l'effacement (Art. 17) : Demander la suppression de vos donnees personnelles (« droit a l'oubli »)
  • Droit a la portabilite (Art. 20) : Recevoir vos donnees dans un format structure, couramment utilise et lisible par machine
  • Droit a la limitation (Art. 18) : Demander la limitation du traitement dans certaines circonstances
  • Droit d'opposition (Art. 21) : S'opposer au traitement fonde sur l'interet legitime, y compris le profilage
  • Droit de retrait du consentement (Art. 7(3)) : Retirer votre consentement a tout moment lorsque le traitement est fonde sur le consentement
  • Droit de reclamation : Deposer une reclamation aupres de votre autorite locale de protection des donnees

8.2 Droits en vertu du CCPA (residents de Californie)

  • Droit de savoir : Demander la divulgation des categories et elements specifiques d'informations personnelles collectees
  • Droit de suppression : Demander la suppression des informations personnelles
  • Droit de refus : Refuser la vente d'informations personnelles (note : nous ne vendons pas de donnees personnelles)
  • Droit a la non-discrimination : Exercer vos droits sans subir de traitement discriminatoire

8.3 Droits en vertu de la LGPD (residents bresiliens)

  • Confirmation de l'existence d'un traitement
  • Acces a vos donnees
  • Correction de donnees incompletes, inexactes ou obsoletes
  • Anonymisation, blocage ou suppression de donnees inutiles ou excessives
  • Portabilite des donnees
  • Information sur le partage avec des tiers
  • Revocation du consentement

8.4 Droits en vertu de la PIPEDA (residents canadiens)

  • Acces a vos renseignements personnels que nous detenons
  • Demande de correction d'informations inexactes
  • Retrait du consentement (sous reserve de restrictions legales ou contractuelles)
  • Depot d'une plainte aupres du Commissariat a la protection de la vie privee du Canada

Pour exercer l'un de ces droits, veuillez nous contacter a contact@candytrack.app. Nous repondrons a votre demande dans un delai de 30 jours (ou dans un delai plus court si requis par la loi applicable). Nous pouvons demander une verification d'identite avant de traiter votre demande.

9. Politique en matiere de cookies

CandyTrack utilise un nombre limite de cookies et technologies similaires :

9.1 Cookies essentiels (strictement necessaires, pas de consentement requis)

  • Cookies d'authentification : Pour maintenir votre session de connexion et verifier votre identite
  • Cookies de securite : Pour prevenir les attaques CSRF et autres menaces de securite

9.2 Cookies fonctionnels (pour memoriser vos preferences)

  • Preference linguistique : Pour memoriser votre langue choisie
  • Preference de theme : Pour memoriser votre theme d'affichage choisi

9.3 Aucun cookie publicitaire ou de suivi

CandyTrack n'utilise aucun cookie publicitaire, cookie de suivi tiers, ni cookie de reseaux sociaux. Nous ne pratiquons pas le suivi intersites ni la publicite comportementale.

Vous pouvez gerer les cookies via les parametres de votre navigateur. La desactivation des cookies essentiels peut vous empecher d'utiliser le Service.

10. Protection de la vie privee des enfants

CandyTrack ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de donnees personnelles aupres d'enfants de moins de 16 ans. Si nous decouvrons que nous avons collecte par inadvertance des donnees personnelles d'un enfant de moins de 16 ans, nous prendrons immediatement des mesures pour supprimer ces donnees.

Si vous etes parent ou tuteur et pensez que votre enfant de moins de 16 ans a fourni des donnees personnelles a CandyTrack, veuillez nous contacter a contact@candytrack.app afin que nous puissions prendre les mesures appropriees.

11. Mesures de securite des donnees

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees personnelles, notamment :

  • Chiffrement en transit : Toutes les donnees transmises entre votre navigateur et nos serveurs sont chiffrees via TLS/SSL (HTTPS)
  • Chiffrement au repos : Les donnees stockees dans notre base de donnees sont chiffrees au repos
  • Securite de l'authentification : Hachage securise des mots de passe, OAuth 2.0 pour l'authentification tierce et gestion des sessions
  • Controles d'acces : Controles d'acces stricts aux bases de donnees et a l'infrastructure de production
  • Securite de l'infrastructure : Heberge sur Vercel et Supabase, qui maintiennent tous deux des programmes de securite robustes et des certifications de conformite
  • Mises a jour regulieres : Les dependances et l'infrastructure sont regulierement mises a jour pour corriger les vulnerabilites connues
  • Minimisation des donnees : Nous ne collectons que les donnees necessaires au fonctionnement du Service
  • Surveillance des erreurs : Sentry est utilise pour detecter et corriger rapidement les problemes techniques, avec anonymisation des adresses IP

Bien que nous nous efforcions de proteger vos donnees personnelles, aucune methode de transmission sur Internet ou de stockage electronique n'est sure a 100 %. Nous ne pouvons garantir une securite absolue.

12. Notification de violation de donnees

En cas de violation de donnees personnelles susceptible d'engendrer un risque pour vos droits et libertes, nous :

  • Notifierons l'autorite de controle competente : Dans les 72 heures suivant la prise de connaissance de la violation, conformement a l'article 33 du RGPD
  • Notifierons les utilisateurs concernes : Dans les meilleurs delais lorsque la violation est susceptible d'engendrer un risque eleve pour vos droits et libertes, conformement a l'article 34 du RGPD
  • Documenterons la violation : Tiendrons un registre de toutes les violations de donnees, y compris leurs effets et les mesures correctives prises

La notification comprendra une description de la nature de la violation, les categories et le nombre approximatif de personnes concernees, les consequences probables et les mesures prises ou proposees pour y remedier.

Pour les utilisateurs en Californie, au Bresil, au Canada et dans d'autres juridictions disposant de lois sur la notification des violations, nous respecterons les exigences de notification specifiques de votre juridiction.

13. Modifications de la presente Politique de Confidentialite

Nous pouvons mettre a jour la presente Politique de Confidentialite de temps a autre pour refleter les changements dans nos pratiques, technologies, exigences legales ou pour d'autres raisons operationnelles.

Pour les modifications substantielles, nous vous informerons par :

  • L'envoi d'un e-mail a l'adresse associee a votre compte
  • L'affichage d'un avis visible au sein du Service
  • La mise a jour de la date de « Derniere mise a jour » en haut de cette politique

Nous vous encourageons a consulter regulierement cette Politique de Confidentialite. Votre utilisation continue du Service apres toute modification vaut acceptation de la politique mise a jour. Lorsque la loi l'exige, nous obtiendrons votre consentement avant de mettre en oeuvre des modifications substantielles affectant le traitement de vos donnees.

14. Contact et demandes de protection des donnees

Pour toute question, preoccupation ou demande concernant cette Politique de Confidentialite ou nos pratiques de traitement des donnees, veuillez nous contacter :

  • Service : CandyTrack
  • Site web : candytrack.app
  • E-mail : contact@candytrack.app

CandyTrack etant exploite par un developpeur independant, l'operateur fait office de point de contact pour toutes les questions relatives a la protection des donnees, assurant les responsabilites equivalentes a celles d'un Delegue a la Protection des Donnees (DPO).

Si vous estimez que nous n'avons pas repondu de maniere satisfaisante a vos preoccupations en matiere de protection des donnees, vous avez le droit de deposer une reclamation aupres de votre autorite locale de protection des donnees :

  • UE : Votre autorite nationale de protection des donnees (liste disponible sur https://edpb.europa.eu/)
  • France : Commission Nationale de l'Informatique et des Libertes (CNIL) - www.cnil.fr
  • Californie : Bureau du Procureur general de Californie
  • Bresil : Autoridade Nacional de Protecao de Dados (ANPD)
  • Canada : Commissariat a la protection de la vie privee du Canada

Pour toute question concernant cette politique, contactez-nous a contact@candytrack.app

© 2026 CandyTrack. Tous droits reserves.