Tes données t'appartiennent.
On ne fait que les protéger.
Pas de jargon juridique. Pas de consentement piégé. Juste ce que Kalibrio collecte, pourquoi, et ce que tu peux faire.
Jamais vendues
Kalibrio gagne sa vie avec un produit utile, pas en revendant tes données. Zéro pub, zéro data broker, zéro tracking publicitaire.
Stockées en Europe
Ta base de données est hébergée en Irlande (UE). Notre serveur applicatif est en France. Les transferts hors UE (IA, CDN) sont encadrés par des clauses contractuelles types.
Voir la liste des sous-traitants
| Service | Fournisseur | Localisation |
|---|---|---|
| Base de données | Supabase | UE (Irlande) |
| Hébergement | Hostinger | France |
| IA (scoring) | Google Gemini | États-Unis (DPA + CCT) |
| IA (optimisation CV, coaching) | Anthropic Claude | États-Unis (DPA + CCT, zéro-rétention) |
| IA (fallback) | Mistral | France / UE |
| CDN | Cloudflare | Mondial (DPA + CCT) |
| Emails | Brevo | France / UE |
| Heatmaps | Mouseflow | UE (consentement requis) |
| Erreurs | GlitchTip | France (auto-hébergé) |
IA transparente
Tes CV et offres sont analysés par l'IA pour produire les scores. Ces données transitent mais ne sont jamais stockées ni utilisées pour entraîner les modèles.
Comment ça marche concrètement
Le texte de ton CV et/ou de l'offre est envoyé à l'API (Google Gemini, Anthropic Claude ou Mistral), sans identifiant de compte. Le modèle renvoie l'analyse, puis les données sont supprimées côté fournisseur. Confirmé par les DPA signés avec chaque fournisseur.
Profilage non-décisionnel :Kalibrio construit un profil implicite à partir de tes interactions (offres scorées, CV optimisés, débriefs) pour personnaliser les recommandations et le coaching. Au sens de l'Art. 22(1) RGPD, ces suggestions n'ont aucun effet juridique ni significatif similaire : elles t'assistent, ne décident pas à ta place. Tu peux t'y opposer (Art. 21) ou demander la suppression (Art. 17) à tout moment via ton compte.
Chiffré, isolé, contrôlé
CVs chiffrés AES-256, accès par URL signées temporaires, isolation par utilisateur (Row Level Security). Même nous, on ne peut pas lire tes documents sans passer par l'app.
Tes droits, en clair
Le RGPD te donne 6 droits sur tes données. Chez Kalibrio, tu peux les exercer toi-même depuis ton compte ou par email.
Accès
Obtenir une copie de toutes tes données (export JSON depuis les paramètres).
Rectification
Corriger tes infos directement depuis ton profil ou par email.
Suppression
Supprimer ton compte et toutes tes données en un clic (paramètres).
Portabilité
Exporter tes données dans un format structuré (JSON, 11 tables).
Opposition
T'opposer à tout traitement non essentiel par email.
Limitation
Demander la restriction temporaire du traitement de tes données.
Pour exercer tes droits ou poser une question :
📧[email protected]Réponse sous 30 jours. Tu peux aussi saisir la CNIL.
Cookies
Zéro cookie publicitaire. Un cookie de session (httpOnly, strictement nécessaire). Analytics via Umami (sans cookies, sans données personnelles). Heatmaps Mouseflow chargées uniquement après ton consentement explicite.
Le détail, pour les curieux
Tout ce qui précède, mais avec les articles de loi.
Responsable de traitement
SASU Kalibrio (en cours d'immatriculation), représentée par Julien Audouze. Siège : 61 rue de Lyon, 75012 Paris, France. Contact : [email protected]. Autorité de contrôle : CNIL.
Données collectées et bases légales
Inscription (nom, email, photo Google) : exécution du contrat (art. 6.1.b RGPD). Conservées tant que le compte est actif, supprimées 30 jours après suppression du compte.
CV et analyses (PDF/DOCX, scores, diagnostics) : exécution du contrat. Chiffrés AES-256, URLs signées temporaires. Supprimables à tout moment depuis le tableau de bord.
Profil candidat (poste, secteurs, départements, télétravail, salaire, culture, langues, disponibilité, parcours libre) : exécution du contrat. Injectées dans les prompts IA anonymisées. Modifiables à tout moment.
Notes personnelles(max 10, 500 car.) : exécution du contrat. Peuvent contenir des données sensibles (handicap, congé maladie). Même protection que le profil : chiffrement, RLS, incluses dans l'export Art. 15.
Candidatures et entretiens (statuts, dates, notes, salaire proposé) : exécution du contrat. Supprimées avec le compte.
Waitlist(email) : consentement (art. 6.1.a). Jusqu'à désinscription.
Durées de conservation
| Données | Durée |
|---|---|
| Compte (email, nom) | Compte actif + 30 jours |
| CV et analyses | Compte actif, supprimables à tout moment |
| Waitlist | Jusqu'à désinscription |
| Paiements | Gérés par Stripe (aucune donnée bancaire chez nous) |
| Logs techniques | 90 jours maximum |
Transferts hors UE et clauses contractuelles
Les données sont stockées en UE (Irlande, AWS eu-west-1). Des transferts hors UE ont lieu pour l'analyse IA (Google Gemini, États-Unis) et le CDN (Cloudflare, réseau mondial). Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT/SCCs, Décision 2021/914) et des accords de traitement des données (DPA) signés avec chaque fournisseur. Le support Supabase (Singapour) peut accéder aux données sous les mêmes garanties.
Sécurité technique
- Chiffrement au repos AES-256 (base de données et fichiers)
- TLS 1.2+ sur toutes les connexions
- Row Level Security (RLS) : isolation par utilisateur sur chaque table
- URLs signées temporaires pour l'accès aux CV
- Rate limiting sur toutes les API routes
- Protection CSRF (vérification Origin header)
- Monitoring erreurs auto-hébergé (GlitchTip), PII redactée
- Gitleaks en pre-commit (zéro secret dans le code)
Dernière mise à jour : 26 avril 2026 (ajout sous-traitant Anthropic, mention profilage non-décisionnel Art. 22, conservation agrégats anonymisés post-suppression). Mentions légales · CGU