Politique de confidentialité
CertiCV traite des données personnelles dans le cadre de vérifications professionnelles pour le compte d'organisations recrutant en France. La présente politique décrit nos pratiques conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés modifiée.
1. Responsable du traitement
CertiCV SAS, dont le siège social est situé à Paris, France.
Délégué à la Protection des Données (DPO) :
Pour toute question relative à la protection de vos données : dpo@certicv.io
Vous pouvez également exercer vos droits en écrivant à l'adresse postale de notre siège avec la mention “Protection des données personnelles”.
2. Données collectées et finalités
CertiCV opère deux catégories distinctes de traitement :
2.1 Données des organisations clientes (B2B)
| Données | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Nom, prénom, email professionnel | Création de compte et authentification | Exécution du contrat | 5 ans après la fin du contrat |
| Données de facturation | Gestion commerciale et comptabilité | Obligation légale | 10 ans (Code de commerce) |
| Logs d'utilisation, adresses IP | Sécurité, audit, conformité | Intérêt légitime | 12 mois glissants |
| Préférences et paramètres | Personnalisation du service | Exécution du contrat | Durée du contrat |
2.2 Données des candidats (personnes vérifiées)
CertiCV agit en qualité de sous-traitant pour le compte de l'organisation cliente, responsable du traitement au sens du RGPD.
| Données | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Identité civile, email, téléphone | Invitation et identification du candidat | Mesures précontractuelles + Consentement | Durée de vérification + 2 ans |
| Diplômes, relevés de notes | Vérification des qualifications déclarées | Consentement explicite | 2 ans après clôture du dossier |
| Historique professionnel | Vérification des expériences déclarées | Consentement explicite | 2 ans après clôture du dossier |
| Références (contacts tiers) | Recueil de témoignages professionnels | Consentement explicite | 2 ans après clôture du dossier |
| Documents d'identité | Vérification d'identité | Consentement explicite | Supprimé dans les 30 jours après vérification |
| Rapport de vérification final | Résultat transmis à l'organisation | Exécution du contrat | Selon durée configurée par l'organisation (max 5 ans) |
3. Consentement du candidat
Aucune vérification ne peut être initiée sans le consentement libre, éclairé, spécifique et non ambigudu candidat, conformément à l'article 7 du RGPD et aux exigences de la CNIL.
Notre processus de consentement garantit :
- Information claire sur la nature et la finalité de la vérification avant tout consentement
- Consentement distinct pour chaque module (diplômes, expérience, références, identité)
- Droit de retrait du consentement à tout moment, sans conséquence sur le processus de recrutement
- Journalisation horodatée du consentement avec le texte exact présenté au candidat
- Transmission du consentement à l'organisation cliente dans le rapport final
Le refus ou le retrait du consentement entraîne la clôture immédiate du dossier. L'organisation cliente en est notifiée mais ne reçoit aucune information sur les motifs du refus.
4. Destinataires des données
Les données sont transmises aux destinataires suivants, dans le cadre strict de leur nécessité :
| Destinataire | Catégorie | Finalité | Garanties |
|---|---|---|---|
| Organisation cliente | Responsable du traitement | Résultats de vérification uniquement | Accord de traitement (DPA) signé |
| OVH SAS | Sous-traitant hébergeur | Hébergement données en France | Certifié ISO 27001, hébergement France |
| Établissements universitaires | Tiers sollicité | Vérification de diplômes | Uniquement sur consentement candidat |
| Anciens employeurs | Tiers sollicité | Vérification d'expérience | Uniquement sur consentement candidat |
| Références professionnelles | Tiers sollicité | Recueil d'avis | Uniquement sur consentement candidat |
| Stripe (à venir) | Sous-traitant paiement | Traitement des paiements | DPA Stripe, certifié PCI-DSS |
CertiCV ne vend jamaisles données personnelles à des tiers. Aucun transfert à des fins de prospection commerciale ou de profilage marketing n'est effectué.
5. Transferts hors Union Européenne
L'ensemble des données est hébergé et traité exclusivement en France (Union Européenne). CertiCV ne procède à aucun transfert de données personnelles hors de l'Union Européenne.
Dans le cas exceptionnel d'une vérification internationale (diplôme ou expérience hors UE), les données transmises aux organismes tiers sont limitées au strict nécessaire et encadrées par des clauses contractuelles types (CCT) conformes à l'article 46 du RGPD.
6. Sécurité des données
CertiCV met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
En cas de violation de données à caractère personnel, CertiCV s'engage à notifier la CNIL dans les 72 heures (article 33 RGPD) et les personnes concernées sans délai indu si le risque est élevé (article 34 RGPD).
7. Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
Comment exercer vos droits ?
Envoyez votre demande à dpo@certicv.io en précisant votre identité et le droit que vous souhaitez exercer. Nous traiterons votre demande dans un délai d'un mois (prolongeable à deux mois pour les demandes complexes).
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.
8. Intelligence artificielle et décision automatisée
CertiCV utilise des algorithmes d'intelligence artificielle pour assister l'analyse des documents et identifier les incohérences. Conformément à l'article 22 du RGPD et au Règlement européen sur l'IA (EU AI Act 2024/1689), notre système respecte les principes suivants :
- Aucune décision entièrement automatisée — L'IA produit une analyse ; un humain habilité valide toujours le rapport final.
- Transparence algorithmique — Le candidat est informé de l'utilisation de l'IA et de sa portée.
- Droit à l'intervention humaine — Toute décision fondée sur le rapport peut être contestée par le candidat auprès de l'organisation cliente.
- Absence de biais discriminants — Les modèles ne traitent pas de données sensibles (origine, religion, santé, opinions politiques).
9. Cookies
La plateforme CertiCV utilise exclusivement des cookies strictement nécessairesau fonctionnement du service (gestion de session, préférences de langue, thème). Aucun cookie publicitaire ou de suivi comportemental n'est déposé.
Ces cookies ne nécessitent pas votre consentement préalable conformément à la délibération CNIL n°2020-091 du 17 septembre 2020.
10. Modifications de la politique
CertiCV se réserve le droit de modifier la présente politique à tout moment. Toute modification substantielle sera notifiée par email aux organisations clientes et affichée sur la plateforme avec un préavis de 30 jours. La date de dernière mise à jour est indiquée en haut de ce document.
La politique applicable est celle en vigueur à la date du traitement des données.
11. Contact
Pour toute question relative à la présente politique ou à vos données personnelles :