Tes données. Ce qu'on en fait.

L'École du Recrutement (LEDR), éditeur de LEDR Jobs. Contact RGPD : mohamed@lecoledurecrutement.fr.

Côté candidat

• Email d'authentification (Supabase Auth)
• Profil : nom complet, poste actuel, ville, années d'XP, LinkedIn
• CV au format PDF, et données extraites du CV par analyse automatique (compétences, expériences, formations, email, téléphone)
• Statut de recherche (en poste / en recherche active / ouvert aux opportunités)
• Candidatures envoyées et leur évolution
• Alertes email créées (filtres + email destinataire)
• Certification LEDR déclarée (en attente de validation manuelle)

Côté employeur

• Email d'authentification
• Nom et coordonnées de l'entreprise
• Rôle de l'employeur dans l'entreprise
• Annonces publiées et leur historique de statut

• Permettre la candidature à des offres d'emploi
• Permettre la publication d'annonces avec scoring qualité
• Envoyer les alertes email aux candidats inscrits (double opt-in)
• Calculer le score qualité des annonces sur 25 critères
• Pré-remplir le profil candidat depuis le CV (extraction automatique)
• Envoyer un rappel unique de complétion de profil 3 jours après l'inscription si le CV n'a pas été importé (email transactionnel, jamais répété)
• Permettre la CV-thèque anonymisée (opt-in candidat) et les demandes de mise en contact employeur → candidat. Tant que le candidat n'a pas accepté une demande, son nom et ses coordonnées restent privés. L'opt-in est révocable à tout moment.
• Tracer les actions sensibles dans un journal d'audit (CNIL)

• Consentement (article 6.1.a RGPD) pour l'inscription aux alertes email et la création de compte
• Exécution d'un contrat (article 6.1.b RGPD) pour la mise en relation candidat ↔ employeur
• Intérêt légitime (article 6.1.f RGPD) pour la traçabilité opérationnelle (audit log)

• Compte candidat actif : tant qu'il y a une activité (connexion, candidature, alerte). Inactivité supérieure à 1 an → suppression automatique.
• CV : tant que le compte candidat existe. Snapshot conservé sur les candidatures envoyées tant que celles-ci sont actives.
• Candidatures closes (refusées / retirées / shortlistées sans suite) plus d'1 an : suppression automatique.
• Annonces : tant que l'employeur les maintient publiées. Expiration auto après 2 semaines sans renouvellement.
• Audit log RGPD : 3 ans (obligation CNIL pour les traitements sensibles).
• Consentements (alertes, CGU) : conservés tant que le compte existe + 3 ans après pour preuve.

• Supabase — base de données + auth + stockage (région UE Francfort). DPA en place.
• OpenAI Ireland — analyse de CV et de texte d'annonce. Les données envoyées (CV ou annonce) sont traitées dans l'UE selon l'Addendum DPA OpenAI. Aucun usage pour entraîner les modèles (option opt-out activée).
• Mailjet SAS (France, groupe Sinch) — envoi des emails transactionnels.
• Vercel Inc. (États-Unis) — hébergement de l'application. Transferts encadrés par les Clauses Contractuelles Types européennes.

• Toi (candidat) : tout ton profil, tes candidatures, tes alertes.
• L'employeur uniquement à qui tu as postulé : ton profil + ton CV (via lien signé temporaire, chaque ouverture tracée).
• L'administrateur LEDR : a accès à toutes les données pour la modération, est tracé dans le journal d'audit.
• Personne d'autre. Pas de revente de données, pas de partage publicitaire.

Tu peux à tout moment :

• Accéder à tes données et les exporter (ZIP) depuis /candidat/parametres
• Rectifier tes infos depuis ton profil
• Supprimer ton compte (suppression définitive, cascade sur le CV et les candidatures) — bouton sur la même page
• Te désinscrire des alertes en 1 clic depuis n'importe quel email reçu
• T'opposer à un traitement spécifique en nous écrivant

Pour tout autre exercice de droit, écris à mohamed@lecoledurecrutement.fr. On répond sous 30 jours maximum (souvent quelques jours).

Si tu estimes que tes droits ne sont pas respectés, tu peux saisir la CNIL : cnil.fr/fr/plaintes.

Authentification par lien magique (pas de mot de passe à voler). Connexions chiffrées (HTTPS) de bout en bout. CV stockés en accès privé, chaque consultation par un employeur passe par un lien signé temporaire (5 minutes) et est tracée. Les bases de données sont isolées par Row-Level Security au niveau Postgres : même en cas de fuite d'une clé client, un utilisateur ne peut pas voir les données d'un autre.