Politique de confidentialité
Dernière mise à jour : 15 mai 2026
ShotCV respecte ta vie privée et applique strictement le RGPD (UE 2016/679) et la loi française Informatique et Libertés. Cette page détaille ce que nous collectons, pourquoi, combien de temps et qui y a accès.
1. Données collectées
Compte : email, mot de passe (hashé argon2id), prénom/nom/téléphone/adresse (optionnels). CV source : texte de ton CV uploadé une fois. Candidatures : annonces collées + CV optimisés + lettres générées. Données de paiement : carte gérée par Stripe (nous ne stockons aucun numéro). Logs techniques anonymisés (IP tronquée, user-agent). Selfies photos pro : uniquement si tu achètes un pack photos.
2. Durées de conservation
CV source, candidatures, CV optimisés et lettres : 12 mois après ta dernière activité (puis suppression automatique). Compte (email, profil) : tant que ton compte existe. Suppression du compte (Paramètres → Sécurité → Supprimer mon compte) : effacement IMMÉDIAT de toutes ces données + annulation Stripe automatique. Selfies photos bruts : supprimés 24h après génération. Photos générées : 30 jours puis suppression définitive. Factures : 10 ans (obligation légale comptable).
3. Tes droits
Accès, rectification, opposition, effacement, portabilité, limitation : exerce ces droits à tout moment depuis Paramètres → Sécurité, ou en écrivant à dpo@shotcv.fr. Réponse sous 30 jours. Export RGPD de tes données disponible sur demande. Tu peux aussi déposer une réclamation auprès de la CNIL (cnil.fr).
4. Délégué à la protection des données
Arnaud Guéras assure les fonctions de DPO. Contact : dpo@shotcv.fr.
5. Sous-traitants
Anthropic (IA boost CV + lettres, USA — clauses contractuelles types UE-US, données non utilisées pour l'entraînement). Stripe (paiement + portail abonnement, USA — CCT). Resend (emails transactionnels, région UE). Hetzner (hébergement serveur, Allemagne). Backblaze B2 (stockage fichiers, région UE — Allemagne). Replicate (photos IA, USA — CCT, uniquement pour les packs photos). Google Gemini (single-shot photo Solo, USA — CCT). Aucun autre sous-traitant.
6. Cookies
Cookie de session strictement nécessaire pour l'authentification (`shotcv_session`, signé HMAC, 30 jours, non soumis au consentement CNIL). Analytics first-party uniquement (Umami self-hostée, sans cookie traceur, sans tracking cross-site). Aucun cookie tiers, aucun traceur publicitaire, aucun pixel Facebook/Google.