Aller au contenu principal

Politique de confidentialité

Dernière mise à jour : 26 avril 2026

Responsable du traitement

Materya, Outil d'exploration professionnelle
Contact : contact@materya.fr

En bref

  • Vos données sensibles sont chiffrées côté serveur (AES-256-GCM, clé unique par utilisateur)
  • Nous ne vendons pas vos données à des tiers
  • Vos résultats sont conservés pour vous permettre d'y accéder (supprimables à tout moment)
  • Vous pouvez supprimer votre compte et toutes vos données à tout moment

1. Données collectées

Compte utilisateur

  • Adresse email (pour l'authentification)
  • Date de création du compte
  • Nombre d'analyses utilisées

Profil de carrière

Les informations que vous saisissez dans le formulaire de profil sont stockées de manière sécurisée sur nos serveurs. Elles sont utilisées uniquement pour générer votre analyse et vous fournir les services Materya (adaptation CV, lettres de motivation, matching d'offres).

  • Parcours professionnel
  • Compétences
  • Préférences de travail
  • Texte libre (informations supplémentaires)

Données externes (optionnel)

Si vous choisissez de connecter des sources externes, nous récupérons :

  • GitHub :Profil public, langages utilisés, projets publics (via l'API publique GitHub)
  • Portfolio : Contenu textuel de votre site web personnel
  • LinkedIn :Données de votre profil via l'API officielle LinkedIn (Member Data Portability API) : vous devez autoriser l'accès explicitement

Ces données sont utilisées uniquement pour enrichir votre analyse de carrière et ne sont pas stockées après le traitement.

2. Base légale des traitements

  • Consentement (art. 6.1.a RGPD) : Analyse de votre profil professionnel, vous donnez votre accord explicite via la case à cocher avant soumission
  • Exécution du contrat (art. 6.1.b) : Fourniture du service (matching d'offres, adaptation CV, lettres de motivation)
  • Intérêt légitime (art. 6.1.f) : Sécurité du service (logs techniques, prévention des abus)

3. Utilisation des données

Vos données sont utilisées exclusivement pour :

  • Générer votre analyse de compétences transférables
  • Identifier des métiers compatibles avec votre profil
  • Vous envoyer les résultats de votre analyse

Données anonymisées :

Nous pouvons utiliser des données agrégées et anonymisées (qui ne permettent pas de vous identifier) pour améliorer notre service, notamment pour créer des personas types et mieux comprendre les parcours professionnels.

Nous n'utilisons PAS vos données pour :

  • Les vendre à des recruteurs ou entreprises
  • Faire de la publicité ciblée
  • Vous contacter à des fins commerciales non sollicitées

4. Conservation des données

Ce que nous conservons

  • Profil : Conservé tant que votre compte existe (vous pouvez le supprimer à tout moment)
  • Résultats d'analyse :Conservés pour vous permettre d'y accéder et d'utiliser les services (CV, lettres, matching)
  • Logs techniques : Adresse IP et user-agent conservés 7 jours pour la sécurité, puis supprimés

Ce que nous ne conservons PAS

  • Vos données de paiement (gérées intégralement par Stripe)
  • Vos données GitHub, LinkedIn ou portfolio après l'analyse

5. Sécurité

  • HTTPS : Toutes les communications sont chiffrées en transit (TLS)
  • Chiffrement : Données sensibles chiffrées au repos (AES-256-GCM, clé unique par utilisateur)
  • Authentification : Magic links sécurisés (pas de mot de passe à voler)

6. Sous-traitants

Nous utilisons les services suivants :

  • Oracle Cloud (hébergement frontend + backend, région eu-marseille-1, France) : DPA signé, traitement intégral en UE
  • Supabase (base de données + authentification, eu-west-1, Dublin Irlande) : conforme RGPD, DPA signé
  • AWS Bedrock (modèle IA Qwen3 235B, eu-central-1, Francfort) : extraction CV et synthèse narrative multi-experts. Analyse exécutée intégralement en UE
  • sentence-transformers (modèle d'embeddings exécuté localement sur le serveur Oracle Marseille) : génère les vecteurs sémantiques utilisés pour le matching offre-profil. Aucun appel réseau, aucun transfert de données vers un tiers
  • France Travail ROMEO API (Marseille, France) : détection automatique du code ROME pour chaque offre d'emploi via partenariat OAuth officiel
  • Nominatim (OpenStreetMap) (Pays-Bas, UE) : géocodage des villes (latitude/longitude) pour la recherche par rayon. Service public gratuit, données publiques cartographiques
  • Brevo (emails transactionnels, Paris, France) : confirmation d'inscription, alertes emploi, bounces suivis via webhook. DPA signé
  • Sentry (télémétrie d'erreurs, de.sentry.io, Allemagne) : un filtre serveur et client supprime les UUID, emails, numéros et codes postaux avant envoi
  • PostHog (analytics produit anonymisé, eu.i.posthog.com, UE) : pas d'email ni d'IP brute collecté, reverse-proxy server-side
  • Stripe (paiements, Irlande primaire) : certifié PCI-DSS, DPA conforme RGPD, CCT + Data Privacy Framework pour le routing global
  • Infomaniak (DNS, Suisse) : pays bénéficiant d'une décision d'adéquation UE

L'intégralité du traitement de vos données est effectuée dans l'Union Européenne.Le seul transfert résiduel concerne Stripe (paiement) et est encadré par des clauses contractuelles types (CCT) conformément à l'article 46 du RGPD ainsi que par la certification Data Privacy Framework.

Pour la cartographie complète (rôle, région, base légale par sous-traitant), voir la page dédiée Souveraineté des données.

Sources des offres d'emploi

Les offres d'emploi affichées dans Materya sont récupérées via API publiques ou flux RSS auprès des sources suivantes, avec lien retour direct vers la fiche d'origine pour la candidature :

  • France Travail (API v2 Offres d'emploi, partenariat OAuth)
  • Choisir le service public (data.gouv.fr, Licence Ouverte 2.0)
  • Plateformes ATS publiques : Greenhouse, Lever, Ashby, SmartRecruiters, Personio, Recruitee, Workable (APIs publiques no-auth, employeur publie volontairement)
  • RemoteOK, Himalayas, Arbeitnow, WeWorkRemotely, Jobicy (RSS/JSON publics avec attribution directe)

Tous ces connecteurs sont des appels HTTP officiels (REST/JSON, RSS, CSV ouvert) — aucun scraping de navigateur. Audit juridique exhaustif (avril 2026, mis à jour mai 2026 après vérification runtime). Les sources qui interdisent le scraping dans leurs conditions d'utilisation (LinkedIn, HelloWork, Indeed, Welcome to the Jungle direct, Workday, Cadremploi, Glassdoor, etc.) ne sont pas utilisées. Teamtailor a été retirée en mai 2026 suite à la fermeture de l'accès anonyme à son API publique. Les offres sont conservées 30 jours après leur dernière apparition à la source, puis supprimées automatiquement.

7. Profilage et décisions automatisées

Conformément à l'article 13(2)(f) du RGPD, nous vous informons que votre analyse est produite par un système automatisé.

Logique sous-jacente.Vos réponses (CV, hobbies, situation, questionnaires) alimentent plusieurs étapes d'analyse par modèle de langage, toutes exécutées sur AWS Bedrock dans l'Union européenne(région eu-central-1, Francfort). L'extraction structurée (faits, compétences, parcours) est suivie d'une synthèse multi-experts : quatre personas spécialisées (psychologue du travail, consultante bilan de compétences, coach vocation, analyste risques et marché) analysent le dossier en parallèle, puis une étape d'harmonisation narrative unifie leurs conclusions. Aucune donnée ne quitte l'Union européenne lors de l'analyse. Les données d'identification (nom, email, téléphone, adresse, URLs LinkedIn et GitHub) sont retirées côté serveur avant même l'envoi aux prompts de synthèse, par défense en profondeur. Les règles de matching entre votre profil et les offres d'emploi sont déterministes (pondérations lisibles dans notre code matching.py).

Conséquences prévues.Le résultat est une suggestion d'orientation, pas une décision juridique. Il ne conditionne aucun droit (emploi, crédit, prestation sociale, etc.) et n'est ni un bilan de compétences au sens de l'article L6313-1 du Code du travail, ni un diagnostic psychologique.

Intervention humaine.L'article 22 du RGPD ne s'applique pas ici, car les recommandations ne produisent pas d'effet juridique. Vous pouvez néanmoins demander un réexamen manuel de votre analyse, contester un résultat ou exprimer votre point de vue en écrivant à contact@materya.fr.

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

  • Accès : Obtenir une copie de vos données
  • Rectification : Corriger vos données
  • Effacement : Supprimer votre compte et toutes vos données
  • Portabilité : Exporter vos données dans un format lisible
  • Opposition : Refuser certains traitements

Pour exercer ces droits, contactez-nous à contact@materya.fr

9. Cookies

Nous utilisons uniquement des cookies essentiels au fonctionnement du service :

  • Session d'authentification : nécessaire pour rester connecté
  • Sécurité CSRF : protection contre les requêtes malveillantes

Nous n'utilisons pas de cookies de tracking, publicitaires, ou d'analyse comportementale.

10. Contact

Pour toute question concernant cette politique ou vos données :

11. Modifications

Cette politique peut être mise à jour. En cas de changement significatif, nous vous en informerons par email. La date de dernière mise à jour est indiquée en haut de cette page.

← Retour à l'accueil