Politique de confidentialité

1. Introduction

La présente politique de confidentialité décrit comment Simplibot ("nous", "notre") collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez le site Robertoaccessible à l'adresse robertoia.app.

Nous nous engageons à protéger votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

2. Responsable du traitement

• Responsable : Simplibot
• Contact DPO / RGPD : contact@simplibot.fr

3. Intégration LinkedIn API

Roberto utilise l'API LinkedIn (Community Management API) pour publier automatiquement du contenu éditorial original sur nos pages entreprise et pages vitrines LinkedIn dont nous sommes administrateurs.

• Aucune donnée personnelle de membres LinkedInn'est collectée, stockée, analysée ou traitée par Roberto. Nous ne collectons aucune donnée depuis les profils LinkedIn de visiteurs ou de tiers.
• L'authentification se fait via OAuth 2.0. Les tokens d'accès sont chiffrés au repos (AES-256), soumis à rotation automatique (durée maximale 365 jours), et jamais partagés avec des tiers.
• Le contenu publié est exclusivement éditorial : agrégats de statistiques publiques sur le marché de l'alternance, conseils de candidature et actualités du service. Aucune donnée individuelle d'utilisateur Roberto n'est publiée sur LinkedIn.
• Les tokens OAuth sont révocables à tout moment depuis les paramètres de sécurité LinkedIn de l'administrateur.

4. Données personnelles collectées

Nous collectons les catégories de données suivantes :

4.1 Données d'identification et de compte

• Adresse email (via Google OAuth)
• Nom et prénom (depuis votre compte Google)
• Photo de profil (importée de Google ou téléversée manuellement)
• Numéro de téléphone (optionnel)
• Site web personnel (optionnel)

4.2 Données de profil professionnel

• Formation : diplômes, établissements, domaines d'étude, années
• Expériences professionnelles : postes, entreprises, durées, descriptions
• Compétences techniques (hard skills) et comportementales (soft skills)
• Langues parlées et niveaux
• Certifications : noms, organismes, dates, URLs
• Projets personnels : noms, descriptions, URLs
• Centres d'intérêt

4.3 Données de mobilité et géolocalisation

• Villes de recherche souhaitées
• Préférence télétravail
• Permis de conduire (oui/non)
• Coordonnées géographiques (latitude/longitude) calculées à partir des villes saisies, utilisées pour le matching géographique des offres

4.4 Données générées par l'utilisation du service

• CV et lettres de motivation générés par IA
• Historique des candidatures et statuts (envoyée, relance, entretien, offre, refusée)
• Offres sauvegardées et consultées
• Conversations avec l'assistant Roberto (onboarding et chat)
• Préférences apprises par l'IA : types d'entreprise, secteurs, taille, ambiance
• Flux RSS ajoutés par l'utilisateur (URLs, contenus parsés)

4.5 Données de paiement

• Identifiant client Stripe et identifiant abonnement
• Plan souscrit, statut d'abonnement, dates de facturation
• Consentement au droit de rétractation (date, adresse IP, texte)

Note : Les données bancaires (numéro de carte, CVV) sont traitées exclusivement par Stripe et ne sont jamais stockées sur nos serveurs.

4.6 Données techniques

• Données d'analyse anonymes via Vercel Analytics (pages vues, navigateur, appareil) — sans cookies

5. Finalités du traitement

6. Sous-traitants et services tiers

Vos données peuvent être transmises aux sous-traitants suivants dans le cadre strict des finalités décrites ci-dessus :

Aucune donnée n'est vendue ou partagée à des fins publicitaires ou marketing.

7. Transferts de données hors de l'Union européenne

Certains de nos sous-traitants sont situés en dehors de l'Union européenne, principalement aux États-Unis (Vercel, Stripe, Supabase, Google, Resend, Tavily, LinkedIn).

Ces transferts sont encadrés par les garanties suivantes :

• Clauses contractuelles types (SCCs)approuvées par la Commission européenne (Décision d'exécution 2021/914)
• EU-US Data Privacy Framework pour les prestataires certifiés (Stripe, Google, Vercel, LinkedIn)
• Mesures techniques complémentaires : chiffrement en transit (TLS) et au repos (AES-256)

Mistral AI, utilisé pour la génération de contenus, est une entreprise française dont les données sont traitées au sein de l'Union européenne.

8. Cookies et stockage local

Cookies essentiels

• Cookie de session Supabase (authentification) — strictement nécessaire

Cookies analytiques

• PostHog — analyse produit anonymisée (soumis à consentement)
• Vercel Analytics — données agrégées sans cookies
• Sentry — monitoring d'erreurs, session replay (soumis à consentement)

Cookies marketing

Roberto n'utilise aucun cookie marketing ou publicitaire.

Stockage local (localStorage)

Nous utilisons le localStoragede votre navigateur pour stocker des préférences d'interface (non personnelles) :

• Largeur du panneau d'édition de CV
• Template de CV/LDM sélectionné
• Filtre géographique de recherche
• Offres déjà consultées (pour éviter les doublons dans le flux)

Ces données restent sur votre appareil et ne sont jamais transmises à nos serveurs.

9. Durée de conservation des données

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) — Obtenir une copie de vos données. Accessible depuis Paramètres → Exporter mes données.
• Droit de rectification (art. 16) — Modifier vos données depuis votre profil.
• Droit à l'effacement (art. 17) — Supprimer votre compte et toutes vos données. Accessible depuis Paramètres → Supprimer mon compte.
• Droit à la portabilité (art. 20) — Exporter vos données au format JSON. Accessible depuis Paramètres → Exporter mes données.
• Droit d'opposition (art. 21) — Vous pouvez désactiver les emails de service depuis vos paramètres de notification.
• Droit de limitation (art. 18) — Demander la limitation du traitement de vos données.

Pour exercer ces droits, contactez-nous à contact@simplibot.fr. Nous répondrons dans un délai de 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

11. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement TLS 1.2+ en transit — toutes les communications entre le navigateur, nos serveurs et les API tierces sont chiffrées via HTTPS/TLS 1.2 ou supérieur
• Chiffrement au repos des credentials — tokens OAuth (y compris LinkedIn), clés API et secrets sont chiffrés au repos (AES-256 via Supabase). Les données utilisateur sont également chiffrées au repos
• Principe du moindre privilège — chaque service et intégration ne dispose que des permissions strictement nécessaires à son fonctionnement. Row-Level Security (RLS) sur toutes les tables utilisateur en base de données
• Authentification OAuth 2.0 uniquement (aucun mot de passe stocké)
• Clés API et secrets stockés côté serveur, jamais exposés côté client
• Tokens JWT à durée limitée pour la gestion des sessions
• Audit de sécurité périodique — revue régulière des accès, permissions et configurations de sécurité

12. Protection des mineurs

Roberto s'adresse aux personnes en recherche d'alternance, y compris les mineurs de 16 ans et plus éligibles aux contrats d'apprentissage conformément au Code du travail français. Pour les utilisateurs de moins de 18 ans, l'accord d'un représentant légal peut être requis pour la souscription à un abonnement payant.

13. Modifications de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email et/ou par une bannière de notification sur le site. La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact

Pour toute question relative à la protection de vos données personnelles : contact@simplibot.fr