Politique de confidentialité
Version du 27 avril 2026
La protection de vos données personnelles est au cœur du fonctionnement de Noryvana. La présente politique explique quelles données nous collectons, pourquoi, combien de temps nous les conservons, et comment exercer vos droits. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable de traitement
Le responsable de traitement est Noryvana, dont l'adresse est 59, rue de Ponthieu, Bureau 326, 75008 Paris.
Contact dédié RGPD : contact@noryvana.com.
2. Données collectées et finalités
| Catégorie | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, nom, mot de passe (haché) | Création et gestion du compte | Contrat (CGU) | Durée du compte + 30 j |
| CV source (PDF + texte extrait) | Génération des candidatures optimisées | Contrat | Durée du compte + 30 j |
| Critères de recherche (mots-clés, localisation…) | Scraping des offres | Contrat | Durée du compte |
| Candidatures générées (CV et lettres) | Historique et réutilisation | Contrat | Durée du compte + 30 j |
| Données de facturation (via Stripe) | Encaissement de l'abonnement | Obligation légale (comptabilité) | 10 ans (Code de commerce) |
| Logs techniques (IP, horodatage, endpoints) | Sécurité, détection de fraude | Intérêt légitime | 12 mois |
3. Données non collectées
Noryvana ne collecte pas votre IP de navigation à des fins marketing, ne dépose aucun cookie publicitaire, n'utilise aucun outil de tracking tiers (Google Analytics, Meta Pixel, Hotjar…). Les données que vous fournissez servent exclusivement à vous rendre le service décrit.
4. Sous-traitants
Certaines opérations nécessitent le recours à des sous-traitants, liés par un contrat de sous-traitance conforme à l'article 28 du RGPD :
- Hetzner Online GmbH (Allemagne, UE) : hébergement du Site et de l'API applicative. Aucun transfert hors UE.
- Supabase Inc. (USA, avec hébergement effectif en Irlande, région UE) : authentification, base de données des comptes utilisateurs et stockage des CV.
- Stripe Payments Europe Ltd (Irlande, UE) : traitement des paiements par carte bancaire.
- Resend Inc. (USA, infrastructure UE) : envoi des emails transactionnels (alertes d'offres, notifications de compte).
- Anthropic PBC (USA, certifié DPF) : fourniture du modèle d'IA générative (Claude) utilisé pour adapter les CV. Vos CV leur sont transmis uniquement pour traitement, sans utilisation pour entraîner les modèles (opt-out API par défaut).
Aucune donnée n'est cédée ou vendue à des tiers.
5. Transferts hors Union européenne
Hetzner, Stripe et la majorité de l'infrastructure Supabase sont localisés en UE, pas de transfert hors UE pour les opérations courantes (authentification, stockage applicatif, paiement, hébergement). Les éditeurs Supabase, Resend et Anthropic, en tant que personnes morales, sont basés aux États-Unis ; les transferts éventuels sont encadrés par le Data Privacy Framework (DPF) UE-USA ou, à défaut, par des clauses contractuelles types approuvées par la Commission européenne.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir copie de toutes les données vous concernant ;
- Droit de rectification : corriger une donnée inexacte ;
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données ;
- Droit à la limitation du traitement ;
- Droit à la portabilité : récupérer vos données dans un format structuré ;
- Droit d'opposition à un traitement fondé sur l'intérêt légitime ;
- Droit de définir des directives post mortem sur le sort de vos données après votre décès.
Pour exercer ces droits : contact@noryvana.com. Une réponse vous sera apportée sous 30 jours maximum. Nous pouvons vous demander une pièce d'identité en cas de doute raisonnable sur votre identité.
7. Suppression automatique
Depuis votre espace compte, vous pouvez à tout moment :
- Supprimer un CV uploadé et toutes les candidatures générées à partir de celui-ci ;
- Supprimer définitivement votre compte, ce qui déclenche l'effacement automatique de l'ensemble de vos données sous 30 jours (hors obligations légales de conservation : facturation, logs de sécurité).
8. Sécurité
Les mesures techniques et organisationnelles mises en place incluent :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256) ;
- Mots de passe stockés sous forme de hash bcrypt, jamais en clair ;
- Isolation stricte des données entre utilisateurs au niveau base de données ;
- Journalisation des accès et détection d'anomalies ;
- Mise à jour régulière des dépendances logicielles.
9. Cookies et traceurs
Noryvana utilise des cookies (et équivalents localStorage) de deux
catégories, toutes deux dispensées de consentement préalable au
titre de l'article 82 de la loi Informatique et Libertés et de la recommandation
CNIL relative aux cookies (2020) :
| Catégorie | Détail | Finalité | Durée |
|---|---|---|---|
| Strictement nécessaire | Token de session Supabase (sb-*-auth-token) | Maintien de l'authentification entre deux visites | Durée de session (renouvelée automatiquement) |
| Fonctionnel | Indicateur de bandeau d'aide fermé (onboarding-dismissed-*) | Mémoriser que l'utilisateur a fermé un bandeau d'aide à l'onboarding pour ne pas le ré-afficher | Persistant (jusqu'à effacement par l'utilisateur) |
Aucun cookie publicitaire, analytique ou de profilage (Google Analytics, Meta Pixel, Hotjar, TikTok…) n'est déposé. Le Site n'utilise aucun traceur tiers et ne réalise aucun profilage automatisé.
Pour effacer les cookies fonctionnels, supprimez le stockage local de votre
navigateur pour le domaine noryvana.com. Pour révoquer
l'authentification, déconnectez-vous depuis votre compte ou supprimez-le.
10. Droit de réclamation
Vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
11. Modifications
La présente politique peut être mise à jour pour tenir compte d'évolutions légales, techniques ou organisationnelles. Les utilisateurs sont informés par email en cas de modification substantielle. La version en vigueur est consultable à tout moment sur cette page.