Document légal
Politique de confidentialité
Quelles données collecte Talya, comment elles sont protégées, vos droits RGPD.
Dernière mise à jour : 22 juin 2026
Chez Talya, la protection de vos données personnelles est une priorité. Cette politique explique de manière transparente quelles données nous collectons, pourquoi, comment nous les utilisons et quels sont vos droits. Pour toute question : contact@talya.app.
Conforme au Règlement (UE) 2016/679 (RGPD).
1. Responsable du traitement
Société : Talya (société en cours d'immatriculation) Email Responsable données : contact@talya.app
Conformément à l'article 13 du RGPD, Talya est le responsable du traitement de vos données personnelles. Compte tenu de la nature des traitements effectués (traitement automatisé de données liées à l'emploi et à des profils professionnels), Talya désigne un Responsable de la Protection des Données (DPO interne ou externe) conformément à l'article 37 du RGPD.
2. Données personnelles collectées
2.1 Lors de l'inscription (onboarding par étapes)
Lors de la création de votre compte Talya, nous collectons les informations suivantes, étape par étape :
- Inscription : adresse email + mot de passe (ou connexion via Google OAuth, l'email est alors vérifié par Google).
- Étape identité : prénom, nom.
- Étape métier : métiers visés (codes ROME + libellés, max 20), niveau d'expérience.
- Étape critères : localisations souhaitées (codes INSEE, max 20), télétravail (oui/non), salaire minimum annuel brut, types de contrats (CDI / CDD / Freelance / Stage / Alternance).
- Étape objectif : objectif hebdomadaire de candidatures.
- Optionnel : code d'invitation (rattachement à une école partenaire).
- Consentement marketing : opt-in séparé, tracé dans une table dédiée (+ attribution source UTM).
Le CV n'est PAS collecté pendant l'onboarding, il est uploadé séparément, de manière optionnelle.
2.2 Lors de l'utilisation
- Contenu du CV (fichier PDF uploadé dans un bucket privé Supabase Storage + texte parsé en base), optionnel.
- Historique des candidatures enregistrées sur la plateforme.
- Offres d'emploi sauvegardées.
- Dates et horaires des entretiens enregistrés.
- Contenus générés par l'IA (lettres de motivation, préparations d'entretien, optimisations CV), stockés de manière persistante en base de données (table « generations »), accessibles uniquement par l'utilisateur propriétaire (RLS).
- Données d'usage : événements internes enregistrés côté serveur (table « events » Supabase), PAS de cookies tiers ni de tracker JavaScript côté client.
- Streak (série de jours d'activité).
2.3 Stockage des données
Toutes les données sont stockées dans Supabase (PostgreSQL + Storage), hébergé en région EU Central (Francfort, Allemagne), protégé par Row Level Security (RLS). AUCUNE donnée personnelle n'est stockée dans le localStorage du navigateur.
Aucune clé API n'est demandée ni stockée côté utilisateur. La clé API du service IA est exclusivement côté serveur (variable d'environnement serveur, directive « server-only », jamais exposée au navigateur).
2.4 Données que nous ne collectons JAMAIS
Conformément à l'article 9 du RGPD, Talya ne collecte, ne traite et ne stocke JAMAIS les données suivantes : origine ethnique ou raciale, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données relatives à la santé, données relatives à la vie sexuelle ou à l'orientation sexuelle.
3. Finalités des traitements et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur l'une des bases légales suivantes :
| Traitement | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|
| Création de compte (email, mot de passe) | Fourniture du service | Exécution du contrat (art. 6.1.b) |
| Profil utilisateur (prénom, nom, métiers, localisation, salaire, contrats) | Personnalisation des offres et score de compatibilité | Exécution du contrat (art. 6.1.b) |
| CV uploadé (fichier + texte parsé) | Génération de lettres, optimisation CV ATS, matching | Exécution du contrat (art. 6.1.b) |
| Historique des candidatures et entretiens | Suivi et tableau de bord de candidatures | Exécution du contrat (art. 6.1.b) |
| Contenus générés par l'IA | Fourniture des outils d'aide IA | Exécution du contrat (art. 6.1.b) |
| Offres d'emploi sauvegardées | Fonctionnalité de favoris | Exécution du contrat (art. 6.1.b) |
| Données d'usage (événements internes côté serveur) | Amélioration du service, statistiques agrégées | Intérêt légitime de Talya (art. 6.1.f) |
| Streak (série de jours d'activité) | Gamification et engagement | Intérêt légitime de Talya (art. 6.1.f) |
| Emails marketing (alertes, newsletters) | Communication commerciale | Consentement explicite (art. 6.1.a), opt-in séparé |
| Consentement marketing (table dédiée + UTM) | Traçabilité du consentement | Obligation légale (art. 6.1.c) |
| Dashboard école (données étudiants) | Suivi pédagogique par l'établissement | Exécution du contrat école (art. 6.1.b) + information préalable (art. 13) |
| Facturation (Stripe) | Gestion des abonnements et paiements | Exécution du contrat (art. 6.1.b) + obligation légale fiscale (art. 6.1.c) |
4. Traitement automatisé et intelligence artificielle
Conformément à l'article 22 du RGPD et à l'article 50 du Règlement (UE) 2024/1689 (AI Act), Talya vous informe des traitements automatisés suivants :
4.1 Score de compatibilité
Talya génère automatiquement un score de compatibilité entre votre profil et chaque offre d'emploi. Ce score est calculé en comparant vos préférences (métier, localisation, salaire, type de contrat, niveau d'expérience) avec les caractéristiques de l'offre. Ce score est fourni à titre indicatif et n'implique aucune décision automatisée produisant des effets juridiques sur votre candidature.
4.2 Génération par IA (Claude via Amazon Bedrock EU)
Pour la génération de lettres de motivation, dossiers de préparation aux entretiens et optimisations de CV, vos données de profil et votre CV (le cas échéant) sont transmis au modèle Claude (Anthropic) via Amazon Bedrock, déployé en région EU. Le traitement IA est réalisé intégralement au sein de l'Union européenne, aucun transfert de données personnelles hors UE.
- Le traitement IA est 100 % côté serveur (Vercel, région fra1 Paris), le navigateur n'appelle jamais directement le service IA.
- Les données transmises sont limitées au strict nécessaire (principe de minimisation).
- Amazon Bedrock EU opère en mode « zero-retention » : les données ne sont pas conservées après le traitement.
- L'utilisateur NE fournit PAS sa propre clé API, la clé est exclusivement côté serveur.
4.3 Droit à l'intervention humaine
Conformément à l'article 22 du RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé et de demander une intervention humaine. Pour exercer ce droit, contactez contact@talya.app.
5. Durée de conservation des données
| Catégorie de données | Durée de conservation | Détail |
|---|---|---|
| Compte utilisateur actif | Tant que le compte est actif | Suppression possible sur demande à tout moment |
| Données après résiliation / suppression de compte | 30 jours | Soft delete immédiat, puis suppression définitive (données + fichiers CV) sous 30 jours |
| CV uploadés (fichiers + texte parsé) | Durée du compte actif | Supprimés à la résiliation dans le même délai de 30 jours |
| Contenus générés par l'IA | Durée du compte actif | Supprimés avec le compte |
| Historique des candidatures et entretiens | Durée du compte actif | Supprimé avec le compte |
| Données de facturation (factures, reçus) | 10 ans après la transaction | Obligation légale fiscale (art. L.123-22 Code de commerce) |
| Logs de consentement marketing | 3 ans après le retrait ou la dernière interaction | Obligation de preuve (recommandation CNIL) |
| Données B2B Entreprise (CV candidats tiers) | Clôture du poste + 30 jours | Suppression automatique après traitement |
6. Partage des données avec des tiers
6.1 Sous-traitants
Talya fait appel aux sous-traitants suivants, tous liés par des accords de protection des données conformes au RGPD (article 28) :
- Amazon Web Services (Bedrock EU) : traitement IA (modèle Claude/Anthropic), région EU, aucun transfert hors UE.
- Supabase Inc. : base de données PostgreSQL, authentification, stockage fichiers, région EU Central (Francfort, Allemagne).
- Vercel Inc. : hébergement application Next.js, région fra1 (Paris, France).
- BetterStack / Sentry : monitoring et suivi d'erreurs, région EU.
- Stripe Inc. : traitement des paiements, encadré par CCT + DPF.
6.2 Ce que nous ne faisons JAMAIS
- Nous ne vendons jamais vos données personnelles à des tiers.
- Nous ne transmettons jamais votre CV à des recruteurs sans votre accord explicite.
- Nous n'utilisons pas vos données à des fins publicitaires pour des tiers.
- Nous n'effectuons aucun profilage à des fins commerciales non liées au service Talya.
6.3 Traitement pour le compte d'entreprises clientes (B2B Entreprise, tri CV par IA)
Dans le cadre de son offre B2B Entreprise de tri et matching de CV par IA, Talya agit en qualité de SOUS-TRAITANT (art. 28 RGPD) pour le compte d'entreprises clientes (responsables du traitement). Talya traite alors des CV de candidats tiers transmis par l'entreprise cliente.
- Données traitées : nom, prénom, email, téléphone, expérience professionnelle, formation, compétences, extraits des CV transmis par l'entreprise cliente.
- Finalité unique : présélection automatisée par IA pour fournir une shortlist quotidienne à l'entreprise cliente.
- Base légale : intérêt légitime de l'entreprise cliente (recrutement) ou consentement du candidat, sous responsabilité de l'entreprise cliente.
- Conservation : les CV sont supprimés automatiquement à la clôture du poste + 30 jours maximum.
- DPA obligatoire : un Accord de Sous-Traitance conforme à l'article 28 du RGPD est signé avec chaque entreprise cliente. Ce DPA est annexé aux CGV B2B Entreprise.
- Sous-traitants ultérieurs : Amazon Bedrock EU (analyse IA, région EU) et Supabase (hébergement Francfort, EU).
L'entreprise cliente garantit avoir informé les candidats du traitement de leur CV par un outil d'IA conformément à l'article 13 du RGPD.
7. Transferts de données hors de l'Union européenne
À la date de cette mise à jour, Talya ne réalise AUCUN transfert de données personnelles hors de l'Union européenne :
- Le traitement IA est réalisé via Amazon Bedrock en région EU (et non via l'endpoint Anthropic direct aux États-Unis).
- La base de données Supabase est hébergée en EU Central (Francfort).
- L'application est déployée sur Vercel région fra1 (Paris).
- Le monitoring (Sentry / BetterStack) est en région EU.
Stripe est établi aux États-Unis. Les transferts liés au paiement sont encadrés par :
- Les Clauses Contractuelles Types (CCT) validées par la Commission européenne (décision 2021/914).
- L'accord EU-USA Data Privacy Framework (DPF) pour Stripe (entité certifiée).
Toute interrogation sur ces transferts peut être adressée à contact@talya.app.
8. Sécurité des données
Talya met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données conformément à l'article 32 du RGPD :
- Chiffrement des communications via TLS 1.3 (HTTPS).
- Chiffrement des mots de passe (hachage bcrypt).
- Accès aux données restreint aux personnels habilités.
- Journalisation des accès aux données sensibles.
- Tests réguliers de sécurité (audits, tests de pénétration).
- Politique de sauvegarde et plan de reprise d'activité (PRA).
- Notification à la CNIL en cas de violation de données dans les 72 heures (article 33 RGPD).
- Notification aux utilisateurs affectés sans délai injustifié (article 34 RGPD).
9. Vos droits sur vos données personnelles
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Droit d'accès | Art. 15 | Obtenir la confirmation que vos données sont traitées et en recevoir une copie |
| Droit de rectification | Art. 16 | Faire corriger des données inexactes ou compléter des données incomplètes |
| Droit à l'effacement (« droit à l'oubli ») | Art. 17 | Demander la suppression de vos données (sous réserve des obligations légales de conservation) |
| Droit à la limitation | Art. 18 | Demander le gel temporaire du traitement dans certains cas |
| Droit à la portabilité | Art. 20 | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV) |
| Droit d'opposition | Art. 21 | Vous opposer au traitement fondé sur l'intérêt légitime de Talya |
| Retrait du consentement | Art. 7.3 | Retirer à tout moment votre consentement pour les traitements fondés sur celui-ci (marketing, alertes) |
| Décision automatisée | Art. 22 | Demander une intervention humaine pour toute décision fondée exclusivement sur un traitement automatisé |
9.1 Comment exercer vos droits
Pour exercer l'un de ces droits, adressez votre demande par email à contact@talya.app ou par courrier sur demande à contact@talya.app.
Nous vous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou nombreuse (article 12.3 RGPD).
9.2 Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
- Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
- Site web : cnil.fr.
- Formulaire en ligne : cnil.fr/fr/plaintes.
11. Consentement et préférences
Lors de votre inscription sur Talya, votre consentement est recueilli de manière explicite pour les traitements qui le requièrent :
- Les cases à cocher ne sont jamais pré-cochées.
- Chaque type de communication requiert un consentement séparé (alertes quotidiennes, récap hebdomadaire, alertes instantanées).
- Vous pouvez modifier vos préférences à tout moment depuis votre tableau de bord, onglet « Alertes ».
- Le retrait du consentement est aussi simple que son octroi.
12. Mise à jour de cette politique
Talya se réserve le droit de mettre à jour cette politique de confidentialité pour refléter les évolutions législatives, réglementaires ou liées à nos pratiques. Toute modification significative vous sera notifiée par email 30 jours avant son entrée en vigueur. La version en vigueur est toujours accessible sur la plateforme.
Contact & DPO
Responsable Protection des Données : contactable à contact@talya.app Email : contact@talya.app Courrier : sur demande à contact@talya.app