La protection de vos données personnelles est une priorité pour CeveLab. La présente politique explique quelles données nous collectons, pourquoi nous les collectons, comment nous les utilisons et quels sont vos droits. Elle s'applique à tous les utilisateurs du site www.cevelab.com et de ses Services.
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
- Dénomination commerciale : CeveLab
- Marque : CEVELAB™, marque verbale française déposée à l'INPI le 7 juin 2026 (numéro de dépôt 5265978) en classes 9, 35, 41 et 42
- Entrepreneur individuel : HOUNSINOU Vignon Carlos
- SIREN : 918 107 848
- Adresse : Chennevières-sur-Marne, France
- Email : contact@cevelab.com
CeveLab n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens du RGPD. Pour toute question relative à vos données, vous pouvez contacter directement le responsable du traitement à l'adresse ci-dessus.
2. Données collectées
2.1 Données fournies directement par l'Utilisateur
Lors de l'utilisation de la Plateforme, nous collectons :
- Données d'identification : prénom, nom, adresse email, mot de passe (chiffré et non accessible en clair) ;
- Données de profil CV : coordonnées (téléphone, adresse, LinkedIn), expériences professionnelles, formations, compétences, langues, centres d'intérêt, photographie de profil (si fournie) ;
- Données de paiement : ces données sont traitées directement par Stripe ou FedaPay et ne transitent pas par les serveurs CeveLab. CeveLab reçoit uniquement une confirmation de paiement et un identifiant de transaction ;
- Données de communication : emails échangés avec le support, contenu des sessions de coaching vocal ou textuel utilisées pour générer les CV ;
- Enregistrements audio et documents pour le Coach IA enrichi : lorsque l'Utilisateur active le mode vocal ou téléverse un document (PDF / DOCX / image) dans le Coach IA, le fichier est transmis aux sous-traitants IA pour transcription, vision ou extraction de texte, puis traité par le modèle Claude. L'enregistrement brut est supprimé après traitement ; seul le texte structuré obtenu est conservé pour alimenter le CV.
2.2 Données collectées automatiquement
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, date et heure de connexion ;
- Données d'usage : fonctionnalités utilisées, nombre de CV générés, templates sélectionnés ;
- Cookies et traceurs : voir section dédiée ci-dessous.
2.4 Données des mineurs
CeveLab ne collecte pas sciemment de données personnelles relatives à des personnes de moins de 16 ans. Si un mineur de moins de 16 ans venait à s'inscrire sans le consentement de son représentant légal, ce dernier peut en demander la suppression à contact@cevelab.com.
2.5 Données conversationnelles (assistant Lydie)
CeveLab met à disposition un assistant conversationnel, Lydie, accessible aux visiteurs comme aux Utilisateurs connectés. Lorsque vous échangez avec Lydie, nous traitons :
- Le contenu de vos messages et les réponses générées, conservés pour assurer la continuité de la conversation ;
- Un identifiant technique : pour un Utilisateur connecté, votre identifiant de compte ; pour un visiteur, un identifiant anonyme stocké localement dans votre navigateur (aucun lien avec votre identité) ;
- Votre adresse IP et un compteur quotidien de requêtes, utilisés uniquement pour appliquer des quotas anti-abus (limitation du nombre de messages par jour).
Lydie répond à partir d'une base de connaissances interne (notre FAQ). Vos messages sont transmis à nos sous-traitants IA (Anthropic pour la génération des réponses, OpenAI pour l'indexation sémantique de la FAQ) dans le seul but de produire une réponse pertinente. Nous vous invitons à ne pas communiquer de données sensibles dans vos échanges avec Lydie. La base légale de ce traitement est l'intérêt légitime (art. 6.1.f RGPD) à fournir une assistance et à sécuriser le service.
3. Finalités et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale distincte :
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion du Compte | Nom, email, mot de passe | Exécution du contrat (art. 6.1.b) |
| Fourniture des Services (génération CV, lettre, matching) | Données de profil CV complet | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements | Identifiant de transaction, montant | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails transactionnels (confirmation, facture) | Email, données de commande | Exécution du contrat (art. 6.1.b) |
| Envoi de communications marketing (newsletters, offres) | Email, préférences | Consentement (art. 6.1.a) - révocable à tout moment |
| Amélioration des Services (analytics agrégées) | Données d'usage anonymisées | Intérêt légitime (art. 6.1.f) |
| Sécurité, prévention de la fraude | Adresse IP, logs de connexion | Intérêt légitime (art. 6.1.f) |
| Obligations légales (comptabilité, contentieux) | Données de facturation | Obligation légale (art. 6.1.c) |
CeveLab ne prend aucune décision entièrement automatisée produisant des effets juridiques ou affectant significativement les Utilisateurs. Les documents générés (CV, lettres) sont le résultat d'un traitement automatisé utilisé comme outil par l'Utilisateur, qui conserve la pleine maîtrise de leur contenu.
4. Durée de conservation
Les données sont conservées pendant les durées suivantes :
- Données de Compte actif : pendant toute la durée de l'utilisation des Services, puis supprimées dans un délai de 3 ans après la dernière connexion ;
- Données de CV et contenu généré : conservées tant que le Compte est actif. Supprimées sur demande ou à la clôture du Compte ;
- Données de facturation et transactions : conservées pendant 10 ans conformément aux obligations comptables et fiscales françaises (article L. 123-22 du Code de commerce) ;
- Logs de connexion et sécurité : conservés 12 mois ;
- Données de consentement marketing : jusqu'au retrait du consentement ou 3 ans sans interaction, selon ce qui survient en premier ;
- Conversations avec l'assistant Lydie : conservées 6 mois après le dernier message, puis automatiquement supprimées. Les compteurs de quota anti-abus sont purgés sous 7 jours.
5. Destinataires des données
CeveLab ne vend ni ne loue vos données personnelles à des tiers. Les données peuvent être partagées avec les sous-traitants suivants, dans le strict respect du RGPD et dans le cadre de leur mission uniquement :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement applicatif | États-Unis (clauses contractuelles types UE) |
| Supabase / AWS EU West | Base de données et authentification | Irlande (UE) |
| Anthropic PBC | Modèle IA Claude (génération CV / lettres / coaching, assistant Lydie) | États-Unis (clauses contractuelles types UE, pas d'entraînement sur les données API) |
| OpenAI Inc. | Transcription audio Whisper (Coach IA enrichi - mode vocal), indexation sémantique de la FAQ (assistant Lydie) | États-Unis (clauses contractuelles types UE) |
| Adzuna Ltd. | Sourcing d'offres d'emploi (recherche emploi & matching) | Royaume-Uni (décision d'adéquation UE) |
| Jooble Inc. | Sourcing d'offres d'emploi complémentaire | États-Unis (clauses contractuelles types UE) |
| Stripe Inc. | Traitement des paiements par carte | États-Unis / Irlande (clauses contractuelles types UE) |
| FedaPay | Traitement des paiements Mobile Money | Bénin |
| Resend | Envoi d'emails transactionnels | États-Unis (clauses contractuelles types UE) |
Les données peuvent également être divulguées aux autorités compétentes en cas d'obligation légale, de réquisition judiciaire ou pour protéger les droits de CeveLab.
6. Transferts hors UE
Certains sous-traitants (Vercel, Stripe, éventuellement d'autres) sont établis en dehors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types adoptées par la Commission européenne conformément à l'article 46 du RGPD, garantissant un niveau de protection adéquat de vos données.
Sur demande, CeveLab peut vous communiquer les garanties mises en place pour ces transferts.
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
- Droit d'accès (art. 15 RGPD) : obtenir une copie de toutes les données personnelles vous concernant détenues par CeveLab ;
- Droit de rectification (art. 16 RGPD) : corriger toute donnée inexacte ou incomplète ;
- Droit à l'effacement / « droit à l'oubli » (art. 17 RGPD) : demander la suppression de vos données, sauf si CeveLab est tenu de les conserver par obligation légale ;
- Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension temporaire du traitement de vos données ;
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime ou à des fins de prospection commerciale ;
- Droit de retrait du consentement : retirer à tout moment votre consentement pour les traitements qui en dépendent (emails marketing), sans que cela ne remette en cause la licéité des traitements antérieurs ;
- Droit relatif aux décisions automatisées : CeveLab ne prend pas de décision entièrement automatisée produisant des effets juridiques significatifs. Ce droit n'est donc pas applicable.
Comment exercer vos droits ?
Pour exercer l'un de vos droits, envoyez votre demande à contact@cevelab.com en précisant votre identité et la nature de votre demande. CeveLab s'engage à vous répondre dans un délai d'un mois à compter de la réception de votre demande (délai pouvant être prolongé de deux mois supplémentaires en cas de demande complexe, avec notification préalable).
Si CeveLab ne donne pas suite à votre demande ou si sa réponse ne vous satisfait pas, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. Sécurité
CeveLab met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :
- Chiffrement des communications : toutes les données transitent via HTTPS/TLS (TLS 1.3) ;
- Chiffrement des mots de passe : les mots de passe sont stockés sous forme hachée (bcrypt) et ne sont jamais accessibles en clair ;
- Isolation des données : chaque Utilisateur ne peut accéder qu'à ses propres données (Row Level Security Supabase) ;
- Authentification sécurisée : accès administrateur protégé par authentification multi-facteur ;
- Sauvegardes régulières : les données sont sauvegardées quotidiennement ;
- Journalisation : les accès aux données sensibles sont journalisés et audités.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, CeveLab s'engage à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous en informer sans délai si la violation est de nature à créer un risque élevé.
10. Contact & réclamation
Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez contacter CeveLab :
- Par email : contact@cevelab.com (objet : « Données personnelles »)
- Par courrier : CeveLab, HOUNSINOU Vignon Carlos, Chennevières-sur-Marne, France
Si vous estimez que vos droits ne sont pas respectés après avoir contacté CeveLab, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :
- CNIL (France) : www.cnil.fr/fr/plaintes - 3 Place de Fontenoy, 75334 Paris Cedex 07
Modifications de la présente politique
CeveLab se réserve le droit de modifier la présente politique à tout moment pour refléter les évolutions légales, réglementaires ou les changements dans nos pratiques. La date de la dernière mise à jour est indiquée en haut de ce document. En cas de modification substantielle, les Utilisateurs en seront informés par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.