Sécurité

Doc Converter est une solution SaaS B2B destinée à convertir des CV en dossiers de compétences. Les mesures de sécurité décrites ci-dessous visent à protéger les données confiées par les clients, en particulier les CV, informations de compte, documents générés et données techniques nécessaires au fonctionnement du service.

Les données applicatives sont hébergées sur Supabase dans la région eu-west-3, correspondant à Paris, France. L'interface web Doc Converter, incluant le site public et l'application, est hébergée par Vercel ; le projet Vercel est configuré sur la région Paris, France (cdg1) pour les traitements côté Vercel applicables. L'hébergement Vercel concerne l'interface web et ses actifs. Les CV, documents générés et données applicatives clients sont hébergés séparément via Supabase. Les données applicatives sont chiffrées en transit via HTTPS/TLS et au repos au niveau de l'infrastructure Supabase.

L'accès à l'application repose sur une authentification par email et mot de passe. Les tables applicatives sont protégées par des politiques Row Level Security afin de limiter l'accès aux données selon les droits de l'utilisateur et de son organisation. Les fichiers transmis sont stockés dans des buckets privés.

Les sauvegardes de la base de données sont gérées par Supabase. Le projet dispose de sauvegardes quotidiennes avec une rétention de 7 jours. Les restaurations sont réalisées selon les fonctionnalités et limites opérationnelles de Supabase.

Les données client sont utilisées uniquement pour fournir les fonctionnalités de l'application Doc Converter et les opérations nécessaires au bon fonctionnement du service. Les CV, dossiers de compétences, modèles et documents générés restent la propriété du client. Ils ne sont ni vendus, ni loués, ni transmis à des concurrents ou à d'autres entreprises à des fins commerciales. Les traitements applicatifs de génération sont réalisés côté serveur sans transmission à un prestataire externe dédié à la génération des documents. Seule la fonctionnalité de traduction optionnelle en anglais transmet à DeepL Pro le texte strictement nécessaire à la traduction. Les données identifiantes telles que les noms et prénoms ne sont pas transmises dans ce cadre. DeepL Pro ne stocke pas durablement les textes transmis : ils sont conservés temporairement uniquement pour produire et transmettre la traduction, puis supprimés après traitement. DeepL Pro est opéré par DeepL SE, en Allemagne, avec des garanties de sécurité documentées incluant SOC 2 Type II, ISO/IEC 27001 et C5 Type 2.

Les données sont conservées pendant la durée nécessaire à l'utilisation du service et selon les instructions du client. Dans un contexte de candidature ou de vivier candidat, Doc Converter recommande une durée maximale de conservation de 24 mois à compter du dernier contact avec la personne concernée, sauf instruction contraire du client lorsqu'une conservation plus longue est justifiée, notamment en cas de relation contractuelle, de mission en cours, d'intégration au dossier RH ou d'obligation légale. À la fin du service, les CV, documents générés, modèles et fichiers applicatifs peuvent être restitués ou supprimés sur demande. À défaut d'instruction contraire, les données actives sont supprimées dans un délai cible de 30 jours, sous réserve des sauvegardes techniques purgées selon leur cycle normal de rétention. Les données de compte sont supprimées ou anonymisées dans un délai cible de 30 jours après la fin effective du service, sauf conservation strictement nécessaire au respect d'une obligation légale, comptable ou contractuelle. Les données de facturation sont conservées pendant la durée légale applicable aux pièces comptables, notamment 10 ans pour les factures client.

Doc Converter s'appuie notamment sur Supabase pour la base de données, l'authentification et le stockage, Vercel pour l'hébergement de l'interface web, DeepL Pro pour la traduction optionnelle de CV en anglais, et Stripe pour les paiements. Le projet Vercel est configuré en région Paris (cdg1) pour les traitements côté Vercel applicables. Les données applicatives et documents clients sont hébergés séparément sur Supabase en région Paris (eu-west-3). Pour DeepL Pro, les textes transmis pour traduction ne sont pas stockés durablement et sont supprimés après le traitement de traduction. Les certifications et garanties disponibles concernent ces prestataires techniques. Supabase est certifié SOC 2 Type II, Stripe est certifié PCI DSS niveau 1, et les garanties de sécurité documentées de DeepL incluent SOC 2 Type II, ISO/IEC 27001 et C5 Type 2.

En cas d'incident de sécurité susceptible d'affecter des données personnelles, Doc Converter prend les mesures correctives nécessaires et documente l'incident. Lorsque Doc Converter agit comme sous-traitant pour le compte d'un client, le client concerné est informé dans les meilleurs délais afin de lui permettre d'évaluer l'incident et de respecter ses propres obligations réglementaires. Lorsque Doc Converter agit comme responsable de traitement, la CNIL est notifiée si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, dans les meilleurs délais et si possible dans les 72 heures après en avoir pris connaissance. Les personnes concernées sont informées lorsque le RGPD l'exige.

Un accord de sous-traitance RGPD, ou DPA, conforme à l'article 28 du RGPD, peut être fourni sur demande et annexé au contrat client. Pour toute demande relative à la sécurité ou à la protection des données, contactez : niels.debarbanson@doc-converter.fr