Politique de Confidentialité
Version 1.0 — En vigueur à compter du 1er juin 2026.
1. Préambule
La protection de vos données personnelles est une priorité pour BEMYWORK (ci-après « nous » ou « l’Éditeur »), éditeur de la plateforme BeMyWork (ci-après « la Plateforme »).
La présente politique a pour objet de vous informer, en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »), de la manière dont nous collectons, utilisons, conservons et protégeons vos données personnelles, ainsi que des droits dont vous disposez.
Elle complète les Conditions Générales d’Utilisation de la Plateforme.
2. Responsable du traitement
- BEMYWORK, Société par actions simplifiée (SAS)
- RCS de Paris — 989 014 253 — SIRET siège 989 014 253 00011 — TVA FR78989014253
- Siège social : 283 rue des Pyrénées, 75020 Paris
- Contact dédié à la protection des données : kader.kouhli@gmail.com
3. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires aux finalités décrites à l’article 4 (principe de minimisation, art. 5.1.c RGPD).
3.1 Données communes à tous les Utilisateurs
| Catégorie | Données concernées | Source |
|---|---|---|
| Identification | Nom, prénom, e-mail, mot de passe (haché en Argon2id, jamais stocké en clair) | Saisie ou Google OAuth |
| Authentification | Identifiant Google, token de session JWT | Saisie ou Google OAuth |
| Contact | Numéro de téléphone, format international (E.164), statut de vérification | Saisie |
| Préférences | Opt-in e-mail, opt-in SMS rappels, opt-in SMS matchs | Saisie |
| Logs techniques | Adresse IP, user-agent, date/heure de connexion, événements applicatifs | Collecte automatique |
3.2 Données spécifiques aux Candidats
| Catégorie | Données concernées |
|---|---|
| Profil professionnel | Compétences avec niveau d’expérience, langues, expériences, intitulés de postes recherchés, secteurs |
| Critères de recherche | Types de contrats acceptés, prétentions salariales par type de contrat |
| Mobilité | Adresse postale, coordonnées géographiques, préférence télétravail, temps de trajet maximum |
| Valeurs & affirmations | 10 valeurs et 10 affirmations classées (questionnaire « QCM ») |
| Disponibilité | Date de disponibilité, statut de validation du QCM |
3.3 Données spécifiques aux Recruteurs
| Catégorie | Données concernées |
|---|---|
| Offres d’emploi | Intitulés, descriptions, contrats, rémunération, compétences requises, localisation |
| Disponibilités d’entretien | Créneaux saisis manuellement ou synchronisés depuis Google Calendar |
| Intégration Google Calendar | Refresh token OAuth chiffré en AES-256-GCM, périmètre calendar.events + calendar.freebusy |
3.4 Données générées par la Plateforme
- Résultats de matching : suggestions calculées, scores partiels, statut (proposé, accepté, refusé)
- Rendez-vous : entretiens planifiés, statut, historique des notifications envoyées
- Métadonnées de notification : horodatage des e-mails et SMS envoyés, pour éviter les doublons
3.5 Données que nous ne collectons pas
Nous ne collectons aucune donnée sensible au sens de l’article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé, données génétiques, données biométriques, données relatives à la vie sexuelle ou à l’orientation sexuelle. Nous vous demandons de ne pas en mentionner dans les champs libres.
4. Finalités et bases légales des traitements
Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale déterminée :
| Finalité | Base légale |
|---|---|
| Création et gestion du Compte | Exécution du contrat (art. 6.1.b) |
| Mise en relation Candidats / Recruteurs (Matching) | Exécution du contrat (art. 6.1.b) |
| E-mails transactionnels (confirmation, annulation, rappels de rendez-vous) | Exécution du contrat (art. 6.1.b) |
| SMS transactionnels (rappels J-1, T-30 min, annulations) | Consentement (art. 6.1.a) — opt-in |
| SMS et e-mails de suggestions de matchs | Consentement (art. 6.1.a) — opt-in |
| Synchronisation Google Calendar (Recruteurs) | Consentement (art. 6.1.a) |
| Géolocalisation et calcul des isochrones | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, journalisation | Intérêt légitime (art. 6.1.f) |
| Réponse aux réquisitions judiciaires | Obligation légale (art. 6.1.c) |
| Statistiques agrégées et amélioration des Services | Intérêt légitime (art. 6.1.f) |
Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre Compte ou en nous écrivant à kader.kouhli@gmail.com. Le retrait ne remet pas en cause la licéité des traitements antérieurs.
5. Décisions automatisées et profilage (art. 22 RGPD)
5.1 Algorithme de Matching
La Plateforme utilise un algorithme de mise en relation automatisée combinant :
- des filtres déterministes (compétences obligatoires, contrat, salaire, mobilité, langues, expérience) ;
- un scoring pondéré (50 % valeurs, 20 % compétences, 14 % intitulé de poste, 10 % langue, 6 % secteur) ;
- un modèle d’intelligence artificielle (
gpt-4.1-nanofourni par OpenAI) utilisé exclusivement pour comparer la similarité entre intitulés de postes. Aucune donnée d’identification, de salaire ou de coordonnées n’est transmise à OpenAI à cette occasion.
5.2 Caractère non décisionnaire
Le Matching produit une suggestion, pas une décision : il ne prive aucun Utilisateur d’opportunités, ne refuse aucune candidature et n’a pas d’effet juridique direct au sens de l’article 22.1 du RGPD.
5.3 Droit à l’intervention humaine
Vous pouvez à tout moment :
- demander une explication sur la logique appliquée à votre profil ;
- demander une revue humaine des résultats du Matching vous concernant ;
- contester un résultat que vous estimez injuste ou erroné.
Toute demande peut être adressée à kader.kouhli@gmail.com et fera l’objet d’une réponse motivée dans un délai n’excédant pas 30 jours.
6. Destinataires et sous-traitants
Vos données sont accessibles, dans la stricte mesure nécessaire à leurs missions, par :
- les équipes habilitées de l’Éditeur (technique, support, juridique) ;
- les autres Utilisateurs dans le cadre du Matching et des prises de rendez-vous ;
- les sous-traitants listés ci-dessous, choisis pour leurs garanties techniques et organisationnelles.
6.1 Liste des sous-traitants
| Sous-traitant | Service rendu | Localisation |
|---|---|---|
| Google Cloud EMEA Limited (Google Cloud Platform) | Hébergement applicatif, frontend et base de données | UE (Pays-Bas, région europe-west4) |
| Google LLC (OAuth) | Authentification fédérée | États-Unis |
| Google LLC (Calendar API) | Synchronisation des disponibilités | États-Unis |
| OpenAI, L.L.C. | Comparaison de similarité d’intitulés (gpt-4.1-nano) | États-Unis |
| Twilio Inc. | Envoi de SMS transactionnels | États-Unis / Irlande |
| Twilio SendGrid | Envoi d’e-mails transactionnels | États-Unis |
| Microsoft Corporation (Azure Maps) | Calcul des isochrones | UE / États-Unis |
| France Travail (API ROMEO) | Suggestion d’intitulés normalisés | France |
| API Adresse (Etalab) | Auto-complétion d’adresses | France |
Chaque sous-traitant est lié à l’Éditeur par un contrat de sous-traitance conforme à l’article 28 du RGPD (DPA) garantissant un niveau de protection équivalent. Les DPA sont disponibles sur demande motivée à kader.kouhli@gmail.com.
6.2 Données issues des API Google — Conformité « Limited Use »
L’utilisation et le transfert, par BeMyWork, des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences d’usage limité (« Limited Use »).
Concrètement, les données obtenues via Google Calendar (périmètres calendar.events, calendar.freebusy et calendar.readonly) :
- sont utilisées exclusivement pour fournir et améliorer la fonctionnalité de synchronisation des disponibilités d’entretien du Recruteur (lecture des plages occupées, création et annulation des événements d’entretien) ;
- ne sont jamais utilisées à des fins de publicité, de profilage publicitaire ou de revente ;
- ne sont pas transférées à des tiers, sauf dans la stricte mesure nécessaire à la fourniture de cette fonctionnalité, pour se conformer à une obligation légale, ou avec votre consentement explicite ;
- ne sont pas lues par des humains, sauf avec votre consentement explicite, pour des raisons de sécurité (ex. enquête sur un abus), pour respecter la loi, ou lorsque les données sont agrégées et anonymisées à des fins de statistiques internes ;
- sont stockées sous une forme minimale : seul le refresh token OAuth est conservé, chiffré en AES-256-GCM, et il est immédiatement révoqué et supprimé lorsque vous déconnectez votre calendrier ou supprimez votre Compte.
Vous pouvez révoquer à tout moment l’accès de BeMyWork à votre compte Google depuis les paramètres de sécurité de votre compte Google ou depuis les réglages de votre Compte BeMyWork.
7. Transferts hors Union européenne
Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD :
- Décision d’adéquation « EU-US Data Privacy Framework » (CE, 10 juillet 2023) pour les sous-traitants certifiés ;
- À défaut, Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
- Mesures complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, contrôle d’accès strict, journalisation.
Vous pouvez obtenir copie des garanties applicables à un transfert spécifique en écrivant à kader.kouhli@gmail.com.
8. Durées de conservation
| Donnée | Durée active | Suppression |
|---|---|---|
| Compte actif | Tant que le Compte est utilisé | — |
| Compte inactif (aucune connexion) | 3 ans à compter du dernier contact actif | Notification + suppression auto |
| Compte supprimé par l’Utilisateur | Aucune (effacement immédiat) | Suppression définitive et irréversible |
| Profils, offres, matchs, rendez-vous | Liés au cycle de vie du Compte | Supprimés avec le Compte |
| Logs de connexion / sécurité | 12 mois maximum | Purge automatique mensuelle |
| Logs applicatifs (debug) | 30 jours | Purge automatique |
| Données de facturation | 10 ans (obligation comptable) | — |
| Pièces justificatives anti-fraude | 5 ans (prescription civile) | — |
9. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :
9.1 Mesures techniques
- Chiffrement en transit : TLS 1.2 minimum sur toutes les connexions ;
- Chiffrement au repos : base de données chiffrée par l’hébergeur ;
- Chiffrement renforcé des secrets : refresh tokens Google Calendar chiffrés en AES-256-GCM avant écriture en base ;
- Hashage des mots de passe : algorithme Argon2id avec paramètres conformes aux recommandations ANSSI ;
- Authentification : JWT signé, cookies httpOnly, secrets en variables d’environnement ;
- Rate limiting sur les endpoints sensibles ;
- Cloisonnement des environnements (production / préproduction / développement) ;
- Mises à jour de sécurité régulières des dépendances.
9.2 Mesures organisationnelles
- Accès aux données restreint aux personnes habilitées (principe du moindre privilège) ;
- Sensibilisation interne à la sécurité et à la confidentialité ;
- Procédure de gestion des incidents et notification en cas de violation.
9.3 Notification en cas de violation
En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures (art. 33 RGPD) et vous informerons personnellement dans les meilleurs délais (art. 34 RGPD).
10. Cookies et traceurs
À la date de la présente Politique, la Plateforme utilise uniquement des cookies strictement nécessaires à son fonctionnement, ne requérant pas de consentement préalable (art. 82 LIL) :
| Cookie | Finalité | Durée |
|---|---|---|
next-auth.session-token | Maintien de la session authentifiée | Session ou 30 jours |
next-auth.csrf-token | Protection contre les attaques CSRF | Session |
next-auth.callback-url | Redirections après authentification | Session |
Aucun cookie de mesure d’audience, de publicité ou de réseau social tiers n’est déposé à ce jour. L’ajout futur de tels traceurs s’accompagnera d’un bandeau de consentement conforme aux recommandations CNIL.
11. Vos droits
Conformément aux articles 15 à 22 du RGPD :
| Droit | Description |
|---|---|
| Accès (art. 15) | Obtenir confirmation que des données vous concernant sont traitées et en obtenir copie. |
| Rectification (art. 16) | Faire corriger les données inexactes ou incomplètes. |
| Effacement (art. 17) | Demander la suppression de vos données (« droit à l’oubli »). |
| Limitation (art. 18) | Demander le gel temporaire d’un traitement contesté. |
| Portabilité (art. 20) | Récupérer vos données dans un format structuré (JSON). |
| Opposition (art. 21) | Vous opposer à un traitement fondé sur l’intérêt légitime. |
| Retrait du consentement | À tout moment, sans affecter la licéité des traitements antérieurs. |
| Décisions automatisées (art. 22) | Demander une intervention humaine sur les résultats du Matching. |
| Directives post-mortem (art. 85 LIL) | Définir le sort de vos données après votre décès. |
Comment exercer vos droits
- Depuis votre Compte : la majorité des droits sont activables depuis la rubrique Paramètres ;
- Par e-mail : kader.kouhli@gmail.com (joindre une copie d’un titre d’identité en cas de doute raisonnable sur votre identité) ;
- Par courrier : BEMYWORK, 283 rue des Pyrénées, 75020 Paris.
Nous nous engageons à vous répondre dans un délai d’un mois (prorogeable de deux mois en cas de complexité), conformément à l’article 12.3 du RGPD.
Réclamation auprès de la CNIL
Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- En ligne : cnil.fr/fr/plaintes
- Courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
12. Mineurs
La Plateforme n’est pas destinée aux personnes de moins de 15 ans. L’inscription requiert un âge minimum de 18 ans ; les Utilisateurs âgés de 15 à 17 ans doivent obtenir l’accord préalable d’un titulaire de l’autorité parentale (art. 7-1 LIL).
13. Modification de la Politique
La présente Politique peut être modifiée pour refléter l’évolution des Services, des sous-traitants ou de la législation. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification visible sur la Plateforme au moins 15 jours avant l’entrée en vigueur.
14. Contact
- E-mail dédié à la protection des données : kader.kouhli@gmail.com
- Courrier : BEMYWORK — 283 rue des Pyrénées, 75020 Paris
Dernière mise à jour : 1er juin 2026.