1. Responsable de traitement
Le responsable du traitement de vos données personnelles est Copo, éditeur de la plateforme d'évaluation technique accessible via l'application mobile et web.
Contact vie privée : privacy@rh-assessment.fr
Hébergeur : OVH SAS, 2 rue Kellermann, 59100 Roubaix, France
Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez nous contacter à l'adresse ci-dessus. Nous nous engageons à répondre dans un délai d'un mois (Art. 12(3) RGPD).
2. Données collectées — Candidats
Lorsque vous êtes invité à passer un test sur la plateforme Alidade HR, les données suivantes sont collectées et traitées :
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, prénom, nom | Création de compte, envoi de l'invitation | Art. 6(1)(b) — Exécution du contrat | 3 ans après le dernier test |
| CV (lien vers fichier) | Présentation au recruteur dans le cadre du poste | Art. 6(1)(b) — Exécution du contrat | 3 ans après le dernier test |
| Compétences autodéclarées | Matching avec les postes proposés | Art. 6(1)(b) — Exécution du contrat | 3 ans après le dernier test |
| Réponses aux questions, score | Résultats de l'évaluation technique communiqués au recruteur | Art. 6(1)(b) — Exécution du contrat | 3 ans après le dernier test |
| Temps de réponse par question | Fiabilité de l'évaluation (détection de réponses anormalement rapides) | Art. 6(1)(f) — Intérêt légitime | 3 ans après le dernier test |
| Durée cumulée hors plein écran (si anti-triche activé) | Détection de sorties de l'application pendant le test | Art. 6(1)(f) — Intérêt légitime | 3 ans après le dernier test |
| Indicateur de couplage double appareil (si anti-triche activé) | Confirmation de la surveillance dual-device par QR code | Art. 6(1)(f) — Intérêt légitime | 3 ans après le dernier test |
| Identifiant de session appareil (UUID) (si anti-triche activé) | Synchronisation entre l'ordinateur et le téléphone pendant le test | Art. 6(1)(f) — Intérêt légitime | Durée de la session uniquement |
| Notes d'expert, rapport d'entretien (entretien humain optionnel) | Entretien technique conduit par un expert partenaire | Art. 6(1)(b) — Exécution du contrat | 3 ans après l'entretien |
3. Données collectées — Recruteurs
En tant que recruteur utilisant la plateforme dans le cadre d'un abonnement ou d'un compte freemium, les données suivantes sont traitées :
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Email, prénom, nom | Accès à la plateforme, notifications | Art. 6(1)(b) — Exécution du contrat | Durée du contrat + 5 ans |
| Entreprise, type d'entreprise | Qualification du compte et personnalisation | Art. 6(1)(b) — Exécution du contrat | Durée du contrat + 5 ans |
| Informations de facturation | Émission des factures, suivi des paiements | Art. 6(1)(b) + Art. 6(1)(c) — Obligation légale comptable | 10 ans (Art. L123-22 Code de commerce) |
| Historique des transactions de crédits | Suivi du solde et des consommations | Art. 6(1)(b) — Exécution du contrat | 5 ans après la transaction |
| Factures (montants, référence Stripe) | Obligations comptables et fiscales | Art. 6(1)(c) — Obligation légale | 10 ans (Art. L123-22 Code de commerce) |
4. L'anti-triche en détail
Alidade HR propose une fonctionnalité anti-triche optionnelle que le recruteur peut activer pour chaque invitation individuellement. Cette section détaille précisément ce qui est mesuré et ce qui ne l'est pas, conformément à notre obligation de transparence (Art. 13 RGPD).
✓ Ce que nous mesurons
- Durée cumulée hors plein écran — le nombre total de millisecondes passées hors de l'application pendant le test (détecté via les événements de cycle de vie de l'application)
- Couplage double appareil — un QR code affiché sur l'ordinateur est scanné par le téléphone du candidat pour synchroniser les deux appareils sur la même question
- Temps de réponse par question — durée en millisecondes entre l'affichage et la soumission de chaque réponse
✗ Ce que nous ne faisons pas
- Pas d'accès à la caméra
- Pas d'accès au microphone
- Pas de reconnaissance faciale
- Pas de capture d'écran ni d'enregistrement vidéo
- Pas de détection du double écran physique
- Pas d'empreinte matérielle (IMEI, adresse MAC)
- Pas d'enregistrement des frappes clavier
Caractère optionnel et information préalable
L'anti-triche est désactivé par défaut. Il n'est actif que si le recruteur a explicitement choisi de l'activer pour votre invitation. Dans ce cas, une notice clairement visible vous en informera avant le début du test via l'application.
Base légale
La collecte de métriques anti-triche repose sur l'intérêt légitime du recruteur (Art. 6(1)(f) RGPD) à obtenir des résultats d'évaluation fiables, reflet réel des compétences du candidat. Ces mesures sont proportionnées : elles sont comportementales et temporelles, sans recours à la biométrie ou à la surveillance de l'environnement physique du candidat. Elles correspondent aux pratiques de surveillance d'un examen en présentiel (un surveillant observerait les mêmes comportements : sortie de salle, utilisation d'un second appareil).
Droit d'opposition
Vous pouvez vous opposer à la collecte de métriques anti-triche en vertu de l'Art. 21 RGPD en contactant privacy@rh-assessment.fr. En cas d'opposition, le recruteur en sera informé et pourra choisir de désactiver l'anti-triche ou d'annuler l'invitation.
5. Destinataires des données
Vos données sont partagées avec les destinataires suivants, dans la stricte limite de ce qui est nécessaire à chaque finalité :
- ▸ Recruteurs (clients de la plateforme) : accès aux résultats, scores, et métriques anti-triche du candidat qu'ils ont spécifiquement invité. Chaque recruteur n'accède qu'aux données des candidats de ses propres tests.
- ▸ OVH SAS (hébergeur) : accès technique en qualité de sous-traitant (Art. 28 RGPD). Un accord de traitement des données est en place. Hébergement en France.
- ▸ Stripe (paiement) : traite les données de paiement des recruteurs uniquement. Stripe est soumis à ses propres règles de confidentialité. Les candidats ne sont jamais concernés par ce traitement.
- ▸ Experts d'entretien partenaires : accèdent aux données de session uniquement dans le cadre d'un entretien humain optionnel commandé par le recruteur, sous accord de traitement des données.
6. Transferts hors Union européenne
Les données personnelles hébergées par Alidade HR sont stockées en France (Roubaix, OVH). Aucun transfert hors UE n'est effectué pour le stockage des données candidats et recruteurs.
Stripe, notre prestataire de paiement, est basé aux États-Unis. Les transferts de données de paiement vers Stripe sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'Art. 46(2)(c) RGPD.
7. Sécurité des données (Art. 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte ou destruction.
Mesures actuellement en place
- ✓ Toutes les communications entre vos appareils et nos serveurs sont chiffrées via le protocole TLS 1.2/1.3 (HTTPS)
- ✓ Les mots de passe ne sont jamais stockés en clair : ils sont transformés en empreinte cryptographique irréversible (PBKDF2-SHA256 avec sel aléatoire par compte)
- ✓ La base de données n'est pas exposée directement sur Internet — accès restreint au réseau interne de l'infrastructure
- ✓ Authentification par tokens JWT avec durée d'expiration courte (60 min) et rotation automatique des tokens de rafraîchissement
- ✓ Les fichiers uploadés (questions, CV) sont stockés sur OVH Object Storage (S3-compatible), séparé de la base de données
- ✓ Limitation du taux de tentatives de connexion (10 tentatives/minute par IP)
Chiffrement au repos
- ✓ Les données les plus sensibles sont chiffrées au niveau applicatif en base de données (algorithme AES-256 via Fernet) : CV, compétences, informations de facturation, notes d'expert et rapports d'entretien
- ✓ La clé de chiffrement est stockée séparément des données (variable d'environnement isolée du serveur de base de données)
En cas d'accès non autorisé à la base de données seule, les champs chiffrés sont illisibles sans la clé. Les données non chiffrées (scores, métriques anti-triche, horodatages) ne permettent pas d'identifier directement une personne sans les données associées.
8. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte candidat (email, nom, compétences, CV) | 3 ans après le dernier test passé |
| Résultats de test (réponses, scores, métriques anti-triche) | 3 ans après le test (délai de prescription contractuelle) |
| Identifiant de session double appareil (device_token UUID) | Durée de la session de test uniquement (supprimé à la clôture) |
| Invitations sans compte activé (test non commencé) | 1 an après l'envoi de l'invitation |
| Notes et rapports d'entretien humain | 3 ans après l'entretien |
| Données de compte recruteur (email, nom, entreprise) | Durée du contrat + 5 ans |
| Factures et données de facturation | 10 ans (obligation légale Art. L123-22 Code de commerce) |
| Journaux techniques (logs serveur) | 90 jours |
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles. Pour les exercer, contactez-nous à privacy@rh-assessment.fr. Nous répondons dans un délai d'un mois (Art. 12(3)).
Art. 15 — Droit d'accès
Obtenir une copie de l'ensemble des données personnelles que nous détenons sur vous, ainsi que des informations sur leur traitement.
Art. 16 — Droit de rectification
Corriger des données inexactes ou incomplètes vous concernant.
Art. 17 — Droit à l'effacement ("droit à l'oubli")
Demander la suppression de vos données dans les cas prévus par la loi (finalité atteinte, retrait du consentement, opposition légitime). Ce droit ne s'applique pas aux données soumises à une obligation légale de conservation (factures).
Art. 18 — Droit à la limitation du traitement
Demander que vos données soient conservées mais non utilisées activement, par exemple pendant la vérification d'une contestation.
Art. 20 — Droit à la portabilité
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (applicable aux données traitées sur base contractuelle ou consentement).
Art. 21 — Droit d'opposition
Vous opposer à tout moment au traitement fondé sur l'intérêt légitime (Art. 6(1)(f)), notamment les métriques anti-triche. En cas d'opposition, le recruteur sera informé et pourra choisir de désactiver l'anti-triche ou d'annuler l'invitation.
Art. 22 — Décision automatisée
Aucune décision entièrement automatisée produisant des effets juridiques significatifs n'est prise à votre égard. Les scores de test sont présentés aux recruteurs, qui prennent eux-mêmes leurs décisions de recrutement.
11. Modifications de la présente politique
La présente politique de confidentialité peut être mise à jour pour refléter l'évolution de la plateforme, de nos pratiques ou des obligations légales. La date de dernière mise à jour est indiquée en haut de page.
En cas de modification substantielle affectant vos droits ou les finalités de traitement, vous en serez informé par email. Les versions précédentes sont disponibles sur demande à privacy@rh-assessment.fr.