Politique de confidentialité

Politique de confidentialité

Comment Boost My Resume collecte, stocke et traite vos données. Hébergées dans l'UE, jamais utilisées pour entraîner des modèles, supprimables depuis les Réglages.

Dernière mise à jour : 27 mai 2026

Boost My Resume est édité par N Marketing SASU (SIREN 890 496 565), 61 rue de Lyon, 75012 Paris, France. La présente politique explique ce que nous collectons, pourquoi, combien de temps nous le conservons et les droits dont vous disposez. Nous sommes responsables de traitement pour les données personnelles traitées par le service.

Ce que nous collectons

Lorsque vous utilisez Boost My Resume, nous conservons les éléments suivants :

  • Informations de compte. Votre adresse e-mail (nécessaire pour vous connecter), un nom d'affichage facultatif, une préférence de langue facultative et votre formule actuelle.
  • CV sources. Les fichiers PDF et DOCX que vous téléversez, stockés sur notre stockage objet managé. Chaque CV est analysé en un profil structuré afin d'être réutilisé pour vos différentes candidatures.
  • CV adaptés. Le CV structuré généré pour chaque offre, accompagné des scores et de l'offre d'emploi telle que vous l'avez collée.
  • Lettres de motivation. Le texte généré de chaque lettre produite.
  • Analyses anonymisées des offres. Des statistiques agrégées non personnelles, sans lien avec votre compte, utilisées en interne pour étudier les types de postes ciblés.
  • Métadonnées de paiement Stripe. Identifiant client, identifiant d'abonnement, formule et dates de facturation. Nous ne voyons ni ne stockons jamais votre numéro de carte.
  • Solde de crédits. Solde de crédits et historique d'utilisation.
  • Support et retours. Les messages envoyés via le formulaire de contact et les retours laissés sur chaque génération.

À quoi servent ces données

Nous utilisons ces données uniquement pour :

  • exécuter le service pour lequel vous vous êtes inscrit·e (analyser votre CV, générer les contenus adaptés, produire les exports PDF et DOCX) ;
  • envoyer les courriels transactionnels (confirmation de connexion, réinitialisation de mot de passe, confirmation de changement d'adresse, reçus) ;
  • traiter les paiements et la TVA via Stripe ;
  • répondre à vos demandes de support et tenir compte de vos retours ;
  • protéger le service contre les abus (limites de débit, vérification anti-robot, signaux de fraude).

Nous ne vendons pas vos données, nous ne les partageons pas avec des annonceurs, et nous n'utilisons ni vos CV ni les offres d'emploi pour entraîner un modèle d'apprentissage automatique. Les fournisseurs d'IA / LLM que nous appelons sont liés par des contrats interdisant l'entraînement sur les données clients.

Bases légales (article 6 du RGPD)

  • Exécution d'un contrat - pour fournir l'adaptation, la génération, la facturation et le support auxquels vous avez souscrit.
  • Consentement - lors d'une connexion via un fournisseur OAuth, celui-ci nous transmet certains champs sur la base de votre autorisation.
  • Intérêt légitime - pour préserver la sécurité du service (limites de débit, détection de robots, atténuation des abus) et étudier des usages agrégés non personnels.
  • Obligation légale - pour conserver les pièces fiscales et comptables imposées par la loi française et européenne.

Sous-traitants

Nous nous appuyons sur un petit nombre de prestataires pour fournir le service. Chacun est lié par un accord de traitement des données et, le cas échéant, par les Clauses Contractuelles Types de l'Union européenne.

  • Hébergement cloud et bases de données managées dans l'UE - les données de votre compte, vos CV sources, les contenus adaptés et les enregistrements d'authentification sont stockés dans l'Union européenne.
  • Traitement des paiements, de la facturation et de la TVA - aucune donnée de carte n'est visible ni stockée par nous.
  • Envoi de courriels transactionnels - confirmations de connexion, réinitialisations de mot de passe, reçus.
  • Fournisseurs de modèles IA / LLM - opérant sous des contrats interdisant l'entraînement sur les données clients. Utilisés pour l'analyse de CV, l'adaptation, la génération de lettres de motivation et le scoring.
  • Récupération interne d'offres par URL ou PDF - lorsque vous collez une URL ou un PDF d'offre au lieu du texte, nous utilisons un service interne pour récupérer la page ou en extraire le texte.
  • Fournisseurs de connexion OAuth optionnels - utilisés uniquement si vous choisissez cette méthode de connexion.
  • CDN et protection anti-robot - utilisés sur le site public et les formulaires d'authentification.

La liste à jour des sous-traitants nommés, avec leurs juridictions et les références aux accords de traitement, est disponible sur demande à contact@boostmyresume.org.

Transferts internationaux

Les données de votre compte, vos CV sources, les contenus adaptés et les enregistrements d'authentification sont stockés dans l'Union européenne. Certains sous-traitants peuvent traiter certaines données hors UE dans le cadre des Clauses Contractuelles Types de l'Union européenne et de leurs accords de traitement respectifs. Les scripts de mesure d'audience, d'attribution publicitaire et de gestion de balises décrits dans la section Cookies impliquent des transferts vers les États-Unis (Google LLC, Microsoft Corporation, Reddit, Inc.) et Singapour (Ahrefs Pte. Ltd.) ; ils ne s'exécutent que sur le site public et, dans les juridictions soumises au RGPD, uniquement après votre acceptation sur la bannière de cookies.

Durées de conservation

  • Profil de compte - tant que votre compte est ouvert. En cas de demande de suppression, le délai de grâce de 30 jours décrit ci-dessous s'applique ; à l'issue de ce délai, le profil est supprimé sans délai indu.
  • CV sources, CV adaptés, lettres de motivation - tant que votre compte est ouvert, afin que vous puissiez ré-exporter une version antérieure. Supprimés avec votre compte.
  • Offres d'emploi - conservées verbatim tant que votre compte est ouvert, afin que vous puissiez retravailler une candidature passée ou vérifier comment un résultat a été produit. Nous ne tronquons, ne résumons et ne reformulons jamais le texte stocké. Sur demande via le formulaire de contact ci-dessous, le texte verbatim est définitivement supprimé dans un court délai. Une ligne d'analyse anonymisée, sans lien avec votre compte, peut être conservée sans limite de durée (point suivant).
  • Analyses anonymisées des offres - conservées sans limite de durée. La ligne n'est pas reliée à votre compte et ne peut pas être ré-identifiée.
  • Métadonnées Stripe et factures - conservées pour la durée requise par la loi fiscale (actuellement 10 ans pour les pièces comptables en droit français), puis supprimées.
  • Messages de support et retours - conservés tant que votre compte est ouvert, puis supprimés avec lui.
  • Journaux applicatifs et de sécurité - les journaux applicatifs et de sécurité utilisent une référence non réversible à votre compte et sont conservés pendant une durée limitée (actuellement jusqu'à 90 jours), puis supprimés.

Données de sécurité et de prévention de la fraude

Afin de prévenir la fraude, de nous défendre contre les contestations de paiement et de sécuriser votre compte, nous conservons un journal des principaux événements de consentement et de paiement : identifiants techniques, région, version des Conditions et de la Politique de confidentialité que vous avez acceptées, horodatages. Base légale : intérêt légitime (article 6, paragraphe 1, point f) du RGPD). Lorsque nous nous fondons sur l'intérêt légitime, vous disposez d'un droit d'opposition pour des motifs tenant à votre situation particulière (article 21) - écrivez à contact@boostmyresume.org pour exercer ce droit. Ces enregistrements sont conservés 13 mois à compter de votre dernière activité, après quoi les identifiants techniques et la région sont anonymisés.

Cookies

Nous utilisons un petit nombre de cookies strictement nécessaires ainsi qu'une courte liste de scripts de mesure d'audience, d'attribution publicitaire et de gestion de balises sur le site public. Si vous êtes dans l'Union européenne, au Royaume-Uni, en Norvège, en Islande ou au Liechtenstein, aucun script de mesure d'audience, d'attribution publicitaire ou de gestion de balises n'est chargé tant que vous n'avez pas cliqué sur Accepter dans la bannière de cookies en bas de page. Si vous refusez, aucun de ces scripts ne se charge et aucun de leurs cookies n'est déposé. Hors de ces juridictions, ces scripts se chargent par défaut et vous pouvez vous y opposer via les contrôles de cookies de votre navigateur.

L'espace connecté du produit (votre tableau de bord, l'atelier d'adaptation, les réglages, la facturation) ne charge aucun script de mesure d'audience, d'attribution publicitaire ou de gestion de balises : uniquement les cookies strictement nécessaires ci-dessous.

Strictement nécessaires

Ces cookies sont déposés indépendamment du consentement car le service ne peut pas fonctionner sans eux.

  • Session d'authentification - déposé à la connexion. Nécessaire pour vous maintenir connecté·e.
  • Préférence de thème - un cookie propriétaire mémorisant votre choix clair ou sombre.
  • Choix de consentement (bmr_consent) - un cookie propriétaire qui enregistre votre clic Accepter ou Refuser sur la bannière, afin de ne pas vous redemander à chaque page. Valeurs : accepted ou refused. Durée : 1 an. SameSite=Lax.
  • Stripe Checkout - déposé à l'intérieur de l'iframe Stripe pendant le paiement. Stripe est responsable de ce cookie.
  • Cloudflare Turnstile - déposé sur les formulaires d'inscription, de réinitialisation et de contact pour confirmer que vous n'êtes pas un robot. Cloudflare est responsable de ce cookie.

Mesure d'audience, attribution publicitaire et gestion de balises (site public uniquement, soumis au consentement dans les juridictions RGPD)

  • Google Tag Manager - Google LLC (États-Unis) dans le cadre des Clauses Contractuelles Types de l'Union européenne. Charge depuis googletagmanager.com un script de conteneur léger qui décide quelles balises en aval déclencher selon votre état de consentement. Le script de conteneur ne dépose lui-même aucun identifiant de suivi ; il se limite à livrer et conditionner les balises listées ci-dessous.
  • Suivi des conversions Google Ads - Google LLC (États-Unis) dans le cadre des Clauses Contractuelles Types de l'Union européenne, déclenché depuis l'intérieur du conteneur Google Tag Manager ci-dessus. Envoie trois événements de conversion à Google Ads pour permettre une attribution au niveau du mot-clé pour nos campagnes payantes : création de compte (sign_up), envoi d'une candidature à adapter (tailoring_submitted) et achat confirmé (purchase). Chaque événement comporte un nom d'événement, une valeur en centimes, une devise et un identifiant de transaction anonyme ; aucun e-mail, nom ou contenu de CV n'est transmis.
  • Google Analytics 4 - Google Ireland Limited (UE) avec transferts ultérieurs vers Google LLC (États-Unis) dans le cadre des Clauses Contractuelles Types de l'Union européenne. Mesure d'audience et import de conversions vers Google Ads. Dépose les cookies propriétaires _ga et _ga_* (2 ans).
  • Microsoft Clarity - Microsoft Corporation (États-Unis), avec collecte en région UE lorsque disponible, dans le cadre des Clauses Contractuelles Types de l'Union européenne. Enregistrement de session et cartes de chaleur sur les pages publiques uniquement - nous avons délibérément choisi de ne rien enregistrer dans l'espace connecté du produit. Dépose les cookies propriétaires _clck (1 an) et _clsk (1 jour).
  • Reddit Pixel - Reddit, Inc. (États-Unis) dans le cadre des Clauses Contractuelles Types de l'Union européenne. Attribution des conversions pour Reddit Ads. Dépose des cookies sur les domaines redditstatic.com et alb.reddit.com.
  • Ahrefs Web Analytics - Ahrefs Pte. Ltd. (Singapour). Mesure d'audience respectueuse de la vie privée à des fins de référencement. Présenté comme sans cookie ; Ahrefs utilise une empreinte hachée de signaux de la requête en lieu et place d'un cookie.

Google Tag Manager utilise quatre catégories de consentement définies par Google : ad_storage, ad_user_data, ad_personalization et analytics_storage. Dans les juridictions RGPD, le conteneur se charge à l'état refusé par défaut lors de votre première visite, ce qui signifie qu'aucune des balises Google listées ci-dessus ne stocke d'identifiants ni n'envoie de données personnelles tant que le consentement n'a pas été donné. Notre bannière de cookies est binaire - un seul clic sur Accepter passe les quatre catégories à accordé d'un coup, et un seul clic sur Refuser les laisse toutes les quatre refusées. Nous ne proposons pas pour l'instant de contrôle granulaire catégorie par catégorie ; vous acceptez ou refusez l'ensemble.

Comment revenir sur votre choix

Dans les juridictions RGPD, supprimez le cookie bmr_consent pour boostmyresume.org dans votre navigateur et la bannière s'affichera de nouveau lors de votre prochaine visite. Nous n'exposons pas pour l'instant de bouton dans l'application pour rouvrir la bannière. Partout dans le monde, le blocage des cookies tiers, le mode de protection contre le suivi de votre navigateur ou l'installation d'un bloqueur de contenu empêche le chargement de ces scripts, même lors de visites où ils s'exécuteraient autrement.

La Suisse est traitée comme une juridiction hors RGPD pour les besoins de cette bannière : les visiteurs suisses ne voient pas la bannière de consentement et les scripts se chargent par défaut. Les résidents suisses peuvent néanmoins s'y opposer à tout moment en application de la Loi fédérale suisse sur la protection des données en écrivant à contact@boostmyresume.org.

Suppression du compte

Vous pouvez demander la suppression de votre compte depuis Réglages → Zone dangereuse. Le compte est alors marqué comme en attente de suppression et vous bénéficiez d'un délai de grâce de 30 jours pendant lequel il vous suffit de vous reconnecter pour annuler la demande. À l'issue de ce délai, votre compte est clôturé et vos données sont mises en file d'attente pour suppression définitive : profil, CV sources, CV adaptés, lettres de motivation, messages de support et retours. La suppression est effectuée selon un calendrier opéré manuellement et non de manière instantanée ; si vous souhaitez recevoir une confirmation écrite que la suppression a été effectuée pour votre compte, écrivez à contact@boostmyresume.org. Les offres d'emploi stockées verbatim sont conservées au-delà de la clôture du compte pour les besoins de sécurité et de prévention des litiges décrits ci-dessus ; pour les supprimer, écrivez à la même adresse. Les analyses anonymisées d'offres (qui n'ont aucun lien avec vous) ne sont pas affectées.

Vos droits

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition au traitement de vos données personnelles, ainsi que d'un droit à la portabilité (articles 15 à 22). Pour exercer l'un de ces droits - accès, rectification, effacement, portabilité, limitation ou opposition - écrivez-nous à contact@boostmyresume.org ou utilisez le formulaire de contact. Les demandes relatives à la protection des données peuvent également être adressées directement à dpo@boostmyresume.org. Pour votre commodité, la suppression de compte peut également être initiée directement depuis Paramètres → Zone dangereuse. Nous accusons réception sous un jour ouvré et répondons dans un délai d'un mois, conformément à l'article 12, paragraphe 3 du RGPD. Vous pouvez également introduire une réclamation auprès d'une autorité de contrôle, en France la CNIL.

Mineurs

Le service ne s'adresse pas aux personnes de moins de 16 ans. Si nous apprenons que des données personnelles ont été collectées auprès d'un mineur de moins de 16 ans, nous les supprimerons (article 8 du RGPD).

Modifications de la politique

Lorsque cette politique évolue, la date de « Dernière mise à jour » en tête de page est actualisée. Les modifications importantes seront annoncées dans l'application et par e-mail aux utilisateurs actifs.

Contact

Pour toute question relative à cette politique ou à la manière dont nous traitons vos données, écrivez-nous à contact@boostmyresume.org.