Politique de Confidentialité et Technologies de Session
PREMIÈRE PARTIE – POLITIQUE DE CONFIDENTIALITÉ
Article 1 – Introduction
La présente Politique de confidentialité décrit la manière dont EXEHUB, entreprise individuelle de droit français dont le siège est à Archamps (74), France, zone frontalière du canton de Genève (ci-après « EXEHUB » ou « nous »), collecte, utilise, conserve et protège les données personnelles des utilisateurs de la plateforme EXEHUB (ci-après la « Plateforme »).
Cette politique s'applique aux Talents et aux Entreprises inscrits sur la Plateforme ainsi qu'aux visiteurs du site. Elle complète les Conditions Générales d'Utilisation (CGU) d'EXEHUB.
EXEHUB s'engage à traiter vos données personnelles avec le plus grand soin, dans le respect de la Loi fédérale sur la protection des données (LPD, RS 235.1) et de son Ordonnance d'application (OPDo, RS 235.11).
Statut transfrontalier. EXEHUB opère depuis son siège français situé en zone frontalière immédiate du canton de Genève. La Plateforme est fournie aux Talents et aux Entreprises établis en Suisse exclusivement par voie électronique, à distance. EXEHUB ne dispose d'aucun établissement, succursale, ni présence physique en Suisse.
Article 2 – Responsable du traitement
Responsable du traitement : EXEHUB, entreprise individuelle de droit français
Responsable légal : Nicolas Anton
Adresse : 72 rue Georges de Mestral, Bâtiment Athéna 1, Site d'Archamps, 74160 Archamps, France
SIREN : 808 549 752
SIRET (siège) : 808 549 752 00034
Code APE : 6201Z (Programmation informatique)
RCS : 808 549 752 R.C.S. Thonon-les-Bains
Contact protection des données :
Pour toute question relative au traitement de vos données personnelles ou pour exercer vos droits, vous pouvez nous contacter à l'adresse ci-dessus.
Article 3 – Données collectées
3.1. Données fournies par les Talents
| Catégorie | Données | Finalité |
|---|---|---|
| Identification | Nom, prénom, adresse e-mail, numéro de téléphone | Création et gestion du Compte |
| Vérification d'identité | Lien vers profil LinkedIn personnel | Vérification d'éligibilité du Talent par EXEHUB préalablement à la validation du Compte (consultation passive du profil public LinkedIn afin de vérifier la séniorité et le parcours IT déclarés). Donnée non publiée sur la Plateforme, ni transmise à un tiers. |
| Professionnel | Intitulé(s) de poste, compétences avec niveau, certifications, langues parlées avec niveau, statut de disponibilité, curriculum vitae (PDF/Word) | Constitution du profil anonymisé |
| Autorisation de travail | Type de permis (B, C, L, G, nationalité suisse) | Vérification de l'éligibilité |
3.2. Données fournies par les Entreprises
| Catégorie | Données | Finalité |
|---|---|---|
| Identification de l'Entreprise | Raison sociale, numéro d'identification (IDE/RCS), adresse postale, taille de l'entreprise | Création et gestion du Compte Entreprise ; vérification de l'éligibilité |
| Représentant | Nom, prénom, fonction, adresse e-mail, numéro de téléphone du contact référent | Communication relative au Compte et aux demandes de contact |
| Activité | Demandes de contact émises (message libre limité à 300 caractères, date, destinataire), statut et historique de chaque demande | Fonctionnement de la procédure de mise en contact à double consentement |
| Téléchargements de CV | Horodatage des téléchargements de curriculums vitae effectués par l'Entreprise à l'issue de demandes acceptées par les Talents | Traçabilité (art. 8 LPD) et exercice du droit d'accès du Talent |
3.3. Données collectées automatiquement
| Catégorie | Données | Finalité |
|---|---|---|
| Connexion | Adresse IP, navigateur, OS, date/heure | Sécurité ; diagnostic |
| Navigation | Pages visitées, durée, actions | Sécurité ; diagnostic technique |
| Technologie de session | Jeton de session (localStorage) | Authentification |
3.4. Données sensibles
EXEHUB ne collecte aucune donnée sensible au sens de l'art. 5 let. c LPD (opinions politiques, convictions religieuses, données de santé, origine ethnique, données génétiques ou biométriques). Les Talents sont invités à ne pas inclure de telles informations dans leur profil.
Article 4 – Finalités et bases juridiques du traitement
En droit suisse, le traitement de données personnelles est en principe licite pour autant qu'il respecte les principes généraux de la LPD (art. 6 LPD). En cas de contestation, un motif justificatif au sens de l'art. 31 LPD est requis. Le tableau ci-dessous précise les finalités et les motifs justificatifs applicables :
| Finalité | Motif justificatif (art. 31 LPD) | Détail |
|---|---|---|
| Gestion du Compte et fourniture du service | Exécution du contrat | Nécessaire aux CGU |
| Vérification d'identité préalable à la validation du Compte | Exécution du contrat ; intérêt légitime | Consultation passive du profil LinkedIn public afin de vérifier la séniorité et le parcours IT déclarés. Mesure de sécurité visant à protéger l'intégrité de l'annuaire et la véracité des Comptes référencés (art. 6 al. 4 et art. 31 al. 2 let. c LPD). |
| Anonymisation du profil | Exécution du contrat | Fonctionnalité centrale de la Plateforme |
| Procédure de mise en contact à double consentement | Exécution du contrat ; consentement du Talent à la révélation | Acheminement des demandes de contact entre Entreprises et Talents, conservation du message et du statut de la demande, restitution mutuelle d'identité après acceptation explicite du Talent |
| Journalisation des téléchargements de CV | Intérêt légitime ; obligation de sécurité (art. 8 LPD) | Traçabilité des accès aux curriculums vitae pour permettre l'exercice du droit d'accès du Talent (art. 25 LPD) et prévenir les abus |
| Sécurité de la Plateforme | Intérêt légitime | Prévention des fraudes |
| Amélioration et statistiques | Intérêt légitime | Données agrégées uniquement |
| Communications de service | Exécution du contrat | Notifications, alertes |
| Communications commerciales | Consentement | Opt-in ; désinscription libre |
Article 5 – Anonymisation du profil et procédure de mise en contact
5.1. Principe d'anonymisation
L'anonymisation est au cœur du fonctionnement d'EXEHUB. Les profils des Talents sont conservés sur la Plateforme sous une forme anonymisée : seules les initiales du Talent et les informations strictement professionnelles (intitulé de poste, compétences, années d'expérience, certifications) sont enregistrées dans les vues publiques de la Plateforme.
Les informations personnelles identifiantes (nom, prénom, coordonnées et curriculum vitae) sont conservées de manière confidentielle par EXEHUB et ne sont communiquées à aucun tiers sans le consentement explicite du Talent.
Le Talent peut à tout moment désactiver son statut « actif » depuis son espace personnel, ce qui le retire immédiatement des vues publiques de la Plateforme.
5.2. Procédure de mise en contact à double consentement
Lorsqu'une Entreprise souhaite entrer en relation avec un Talent, elle adresse une demande de contact via la Plateforme. Cette demande comprend un message libre limité à trois cents (300) caractères.
Le Talent destinataire est notifié par courriel et au sein de son espace personnel. L'identité de l'Entreprise demanderesse demeure masquée à ce stade. Le Talent dispose d'un délai de cinq (5) jours ouvrés pour accepter ou refuser la demande.
En cas d'acceptation explicite du Talent, les nom, prénom, adresse de courriel et curriculum vitae du Talent sont communiqués à l'Entreprise. L'identité de l'Entreprise est simultanément communiquée au Talent. Cette communication mutuelle constitue le consentement éclairé du Talent au sens de l'art. 6 al. 6 LPD.
En cas de refus du Talent ou d'absence de réponse dans le délai imparti, aucune information identifiante du Talent n'est communiquée à l'Entreprise. Le statut de la demande est conservé dans un but de traçabilité conformément à la durée de conservation indiquée à l'article 8.
5.3. Traçabilité des téléchargements de CV
Chaque téléchargement d'un curriculum vitae par une Entreprise est enregistré dans un journal interne (horodatage, identifiant de l'Entreprise, identifiant du Talent concerné). Ce journal permet au Talent d'exercer son droit d'accès au sens de l'art. 25 LPD et constitue une mesure de sécurité au sens de l'art. 8 LPD.
Article 6 – Destinataires des données
6.1. Accès interne
L'accès aux données personnelles est strictement limité au responsable du traitement et, le cas échéant, aux collaborateurs ou prestataires dûment habilités, dans la stricte mesure nécessaire à l'exercice de leurs fonctions.
6.2. Entreprises destinataires conditionnels
Les Entreprises inscrites sur la Plateforme sont destinataires des données identifiantes d'un Talent (nom, prénom, adresse de courriel, curriculum vitae) uniquement à l'issue d'une demande de contact explicitement acceptée par le Talent, conformément à la procédure décrite à l'article 5.2.
Les Entreprises s'engagent contractuellement, au titre de l'article 5bis des CGU, à traiter ces données dans le strict respect de la LPD (principes de finalité, de proportionnalité et de minimisation au sens de l'art. 6 LPD) et à ne pas les transférer à des tiers non habilités. Un manquement à ces obligations expose l'Entreprise à la suspension ou résiliation de son Compte (article 10.2 des CGU) et aux recours civils ou pénaux que pourrait engager le Talent concerné.
6.3. Sous-traitants
EXEHUB fait appel aux sous-traitants suivants :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Infomaniak Network SA | Hébergement web | Suisse | Données en Suisse |
| Supabase Inc. | Backend, base de données, authentification (instance hébergée chez AWS, Frankfurt) | UE (Francfort, Allemagne) | Décision d'adéquation UE du Conseil fédéral (art. 16 al. 1 LPD) |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | Clauses contractuelles types (SCC) au sens de l'art. 16 al. 2 LPD |
6.4. Absence de vente de données
EXEHUB ne vend, ne loue et ne cède jamais les données personnelles de ses Talents à des tiers à des fins commerciales ou publicitaires.
6.5. Autorités
EXEHUB peut communiquer des données aux autorités compétentes lorsque la loi l'exige ou en cas de décision judiciaire.
Article 7 – Transfert de données hors de Suisse
Les données sont hébergées principalement en Suisse (Infomaniak Network SA, Genève). Le service de backend (Supabase) est hébergé en Union européenne (Francfort, Allemagne, via AWS), pays bénéficiant d'une décision d'adéquation du Conseil fédéral au sens de l'art. 16 al. 1 LPD. Ce transfert est donc autorisé sans garantie supplémentaire.
Le service d'envoi d'emails transactionnels (Resend Inc.) est hébergé aux États-Unis. Ce transfert est encadré par des clauses contractuelles types (SCC) conformément à l'art. 16 al. 2 LPD. Seules les adresses email des destinataires et le contenu des notifications sont transmis à ce sous-traitant, dans le strict cadre du fonctionnement du service.
Pour tout transfert éventuel vers un pays ne figurant pas sur la liste des États disposant d'un niveau de protection adéquat, EXEHUB mettrait en place des garanties contractuelles conformément à l'art. 16 al. 2 LPD.
Article 8 – Durée de conservation
| Données | Durée | Fondement |
|---|---|---|
| Données du Compte | Durée du Compte + 90 jours | Exécution du contrat |
| Comptes Talents non finalisés | 30 jours suivant l'inscription | Minimisation (art. 6 al. 3 LPD) |
| Profil anonymisé | Durée du Compte | Fonctionnement de la Plateforme |
| Demandes de contact (message, statut, dates) | Durée du Compte concerné + 90 jours | Traçabilité, gestion des litiges éventuels |
| Journal des téléchargements de CV | Durée du Compte concerné + 12 mois | Exercice du droit d'accès du Talent (art. 25 LPD) |
| Logs de connexion | 12 mois | Sécurité |
| Jeton de session | Durée de la session | Technique |
À l'expiration de ces durées, les données sont supprimées ou irréversiblement anonymisées. Le délai supplémentaire de 90 jours après clôture du Compte est nécessaire à la gestion d'éventuels litiges et au traitement des demandes de récupération formulées par le Talent ou l'Entreprise.
Article 9 – Sécurité des données
EXEHUB met en œuvre des mesures techniques et organisationnelles conformément à l'art. 8 LPD et aux art. 1 à 4 OPDo :
Chiffrement : données chiffrées en transit (SSL/TLS) et au repos.
Authentification : système sécurisé avec politique de mots de passe robustes.
Isolation : Row Level Security (RLS) assurant une isolation complète entre Talents.
Contrôle d'accès : principe du moindre privilège.
Journalisation : enregistrement des accès pour audit.
Sauvegardes : sauvegardes régulières et plan de continuité.
Tests : revues de sécurité régulières du code et des configurations.
Article 10 – Violation de données
En cas de violation de la sécurité entraînant un risque élevé pour les droits des personnes concernées, EXEHUB :
a) notifie le PFPDT dans les meilleurs délais (art. 24 LPD) ;
b) informe les personnes concernées si nécessaire ;
c) documente l'incident dans un registre interne.
Article 11 – Droits des personnes concernées
Conformément aux art. 25 à 29 LPD, vous disposez des droits suivants :
| Droit | Description | Référence |
|---|---|---|
| Accès | Obtenir confirmation et copie de vos données | Art. 25 LPD |
| Rectification | Corriger des données inexactes | Art. 6 al. 5 LPD |
| Suppression | Demander la suppression de vos données lorsque le traitement n'est plus justifié (sous réserve des obligations légales de conservation) | Art. 6 al. 5 et 32 al. 2 let. c LPD |
| Portabilité | Recevoir vos données en format structuré | Art. 28 LPD |
| Volonté contraire | Manifester sa volonté contraire au traitement | Art. 30 al. 2 let. b LPD |
Au titre du droit d'accès (art. 25 LPD), tout Talent peut notamment demander à EXEHUB la liste des Entreprises ayant téléchargé son curriculum vitae, accompagnée de l'horodatage de chaque téléchargement. Cette demande s'exerce dans les conditions ci-après.
11.1. Exercice des droits
Adressez vos demandes à : . EXEHUB vérifie votre identité et répond dans un délai de trente (30) jours, prolongeable de trente (30) jours en cas de complexité.
11.2. Voies de recours
En cas de refus ou d'absence de réponse, vous pouvez saisir le Préposé fédéral à la protection des données et à la transparence (PFPDT) :
Adresse : PFPDT, Feldeggweg 1, 3003 Berne, Suisse
Site web : www.edoeb.admin.ch
Email : info@edoeb.admin.ch
Si vous résidez en France ou dans un autre État membre de l'Union européenne, vous pouvez également saisir l'autorité de contrôle compétente de votre pays de résidence (en France : la CNIL, www.cnil.fr).
Article 12 – Privacy by Design et by Default
Conformément aux principes de la LPD :
a) la protection des données est intégrée dès la conception (anonymisation par défaut, RLS, minimisation) ;
b) par défaut, seul le minimum nécessaire est collecté ;
c) par défaut, les Talents ne sont pas visibles (statut « inactif » à la création) – activation volontaire requise ;
d) par défaut, les profils sont entièrement anonymisés.
Article 13 – Modification de la Politique
EXEHUB peut modifier la présente Politique. Les modifications substantielles (modifications affectant les finalités de traitement, les destinataires des données, la durée de conservation ou les droits des Talents) font l'objet d'une notification individuelle aux Talents au moins quinze (15) jours avant leur entrée en vigueur. Les modifications mineures (corrections rédactionnelles, précisions techniques, mises à jour de cohérence) entrent en vigueur immédiatement. Pour les nouvelles inscriptions, la Politique dans sa version en vigueur au jour de l'inscription s'applique immédiatement. La version en vigueur, datée, est consultable à tout moment sur la Plateforme.
DEUXIÈME PARTIE – TECHNOLOGIES DE SESSION
Article 14 – Absence de cookies et de traceurs
EXEHUB n'utilise pas de cookies HTTP. L'authentification repose sur un jeton de session strictement technique, nécessaire au fonctionnement du service, stocké dans le localStorage du navigateur du Talent. Ce jeton ne permet aucun suivi publicitaire ou comportemental. Aucun traceur publicitaire, analytique, de reciblage ou de réseau social n'est utilisé sur la Plateforme.
Article 15 – Jeton de session
15.1. Jeton d'authentification
| Technologie | Finalité | Durée | Type |
|---|---|---|---|
| sb-rdebwcfmsrkzgntouapn-auth-token | Jeton d'authentification Supabase (JWT) | 1 heure (renouvellement automatique) | 1ère partie (localStorage) |
Ce jeton est strictement technique et indispensable au fonctionnement de l'authentification. Il est généré par le service d'authentification Supabase et stocké localement dans le navigateur. Aucune donnée de navigation ou de profilage n'est associée à ce jeton.
15.2. Absence de technologies tierces
EXEHUB n'utilise aucune technologie de traçage tiers, aucun cookie publicitaire, de reciblage (retargeting) ni de réseaux sociaux. Aucune donnée de navigation n'est transmise à des régies publicitaires.
Article 16 – Gestion du jeton de session
EXEHUB n'utilisant pas de cookies HTTP, aucun bandeau de consentement n'est requis. Le jeton d'authentification stocké dans le localStorage est strictement nécessaire au fonctionnement du service.
Le Talent peut, à tout moment, supprimer manuellement le jeton de session depuis les outils de développement de son navigateur. Cette suppression entraînera une déconnexion immédiate. Pour accéder aux paramètres de stockage local de votre navigateur :
a) Google Chrome : F12 → Application → Storage → Local Storage
b) Mozilla Firefox : F12 → Stockage → Stockage local
c) Apple Safari : Développement → Afficher l'inspecteur Web → Stockage
d) Microsoft Edge : F12 → Application → Local Storage
Article 17 – Mise à jour
Si EXEHUB venait à introduire des cookies à l'avenir, un bandeau de consentement serait mis en place et la présente politique serait mise à jour en conséquence.