1. Responsable de traitement
AutomatisIA — Philippe Cohen EI
Avenue des écoles, Beausoleil B5, 13120 Gardanne, France
SIRET : 92458012900014
Contact : contact@automatisia.fr
2. Données collectées
Dans le cadre de l'utilisation de Levelia, nous collectons :
- Données d'identification (recruteurs) : adresse email professionnelle, identifiant de session.
- Données de campagne : intitulé du poste, paramètres de cadrage (missions, stack, politique IA, etc.), durée, parties sélectionnées.
- Données candidats : adresse email (optionnelle, pour envoi du lien d'invitation), réponses à l'évaluation (échanges LLM, réponses aux questions, soumission du test pratique).
- Données de scoring : sous-scores dimensionnels (PRM, VRF, ITR, CTX, ETH, JGM, INT, AUT), restitution générée par IA, badge W3C VC.
- Données techniques : logs serveur (adresse IP, user-agent, horodatage), journaux d'audit des actions sur la plateforme.
3. Bases légales du traitement
- Exécution du contrat : fourniture du service d'évaluation, gestion des comptes organisations, génération des rapports et badges.
- Intérêt légitime : amélioration du service, statistiques d'utilisation anonymisées, prévention des abus, journalisation AI Act.
- Obligation légale : conservation des journaux d'audit conformément aux obligations AI Act high-risk.
4. Traitement automatisé et supervision humaine
Levelia utilise des modèles d'IA (Claude d'Anthropic, via proxy captif) pour générer les questions d'évaluation et scorer les réponses des candidats. Ce traitement constitue un profilage partiel au sens de l'article 22 du RGPD.
Aucune décision entièrement automatisée n'est prise sur la base de ces traitements. Les résultats constituent une aide à la décision présentée au recruteur, qui reste seul responsable de la décision finale. Conformément au RGPD et à l'AI Act (système high-risk), vous disposez d'un droit d'opposition au profilage : contact@automatisia.fr.
5. Sous-traitants et destinataires
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH SAS (Kimsufi) | Hébergement serveur applicatif et base de données | Gravelines, France (UE) |
| Anthropic PBC | Génération des questions et scoring par IA (API proxy) | États-Unis (SCCs) |
| IONOS SARL | Email transactionnel (SMTP) | Sarreguemines, France (UE) |
| France Travail | Autocomplétion des intitulés de postes (API ROME 4.0) | France (UE) |
| Redis / BullMQ | File de travaux asynchrones (auto-hébergé OVH) | Gravelines, France (UE) |
6. Transferts internationaux
Anthropic est basé aux États-Unis. Les échanges entre la plateforme et l'API Anthropic sont encadrés par les Clauses Contractuelles Types (SCCs) de la Commission européenne. Aucune donnée d'identification personnelle n'est transmise à Anthropic — seul le contenu des échanges et réponses de l'épreuve est traité. La plateforme est configurée en mode data retention opt-out : les données ne sont pas utilisées pour entraîner les modèles Anthropic.
7. Durée de conservation
- Données de campagne et résultats : 12 mois par défaut à compter de la clôture de la campagne, configurable par l'administrateur de l'organisation.
- Journaux d'audit : 36 mois (obligation AI Act).
- Données de session : durée de la session, expiration automatique du token d'invitation.
- Badges W3C VC : conservation indéfinie pour permettre la vérification publique sur verify.levelia.fr.
8. Sécurité
- Isolation multi-tenant : Row Level Security (RLS) PostgreSQL — chaque organisation n'accède qu'à ses propres données.
- Chiffrement en transit : HTTPS/TLS sur toutes les communications.
- Authentification sans mot de passe : magic link email à usage unique.
- Tokens candidat : UUID aléatoires à usage unique et durée limitée.
- Journalisation complète : toutes les actions sont auditées avec horodatage, acteur et checksum.
- Résidence UE : toutes les données sont hébergées dans les datacenters OVH en France (Gravelines, GRA).
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger des données inexactes.
- Droit de suppression : demander l'effacement de vos données.
- Droit à la portabilité : recevoir vos données dans un format lisible par machine.
- Droit d'opposition au profilage : s'opposer au traitement automatisé (art. 21 RGPD).
Pour exercer ces droits : contact@automatisia.fr. Réponse sous 30 jours.
En cas de réclamation, vous pouvez saisir la CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
10. Cookies
- Cookie de session : maintien de la session Auth.js (cookie technique, strictement nécessaire, durée de session).
- Préférence de thème : mémorisation du thème clair/sombre (localStorage, pas de cookie tiers).
- Aucun cookie publicitaire ni tracker tiers n'est déposé sur la plateforme.
11. Analyse d’impact (DPIA)
Conformément au principe de privacy-by-design et à l'article 35 du RGPD, Levelia tient à jour une analyse d'impact relative à la protection des données (DPIA) couvrant l'ensemble des traitements du dispositif d'évaluation, y compris la génération des artefacts d'épreuve, l'archivage des issues seedées et la trace d'évaluation par assessment (obligations AI Act pour les systèmes à haut risque dans l'emploi).
La DPIA est revue avant toute mise en production, puis annuellement ou à chaque changement majeur (nouveau sous-traitant LLM, extension du scope candidat, nouveau référentiel de compétences, incident de sécurité).
Un candidat, un DPO, un juriste ou un audit externe peut demander la version courante de la DPIA à contact@automatisia.fr. Réponse sous 15 jours.
12. Modifications
AutomatisIA se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, les utilisateurs en seront informés par email. La date de dernière mise à jour est indiquée en haut de cette page.