Sommaire
- Responsable du traitement
- Champ d'application
- Définitions
- Données collectées
- Finalités et bases légales
- Durées de conservation
- Destinataires et sous-traitants
- Sous-traitance IA & pseudonymisation
- Transferts hors UE
- Sécurité des données
- Vos droits
- Modalités d'exercice des droits
- Décisions automatisées
- Cookies
- Violation de données
- Modifications
- Contact RGPD
- Réclamation CNIL
1. Responsable du traitement
Nheemia, entreprise individuelle exploitée par Cathy GERALD, SIRET 525 196 895 00060, Montévrain (77144), France. Contact : hello@nheemia.com.
Pour les traitements relevant de la qualité de sous-traitant (données candidats traitées via la plateforme par les Clients), Nheemia agit selon les instructions documentées du Client responsable de traitement, conformément à l'article 28 du RGPD.
2. Champ d'application
La présente politique s'applique à toutes les données personnelles traitées dans le cadre du site nheemia.com et de l'application SaaS Nheemia.
3. Définitions
- Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement : toute opération effectuée sur des données personnelles (collecte, stockage, modification, transmission, suppression…).
- Responsable de traitement : entité qui détermine les finalités et les moyens du traitement.
- Sous-traitant : entité qui traite des données pour le compte du responsable de traitement.
- Pseudonymisation : traitement qui rend les données non attribuables sans information supplémentaire conservée séparément.
4. Données collectées
4.1 — Données des Utilisateurs (Clients)
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom, fonction, société |
| Coordonnées | Email professionnel, téléphone (facultatif) |
| Connexion | Logs, adresse IP, identifiants de session |
| Facturation | RIB / token Stripe (jamais les données bancaires brutes) |
| Usage | Actions effectuées dans la plateforme (audit log) |
4.2 — Données des candidats (via les Clients)
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom (pseudonymisés avant tout traitement IA) |
| Coordonnées | Email, téléphone (jamais transmis aux modèles IA) |
| Professionnelles | CV, expériences, compétences, formations |
| Entretien | Transcriptions, comptes-rendus, indicateurs, scores |
| Référence | Réponses aux questionnaires de prise de référence |
4.3 — Ce qui n'est jamais conservé
Audio d'entretien — le flux audio est traité en temps réel pour générer la transcription, puis supprimé immédiatement. Aucun enregistrement audio n'est conservé par Nheemia.
Partage d'écran — Nheemia n'enregistre ni ne conserve aucune image, capture ou flux vidéo issus du partage d'écran. Seules les données strictement nécessaires au déroulement de l'entretien sont traitées en mémoire.
Données transmises aux modèles IA — les contenus envoyés aux sous-traitants IA (Anthropic, Deepgram) bénéficient des configurations contractuelles de non-réutilisation et de non-conservation proposées par ces fournisseurs. Aucune de vos données n'est utilisée pour entraîner leurs modèles.
4.4 — Ce qui peut être conservé (selon paramètres Client)
Seules les données utiles à la défendabilité de la décision de recrutement peuvent être conservées, dans les limites définies à l'article 6 et selon la configuration choisie par le Client :
- Transcriptions textuelles d'entretien
- Comptes-rendus générés (recruteur, candidat)
- Indicateurs et scores
- Audit log des actions effectuées
5. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service | Exécution du contrat (art. 6.1.b) |
| Gestion des comptes et facturation | Exécution du contrat & obligations légales |
| Sécurité & prévention fraude | Intérêt légitime (art. 6.1.f) |
| Amélioration du service | Intérêt légitime (jamais sur données candidats) |
| Communication commerciale | Consentement (art. 6.1.a) |
| Audit et conformité réglementaire | Obligation légale (art. 6.1.c) |
6. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif | Durée de l'abonnement + 3 ans après la dernière connexion |
| Données candidats | Selon paramètres du Client, maximum 2 ans après fin de procédure |
| Transcriptions et comptes-rendus | Durée définie par le Client, suppression configurable |
| Données de facturation | 10 ans (obligation comptable légale) |
| Logs techniques | 12 mois |
| Audit log AI Act | 3 ans minimum (durée conforme AI Act) |
7. Destinataires et sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Clever Cloud SAS | Hébergement applicatif | Nantes, France 🇫🇷 |
| Supabase Inc. | Base de données | Frankfurt, UE 🇩🇪 |
| Anthropic PBC | Modèle IA (Claude) | USA — CCT + non-réutilisation contractuelle |
| Deepgram Inc. | Transcription audio | USA — CCT + non-réutilisation contractuelle |
| Stripe Inc. | Traitement paiements | USA — CCT |
| Resend.com | Emails transactionnels | UE |
Tous les sous-traitants sont engagés par des contrats conformes à l'article 28 du RGPD et aux Clauses Contractuelles Types (CCT) de la Commission européenne lorsque applicables.
8. Sous-traitance IA et pseudonymisation
Avant tout envoi de données à un modèle d'IA tiers (Anthropic Claude, Deepgram, ou fournisseur équivalent), Nheemia procède à une pseudonymisation et un masquage systématiques :
- Les noms et prénoms sont remplacés par un identifiant générique de session ;
- Les coordonnées (email, téléphone) ne sont jamais envoyées aux modèles IA ;
- Les photos ne sont jamais transmises ;
- L'employeur actuel peut être masqué sur demande du Client.
Aucun de nos sous-traitants IA n'utilise les données du Client pour l'entraînement de leurs modèles. Cette obligation est contractuellement formalisée via les configurations de confidentialité renforcée et de non-réutilisation lorsque proposées par nos fournisseurs.
9. Transferts hors UE
Lorsque des données sont transférées vers des sous-traitants situés hors de l'Union européenne (notamment Anthropic, Deepgram, Stripe), ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, complétées de mesures techniques additionnelles (pseudonymisation préalable, chiffrement en transit et au repos).
10. Sécurité des données
- Chiffrement AES-256 au repos
- Chiffrement TLS 1.3 en transit
- Authentification renforcée (MFA disponible)
- Audit log d'accès complet, conservé 12 mois
- Sauvegardes chiffrées quotidiennes
- Tests de sécurité réguliers
- Politique de gestion des incidents documentée
11. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer au traitement
- Droit à la limitation : restreindre temporairement le traitement
- Droit de retrait du consentement : à tout moment, sans rétroactivité
- Droit à des directives post-mortem (loi française)
12. Modalités d'exercice des droits
Pour exercer vos droits, contactez-nous à hello@nheemia.com en précisant la nature de votre demande et en joignant si nécessaire un justificatif d'identité. Réponse sous 30 jours maximum (prolongeable à 2 mois pour les demandes complexes, avec notification).
13. Décisions automatisées
Conformément à l'article 22 du RGPD, Nheemia ne prend aucune décision exclusivement automatisée ayant un effet juridique ou affectant significativement une personne. Toutes les décisions de recrutement issues de l'utilisation de Nheemia sont prises par un recruteur humain, qui conserve seul l'autorité décisionnelle.
14. Cookies
Le site n'utilise que des cookies strictement nécessaires à l'authentification et au fonctionnement de la plateforme. Aucun cookie publicitaire, aucun pixel de tracking tiers. Voir notre Politique cookies.
15. Violation de données
En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, Nheemia notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informera les personnes concernées dans les meilleurs délais si requis par l'article 34.
16. Modifications
La présente politique peut être modifiée. Les modifications substantielles seront notifiées par email avec un préavis de 30 jours avant entrée en vigueur.
17. Contact RGPD
Toute question relative aux données personnelles ou à l'exercice de vos droits : hello@nheemia.com.
Contact RGPD : Cathy GERALD.
18. Réclamation CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, 75007 Paris — www.cnil.fr.