Politique de confidentialité — Candidats
1. À propos de cette politique
Cette politique s’applique à vous si vous postulez à une offre d’emploi via une page carrière dont l’adresse contient careers.rhythm-rh.fr, ou via tout formulaire de candidature propulsé par le service RHythm.
Le service RHythm est un outil de gestion des candidatures (Applicant Tracking System, ATS) édité par Wibast SAS. Il est utilisé par des entreprises qui s’abonnent à RHythm pour recruter leurs collaborateurs. Lorsque vous postulez, vos données sont collectées et examinées par l’entreprise que vous souhaitez rejoindre : cette entreprise est appelée « l’employeur recruteur » dans la suite de cette politique.
Cette politique vient en complément de l’information que l’employeur recruteur est tenu de vous fournir lui-même au titre du Règlement général sur la protection des données (RGPD). En cas d’écart entre les deux, c’est l’information de l’employeur recruteur qui prime sur les éléments qui le concernent directement (notamment ses finalités de traitement et ses durées de conservation propres).
2. Qui traite vos données et à quel titre
Deux acteurs interviennent dans le traitement de votre candidature :
2.1. L’employeur recruteur (responsable de traitement)
L’entreprise à laquelle vous postulez agit en qualité de responsable de traitement. C’est elle qui :
- décide des finalités du traitement (pourvoir un poste qu’elle a publié) ;
- définit les critères de pré-sélection ;
- conserve vos données pour la durée prévue par sa propre politique de confidentialité, dans la limite des durées maximales mentionnées plus bas ;
- est votre interlocuteur principal pour l’exercice de vos droits sur vos données.
L’identité et les coordonnées de l’employeur recruteur figurent sur la page carrière où vous avez déposé votre candidature, ou sur la confirmation que vous avez reçue après envoi.
2.2. Wibast SAS (sous-traitant)
Wibast SAS, éditeur du service RHythm, agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Wibast met à disposition l’outil technique permettant la collecte, le stockage, l’indexation et le scoring par intelligence artificielle de votre candidature, mais ne décide pas seul des finalités du traitement.
Coordonnées de Wibast SAS, sous-traitant :
- Wibast SAS, 6 bis rue de la Garenne, 69290 Saint-Genis-les-Ollières, France.
- Courriel : support@rhythm-rh.fr
- Délégué à la protection des données : Clément Gaudino, président, joignable à la même adresse électronique.
3. Quelles données nous traitons
Les données suivantes sont traitées dans le cadre de l’examen de votre candidature :
| Catégorie | Origine | Statut |
|---|---|---|
| Nom, prénom, adresse électronique | Saisie directe par vous | Obligatoires |
| Numéro de téléphone | Saisie directe | Facultatif |
| Curriculum vitae (fichier téléversé et texte extrait) | Téléversement par vous | Obligatoire |
| Lettre de motivation | Saisie directe ou téléversement | Facultative |
| URL de votre profil LinkedIn | Saisie directe | Facultative |
| Photographie (si présente dans votre CV) | Téléversement | Facultative |
| Score d’adéquation et justification générés par notre modèle d’intelligence artificielle | Production automatique | Voir section 8 |
| Métadonnées de candidature (date d’envoi, statut, étape du processus) | Production automatique | Obligatoires pour le service |
| Notes internes du recruteur | Saisie par l’employeur recruteur | Internes, non visibles par vous |
Nous ne vous demandons jamais : votre date de naissance, votre nationalité, votre situation familiale, votre numéro de sécurité sociale, votre permis de conduire, vos antécédents judiciaires, ni aucune donnée relevant des catégories particulières prévues par l’article 9 du RGPD (origine ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données de santé, données biométriques, orientation sexuelle).
Le contenu de votre CV étant rédigé librement par vous, il peut techniquement comporter des informations sensibles que vous auriez choisi d’y inclure (engagement associatif, problème de santé déclaré, etc.). Nous vous recommandons de n’y inclure que les informations que vous estimez pertinentes pour l’examen de votre candidature.
4. À quelles fins
Vos données sont utilisées exclusivement pour :
- examiner votre candidature au regard du poste auquel vous postulez ;
- vous contacter pour la poursuite ou la conclusion du processus de recrutement ;
- comparer votre candidature à celle des autres candidats ayant postulé au même poste ;
- conserver votre profil dans un vivier afin de vous proposer, le cas échéant, d’autres opportunités au sein de la même entreprise pendant la durée prévue à la section 9.
Vos données ne sont jamais :
- vendues à des tiers ;
- communiquées à des courtiers en données, plateformes publicitaires ou intermédiaires commerciaux ;
- utilisées pour entraîner les modèles d’intelligence artificielle de Wibast ou de ses sous-traitants.
5. Sur quelle base légale
Le traitement principal repose sur l’article 6.1.b du RGPD : les mesures précontractuelles prises à votre demande. En soumettant votre candidature, vous demandez à l’employeur recruteur d’examiner votre éventuelle embauche, ce qui constitue une demande explicite de votre part justifiant ce traitement.
La conservation, sous une forme strictement nécessaire, des journaux d’activité (qui a consulté quelle candidature, à quelle date) repose sur l’article 6.1.f : l’intérêt légitime de l’employeur recruteur et de Wibast à pouvoir démontrer leur conformité au RGPD et au règlement européen sur l’intelligence artificielle en cas de réclamation ou de contrôle. Cet intérêt a été mis en balance avec vos droits ; vous conservez en particulier la possibilité de demander à tout moment l’effacement de votre fiche, qui entraîne l’anonymisation des références dans les journaux.
6. À qui vos données sont communiquées
Vos données sont communiquées exclusivement :
- aux personnes habilitées de l’employeur recruteur (recruteurs, responsable du recrutement, opérationnels associés à la décision) ;
- à Wibast SAS, en sa qualité de sous-traitant, pour les besoins techniques d’exploitation du service ;
- aux sous-traitants techniques de Wibast listés à la section suivante, dans la stricte mesure nécessaire à leur prestation.
7. Sous-traitants et transferts hors Union européenne
Wibast SAS s’appuie sur les sous-traitants suivants pour fournir le service :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage des fichiers | Francfort, Allemagne |
| Anthropic PBC | Modèle d’intelligence artificielle (parsing du CV et scoring) | États-Unis (encadré par clauses contractuelles types) |
| Make.com | Orchestration de scénarios d’intelligence artificielle secondaires | Europe |
| Vercel Inc. | Hébergement de l’application web | Europe |
| Railway Corp. | Hébergement du serveur applicatif | Europe |
| Resend Inc. | Envoi d’e-mails transactionnels (accusés, notifications) | Europe |
| Cloudflare Inc. | Résolution DNS et routage de la messagerie support | Europe, réseau mondial |
Le seul transfert hors Union européenne concerne l’envoi du contenu textuel de votre CV à l’API Anthropic, hébergée aux États-Unis, pour réalisation du parsing structuré et du scoring d’adéquation. Ce transfert est encadré par les clauses contractuelles types adoptées par la Commission européenne (décision d’exécution 2021/914), figurant en annexe de l’accord de traitement signé entre Wibast et Anthropic. Anthropic s’engage contractuellement à ne pas utiliser le contenu transmis pour entraîner ses modèles.
Wibast a écarté le recours au cadre du Data Privacy Framework, en raison de l’incertitude jurisprudentielle pesant sur sa pérennité (arrêt Schrems II et risque d’annulation future).
8. Scoring par intelligence artificielle et supervision humaine
8.1. Ce que fait l’intelligence artificielle
À la réception de votre candidature, votre CV est analysé par un modèle d’intelligence artificielle fourni par Anthropic (modèle de la famille Claude Sonnet) afin de générer :
- une structuration de votre parcours (expériences, formations, compétences) ;
- un score d’adéquation entre votre profil et le poste, sur une échelle de 1 à 10 ;
- une justification rédigée du score (points d’adéquation, points de réserve).
8.2. Ce qui reste à un être humain
Le score et la justification sont strictement consultatifs. Aucune décision concernant votre candidature (rejet, présélection, classement en réserve) n’est prise sur la seule base du traitement automatisé. Conformément à l’article 22 du RGPD, l’intervention d’un être humain — le recruteur de l’employeur — est requise et systématique. Conformément à l’article 14 du règlement européen sur l’intelligence artificielle, le service est conçu pour permettre une supervision humaine effective, et notamment :
- le recruteur voit toujours la justification du score à côté du score lui-même ;
- il peut relancer une évaluation si le score lui paraît inadapté ;
- il peut ouvrir directement votre CV original et l’examiner manuellement ;
- chaque génération de score est journalisée et conservée deux ans.
8.3. Vos recours en cas de désaccord
Si vous estimez que le traitement de votre candidature a été influencé de manière inappropriée par le scoring automatisé, vous pouvez :
- demander à l’employeur recruteur les principaux facteurs ayant contribué à la décision ;
- demander que votre candidature soit réexaminée sans recours au scoring ;
- exercer votre droit d’opposition au scoring tel que décrit à la section 10 ;
- saisir l’autorité de contrôle (CNIL) si vous estimez qu’une discrimination est en cause.
9. Combien de temps nous conservons vos données
Vos données sont conservées pendant une durée maximale de deux ans à compter du dernier contact entre vous et l’employeur recruteur, conformément à la recommandation de la Commission nationale de l’informatique et des libertés (CNIL) relative aux systèmes de gestion des candidatures. Le dernier contact s’entend, par défaut, comme la date d’envoi de votre candidature ou la date du dernier échange entre vous et l’employeur, selon ce qui est postérieur.
À l’expiration de ce délai, votre fiche est automatiquement supprimée par notre système. Le CV téléversé et tous les fichiers associés sont effacés. Les références à votre identité dans les journaux d’activité sont remplacées par une étiquette neutre ; seules les traces techniques (action, horodatage) demeurent, conservées pendant deux ans supplémentaires aux fins de redevabilité réglementaire.
Vous pouvez à tout moment demander une suppression anticipée (section 10).
10. Vos droits
Vous disposez sur vos données des droits suivants, prévus par les articles 15 à 22 du RGPD :
- Droit d’accès (article 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (article 16) : faire corriger des données inexactes vous concernant.
- Droit à l’effacement (article 17) : demander la suppression de votre candidature, sauf si sa conservation reste nécessaire pour la défense d’un droit en justice ou pour le respect d’une obligation légale.
- Droit à la limitation (article 18) : demander la suspension provisoire du traitement de vos données.
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d’opposition (article 21) : vous opposer au traitement de vos données, y compris au scoring par intelligence artificielle, pour des raisons tenant à votre situation particulière.
- Droit relatif aux décisions automatisées (article 22) : obtenir une intervention humaine, exprimer votre point de vue et contester la décision.
Pour exercer ces droits, vous pouvez vous adresser :
- en premier lieu, à l’employeur recruteur, dont les coordonnées figurent sur la page carrière par laquelle vous avez postulé. Il est votre interlocuteur principal en tant que responsable de traitement ;
- en second lieu, ou si l’employeur ne répond pas dans le délai légal d’un mois, à Wibast SAS à l’adresse support@rhythm-rh.fr, en indiquant en objet la nature de la demande (par exemple : « Demande d’effacement Article 17 RGPD »).
Vous disposez également du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, ou en ligne sur cnil.fr/fr/plaintes.
11. Cookies sur la page carrière
La page carrière par laquelle vous avez postulé n’utilise que des cookies strictement nécessaires au bon fonctionnement du service : cookies de session permettant de conserver les informations que vous saisissez dans le formulaire de candidature, et cookies de sécurité destinés à protéger votre soumission contre les abus automatisés.
Aucun cookie publicitaire, de profilage ou de mesure d’audience tiers n’est posé sur les pages carrière. Lorsque ce sera le cas, votre consentement préalable et explicite vous sera demandé conformément aux lignes directrices de la CNIL, via une bannière dédiée vous permettant un choix granulaire.
12. Sécurité de vos données
Wibast met en œuvre les mesures techniques et organisationnelles suivantes :
- chiffrement de bout en bout des communications (HTTPS / TLS 1.2 minimum) et chiffrement au repos sur les serveurs des hébergeurs ;
- isolation logique par employeur grâce à la sécurité au niveau ligne (Row Level Security) du moteur de base de données : aucune entreprise utilisatrice de RHythm ne peut accéder aux candidatures d’une autre ;
- authentification à facteur multiple disponible pour les comptes des recruteurs ;
- journalisation horodatée de toutes les actions sensibles sur les candidatures (consultation, modification, suppression, envoi d’e-mail) ;
- procédure documentée de gestion des violations de données : en cas d’incident, la CNIL est notifiée dans un délai de 72 heures et les personnes concernées sont informées si le risque est élevé.
13. Modifications de cette politique
Cette politique peut être modifiée à l’avenir pour tenir compte de l’évolution du service, de la réglementation ou des pratiques de l’industrie. Toute modification matérielle prendra effet dès sa publication sur cette page, avec mise à jour de la date figurant en tête de document. Les modifications mineures (corrections rédactionnelles, ajout de précisions) peuvent être effectuées sans préavis.
14. Comment nous contacter
Pour toute question relative à cette politique ou au traitement de vos données par Wibast en sa qualité de sous-traitant :
- Adresse postale : Wibast SAS, 6 bis rue de la Garenne, 69290 Saint-Genis-les-Ollières, France.
- Adresse électronique : support@rhythm-rh.fr
- Délégué à la protection des données : Clément Gaudino, joignable à la même adresse électronique.
Pour les questions relevant des finalités du traitement décidées par votre employeur recruteur (raisons d’un refus, modalités d’exercice de vos droits), nous vous invitons à contacter en premier lieu cet employeur.