Politique de confidentialité — Clients
1. À propos de cette politique
Cette politique s’applique à vous lorsque votre entreprise souscrit à un abonnement au service RHythm, édité par Wibast SAS, ou lorsque vous utilisez personnellement le service en tant qu’utilisateur d’un compte client (administrateur ou recruteur).
Elle complète les Conditions générales d’utilisation et les Conditions générales de vente du service. En cas de contradiction entre les documents, la présente politique prévaut sur les questions de protection des données à caractère personnel.
2. Notre rôle vis-à-vis de vos données et celles de vos candidats
Wibast joue deux rôles distincts selon les données concernées, ce qui détermine vos obligations respectives.
2.1. Données de votre compte client : Wibast est responsable de traitement
Pour les données strictement nécessaires à l’exploitation du service (identifiants utilisateurs, journaux d’authentification, données de facturation, journaux techniques), Wibast SAS agit en qualité de responsable de traitement. C’est Wibast qui en détermine les finalités, les durées de conservation et les mesures de sécurité. La présente politique encadre ces traitements.
2.2. Données candidats que vous collectez via RHythm : vous êtes responsable de traitement, Wibast est sous-traitant
Pour les données candidats que vous collectez et traitez via le service (curriculum vitæ, lettres de motivation, scores d’adéquation, notes internes, etc.), vous agissez en qualité de responsable de traitement. C’est vous qui décidez des finalités (pourvoir un poste donné), des critères de pré-sélection et des durées de conservation effectives, dans les limites fixées par la réglementation et par les paramètres techniques du service.
Wibast agit alors en qualité de sous-traitant au sens de l’article 28 du RGPD. Les engagements de Wibast à votre égard pour ce traitement sont précisés dans l’annexe « Sous-traitance Article 28 » des Conditions générales d’utilisation.
3. Quelles données nous traitons sur votre compte
Les données traitées par Wibast en sa qualité de responsable de traitement portent sur :
| Catégorie | Origine |
|---|---|
| Identification du contact administrateur du compte : prénom, nom, adresse électronique professionnelle, fonction, numéro de téléphone optionnel | Saisie au moment de l’inscription |
| Identification des utilisateurs additionnels du compte (recruteurs invités par l’administrateur) | Invitation envoyée par l’administrateur du compte |
| Identifiants techniques : mot de passe haché par algorithme bcrypt, jetons de session, facteur d’authentification multiple (MFA) | Production automatique |
| Informations relatives à votre entreprise : raison sociale, secteur d’activité, taille indicative, site web public, identifiant unique du compte | Saisie au compte |
| Données de facturation et d’abonnement | Traitées par Stripe, Wibast n’accède qu’aux métadonnées (statut, plan, date de prochain renouvellement) |
| Journaux d’activité sur les candidatures, les outils d’intelligence artificielle, et les événements système (création, modification, suppression d’entités) | Production automatique |
| Journaux techniques bruts (connexions, erreurs serveur) | Production automatique chez les hébergeurs |
4. À quelles fins
Wibast traite ces données pour :
- la fourniture du service : authentification, exécution des fonctionnalités, accès à vos données, sauvegardes ;
- la facturation et la gestion contractuelle de votre abonnement ;
- la communication avec vous au sujet du service (notifications techniques, mises à jour, courriels d’assistance, communications relatives à l’échéance ou à la suspension de votre compte) ;
- la prévention et la détection des incidents de sécurité, des fraudes, des abus du service ou des utilisations contraires aux conditions générales ;
- la démonstration de la conformité aux obligations légales et réglementaires (article 5.2 du RGPD, article 12 du règlement européen sur l’intelligence artificielle) ;
- la production de statistiques internes anonymisées d’utilisation du service.
5. Sur quelle base légale
| Finalité | Base légale |
|---|---|
| Exécution du service (fourniture des fonctionnalités, authentification, sauvegardes) | Art. 6.1.b RGPD — exécution du contrat d’abonnement |
| Facturation et gestion contractuelle | Art. 6.1.b RGPD — exécution du contrat |
| Communications techniques liées au service | Art. 6.1.b RGPD — exécution du contrat |
| Journaux d’audit et conservation des traces | Art. 6.1.f RGPD — intérêt légitime à pouvoir démontrer la conformité |
| Prévention de la fraude et des abus du service | Art. 6.1.f RGPD — intérêt légitime à la sécurité du service |
| Conservation et archivage légal (factures notamment) | Art. 6.1.c RGPD — obligation légale (article L102 B du Livre des procédures fiscales notamment) |
6. À qui ces données sont communiquées
Les données du compte sont communiquées exclusivement :
- aux personnes habilitées de Wibast SAS, dans la stricte mesure nécessaire à leur mission (support technique, exploitation, sécurité) ;
- aux sous-traitants techniques de Wibast listés à la section suivante, dans la stricte mesure nécessaire à leur prestation ;
- aux autorités administratives et judiciaires, lorsque la loi l’exige.
Vos données ne sont jamais :
- vendues à des tiers ;
- communiquées à des courtiers en données, plateformes publicitaires ou intermédiaires commerciaux ;
- utilisées pour entraîner les modèles d’intelligence artificielle de Wibast ou de ses sous-traitants.
7. Sous-traitants et transferts hors Union européenne
Wibast SAS s’appuie sur les sous-traitants suivants pour fournir le service :
| Sous-traitant | Service | Localisation | Encadrement transfert |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage | Francfort, Allemagne | Sans transfert hors Union européenne |
| Anthropic PBC | Modèle d’intelligence artificielle (parsing, scoring, outils RH) | États-Unis | Clauses contractuelles types annexées à l’accord de traitement |
| Make.com | Orchestration de scénarios d’intelligence artificielle secondaires | Europe | Sans transfert hors Union européenne |
| Vercel Inc. | Hébergement de l’application web | Europe | Clauses contractuelles types le cas échéant |
| Railway Corp. | Hébergement du serveur applicatif | Europe | Sans transfert hors Union européenne |
| Resend Inc. | E-mails transactionnels | Europe | Sans transfert hors Union européenne |
| Stripe Payments Europe Ltd. | Encaissement et facturation | Irlande | Sans transfert hors Union européenne |
| Cloudflare Inc. | DNS et routage de la messagerie support | Europe et réseau mondial | Clauses contractuelles types le cas échéant |
Le recours au cadre du Data Privacy Framework est explicitement écarté, en raison de l’incertitude jurisprudentielle pesant sur sa pérennité.
8. Vos obligations en tant que responsable du traitement de vos candidats
Dès lors que vous collectez et traitez des candidatures via RHythm, vous êtes responsable de traitement au sens de l’article 4.7 du RGPD. À ce titre, vous êtes notamment tenu :
- d’informer chacun de vos candidats du traitement de leurs données, conformément aux articles 13 et 14 du RGPD : une politique de confidentialité publique générique pour les candidats, éditée par Wibast et accessible depuis chaque page carrière, complète mais ne dispense pas votre propre obligation d’information ;
- de recueillir les justifications licites de chaque traitement et de pouvoir en démontrer la conformité ;
- de respecter la durée de conservation recommandée par la CNIL pour les systèmes de gestion des candidatures (deux ans à compter du dernier contact) ;
- de répondre, dans les délais légaux, aux demandes d’exercice des droits exprimées par les candidats que vous recrutez ;
- de notifier à Wibast, sans délai injustifié, toute violation de données dont vous auriez connaissance et qui impliquerait des données traitées via RHythm ;
- de respecter les obligations qui vous incombent au titre du règlement européen sur l’intelligence artificielle, notamment la supervision humaine effective des décisions de pré-sélection.
Wibast met à votre disposition : l’export des données candidat (droit d’accès et de portabilité), la suppression ciblée d’une candidature (droit à l’effacement), la traçabilité des décisions (journaux d’audit consultables pour démontrer la supervision humaine), la possibilité de détacher et de rattacher une candidature (relance du scoring).
9. Combien de temps nous conservons vos données
Les durées de conservation appliquées par Wibast sont les suivantes :
| Catégorie | Durée |
|---|---|
| Compte client actif | Toute la durée du contrat d’abonnement |
| Compte client résilié | Conservation jusqu’au terme de la période payée, puis suppression dans les 60 jours suivant l’échéance, sauf demande expresse d’export préalable |
| Compte d’essai expiré non converti | 60 jours de période de grâce à compter de la fin de la période d’essai, puis 14 jours de suspension de l’accès (avec possibilité de réactivation par contact du support), puis effacement irréversible. Trois e-mails de préavis sont envoyés à l’administrateur du compte à J-30, J-14 et J-7 avant la suspension |
| Journaux d’audit sur les candidatures et les outils d’intelligence artificielle | Deux ans après la suppression de votre compte. Les références aux candidats sont anonymisées au moment de la suppression du compte |
| Journaux techniques bruts (connexions, erreurs) | 30 jours en moyenne (durée fixée par les hébergeurs) |
| Factures et pièces comptables | 10 ans à compter de la clôture de l’exercice (obligation légale) |
À tout moment, vous pouvez demander à Wibast une suppression anticipée des données de votre compte. Cette suppression entraîne la perte irréversible de toutes les candidatures qui y sont associées ; nous vous recommandons fortement de procéder à un export préalable.
10. Vos droits
Vous disposez sur les données vous concernant traitées par Wibast en sa qualité de responsable de traitement des droits suivants :
- Droit d’accès, de rectification et de portabilité (articles 15, 16, 20 du RGPD).
- Droit à l’effacement (article 17), sauf si la conservation reste nécessaire pour l’exécution du contrat ou le respect d’une obligation légale (notamment les factures, soumises à une obligation de conservation décennale).
- Droit à la limitation et droit d’opposition (articles 18 et 21).
Pour exercer ces droits, contactez Wibast à l’adresse support@rhythm-rh.fr, en indiquant en objet la nature de votre demande.
Vous disposez également du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, ou en ligne sur cnil.fr/fr/plaintes.
11. Sécurité de vos données
Wibast met en œuvre les mesures techniques et organisationnelles suivantes :
- chiffrement de bout en bout des communications (HTTPS / TLS 1.2 minimum) et chiffrement au repos sur les serveurs des hébergeurs ;
- isolation logique multi-client par Row Level Security du moteur PostgreSQL, vérifiée par double sonde au niveau de l’authentification : aucun utilisateur ne peut accéder aux données d’une autre entreprise cliente ;
- hachage cryptographique fort des mots de passe (algorithme bcrypt) ;
- authentification multi-facteur disponible, et exigible par l’administrateur du compte pour tous ses utilisateurs ;
- journalisation horodatée de toutes les actions sensibles (consultation, modification, suppression de candidatures et de comptes, exécution des outils d’intelligence artificielle, événements système) ;
- procédure documentée de gestion des violations de données : en cas d’incident, la CNIL est notifiée dans un délai de 72 heures (article 33 du RGPD) et les personnes concernées sont informées si le risque est élevé (article 34) ;
- tests réguliers de la configuration de sécurité des politiques d’accès à la base de données.
12. Cookies sur l’application
L’application app.rhythm-rh.fr n’utilise que des cookies strictement nécessaires au bon fonctionnement du service :
- cookies de session permettant de maintenir votre authentification active ;
- cookies de sécurité destinés à protéger le service contre certaines attaques (notamment cross-site request forgery).
Aucun cookie publicitaire, de profilage ou de mesure d’audience tiers n’est posé dans l’application. Si Wibast venait à intégrer un outil de mesure d’audience à l’avenir, votre consentement préalable et explicite serait demandé conformément aux lignes directrices de la CNIL, via une bannière de consentement à choix granulaire.
13. Modifications de cette politique
Cette politique peut être modifiée à l’avenir pour tenir compte de l’évolution du service, de la réglementation ou des pratiques de l’industrie. Les modifications matérielles vous seront notifiées par courrier électronique à l’adresse de l’administrateur du compte, au moins trente jours avant leur entrée en vigueur. Les modifications mineures (corrections rédactionnelles, ajout de précisions) peuvent être effectuées sans préavis.
14. Comment nous contacter
Pour toute question relative à cette politique ou au traitement de vos données par Wibast :
- Adresse postale : Wibast SAS, 6 bis rue de la Garenne, 69290 Saint-Genis-les-Ollières, France.
- Adresse électronique : support@rhythm-rh.fr
- Délégué à la protection des données : Clément Gaudino, joignable à la même adresse électronique.