Légal
Politique de confidentialité
Dernière mise à jour : 7 juin 2026
Notre engagement : ne traiter que les données strictement nécessaires, dans le respect du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés.
1. Responsable de traitement
Le responsable du traitement est :
Mr Automate, SASU, RCS Nantes 104 920 426
40 rue la Tour d'Auvergne, 44200 Nantes
Contact : legal@smarterthanai.app
2. Données collectées
2.1 Utilisateurs du site et clients
- Identification : nom, prénom, adresse email professionnelle, fonction, entreprise ;
- Compte : identifiants, mot de passe (chiffré), préférences ;
- Facturation : raison sociale, adresse, numéro SIREN, numéro de TVA, historique des paiements (les données de carte bancaire ne sont jamais stockées par Mr Automate, elles sont traitées directement par notre prestataire de paiement certifié PCI-DSS) ;
- Échanges : contenu des messages de support, demandes commerciales ;
- Données techniques: adresse IP, type de navigateur, système d'exploitation, pages consultées, horodatage.
2.2 Candidats évalués sur la Plateforme
- Identification : nom, prénom, adresse email ;
- Réponses aux évaluations : réponses aux questions, scores, temps de réponse ;
- Analyses générées : profils, recommandations produites par les algorithmes ;
- Données techniques : identiques à celles des utilisateurs du site.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Fournir l'accès à la Plateforme et exécuter le contrat | Exécution du contrat |
| Gérer la facturation et le recouvrement | Exécution du contrat + obligation légale (comptabilité) |
| Assurer la sécurité de la Plateforme et prévenir la fraude | Intérêt légitime |
| Répondre aux demandes de support | Exécution du contrat |
| Mesurer l'audience du site et améliorer les Services | Consentement (cookies analytiques) / intérêt légitime (mesures anonymisées) |
| Envoyer des communications commerciales | Consentement (prospects) / intérêt légitime (clients existants, produits similaires) |
| Respecter les obligations légales (RGPD, fiscalité, etc.) | Obligation légale |
| Évaluer les candidats pour le compte d'un Client | Exécution du contrat liant Mr Automate au Client (Mr Automate agit comme sous-traitant) |
4. Destinataires des données
Les données sont accessibles aux personnes habilitées au sein de Mr Automate. Elles peuvent être communiquées :
- au Client, pour les données des candidats qu'il a invités ;
- aux autorités administratives ou judiciaires lorsque la loi l'exige ;
- à nos sous-traitants techniques (voir section suivante).
Mr Automate ne vend, ne loue et n'échange aucune donnée personnelle.
5. Sous-traitants
Pour fournir les Services, Mr Automate fait appel à des sous-traitants soigneusement sélectionnés, encadrés par des accords conformes à l'article 28 du RGPD.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel Inc. 340 S Lemon Ave #4133, Walnut, CA 91789, USA | Hébergement de la Plateforme, déploiement et réseau de diffusion de contenu (CDN) | États-Unis (DPF + CCT) |
| Supabase Inc. San Francisco, USA — infrastructure UE disponible | Backend, stockage de la base de données et authentification | Union européenne (région UE de Supabase) |
| Functional Software, Inc. (Sentry) 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA | Détection et suivi des erreurs techniques de la Plateforme | États-Unis (DPF + CCT) — possibilité de résidence UE |
| Anthropic, PBC San Francisco, Californie, États-Unis | Analyse des réponses des candidats par modèle d'intelligence artificielle (scoring et recommandations). Les données transmises ne sont pas conservées par Anthropic ni utilisées pour entraîner ses modèles (option contractuelle activée). | États-Unis (CCT) |
| PostHog Inc. 2261 Market Street #4008, San Francisco, CA 94114, USA | Mesure d'audience et analyse du comportement d'usage de la Plateforme (statistiques de fréquentation, parcours utilisateur). Les données sont hébergées en Union européenne (région UE de PostHog, Francfort). | Union européenne (région UE) — entité juridique aux États-Unis (DPF + CCT) |
| Google LLC 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA | Mesure de la performance du site dans le moteur de recherche Google (Google Search Console — impressions, clics, requêtes des internautes). Aucune donnée d'utilisateur de la Plateforme n'est transmise : Google Search Console expose des données agrégées issues du moteur Google lui-même. | États-Unis (DPF) |
Cette liste est susceptible d'évoluer. Les Clients sont informés de tout changement substantiel concernant les sous-traitants traitant des données pour leur compte.
6. Transferts hors Union européenne
Certains de nos sous-traitants traitent des données aux États-Unis. Dans ces cas, Mr Automate s'assure qu'un cadre juridique approprié encadre le transfert :
- adhésion du sous-traitant au Data Privacy Framework(DPF) reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023 ;
- à défaut, signature des Clauses contractuelles types (CCT) de la Commission européenne ;
- mise en œuvre de mesures complémentaires (chiffrement, pseudonymisation) lorsque nécessaire.
Pour réduire l'exposition aux transferts hors UE, Mr Automate privilégie chaque fois que possible les configurations européennes des services utilisés (notamment la région UE de Supabase pour le stockage des données applicatives).
7. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte client actif | Durée du contrat |
| Compte client inactif | 3 ans après la dernière activité |
| Données comptables et factures | 10 ans (article L. 123-22 du Code de commerce) |
| Données techniques / logs de connexion | 12 mois (LCEN) |
| Cookies (hors essentiels) | 13 mois maximum, conformément à la recommandation CNIL |
| Données des candidats | Conservées pour la durée définie par le Client responsable de traitement, avec un maximum recommandé de 2 ans après le dernier contact |
| Données de prospection | 3 ans après le dernier contact |
| Tickets de support | 3 ans après la clôture |
8. Sécurité
Mr Automate met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données :
- chiffrement des communications (TLS) et des données sensibles au repos ;
- authentification forte et hachage des mots de passe ;
- cloisonnement des environnements et contrôle d'accès basé sur les rôles ;
- journalisation, supervision et alerting des accès et opérations sensibles ;
- sauvegardes régulières et chiffrées ;
- engagement de confidentialité de l'ensemble des collaborateurs ;
- procédure documentée de gestion des incidents de sécurité.
En cas de violation de données présentant un risque pour les droits et libertés des personnes, Mr Automate notifie la CNIL dans un délai de 72 heures et informe les personnes concernées lorsque la loi l'exige.
9. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :
- Accès (article 15) : obtenir confirmation que des données vous concernant sont traitées et en recevoir copie ;
- Rectification (article 16) : corriger des données inexactes ou les compléter ;
- Effacement (article 17), dans les conditions prévues par le RGPD ;
- Limitation du traitement (article 18) ;
- Opposition (article 21), notamment à la prospection commerciale ;
- Portabilité (article 20) ;
- Définir des directives relatives au sort de vos données après votre décès ;
- Retirer votre consentementà tout moment, sans que cela n'affecte la licéité des traitements antérieurs.
Pour exercer ces droits, contactez-nous à legal@smarterthanai.app. Une preuve d'identité peut être demandée en cas de doute raisonnable. Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois pour les demandes complexes.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
10. Décisions automatisées et intelligence artificielle
La Plateforme Smarter Than AI repose sur des algorithmes d'intelligence artificielle pour analyser les réponses des candidats et produire des recommandations.
Au regard du Règlement (UE) 2024/1689 (« AI Act »), les systèmes d'IA utilisés à des fins d'évaluation pour le recrutement sont classés comme systèmes à haut risque(Annexe III). À ce titre, Mr Automate s'engage à respecter les obligations associées : gestion des risques, documentation technique, supervision humaine, transparence, journalisation, robustesse et cybersécurité.
Les candidats sont informés du recours à un système d'IA dans le cadre de leur évaluation et peuvent demander à exercer leurs droits, notamment en sollicitant une révision humaine de toute décision les concernant.
11. Utilisation des données pour l'entraînement de modèles
Mr Automate n'utilise pas les données personnelles identifiables des Clients et des Candidats pour entraîner ou améliorer des modèles d'IA généralistes.
Mr Automate peut, en revanche, exploiter des données anonymisées et agrégées(statistiques, benchmarks sectoriels) ne permettant plus l'identification d'une personne, afin d'améliorer la qualité des évaluations et la pertinence des recommandations.
Lorsque des modèles d'IA tiers sont utilisés (par exemple via une API), Mr Automate sélectionne des fournisseurs offrant des garanties contractuelles excluant la réutilisation des données transmises pour l'entraînement de leurs modèles.
12. Cookies et traceurs
Le site utilise des cookies strictement nécessaires à son fonctionnement, des cookies de préférences, et — sous réserve de votre consentement — des cookies de mesure d'audience.
| Type | Finalité | Consentement |
|---|---|---|
| Cookies strictement nécessaires | Authentification, sécurité, fonctionnement du site | Non requis |
| Cookies de préférences | Mémorisation des choix utilisateurs (langue, choix de consentement aux cookies analytiques) | Non requis |
| Cookies analytiques (PostHog, région UE) | Mesure de fréquentation, analyse du parcours utilisateur, amélioration du produit. Déposés uniquement si vous cliquez sur « Accepter » dans le bandeau. | Requis |
Un bandeau de consentement s'affiche à votre première visite et vous permet d'accepter ou de refuser les cookies analytiques. Votre choix est conservé pendant 13 mois, conformément à la recommandation CNIL, et vous pouvez le modifier à tout moment via le lien « Préférences cookies » présent dans le pied de page.
Avant que vous ne fassiez un choix, ainsi que si vous refusez les cookies analytiques, nous mesurons le trafic du site de manière anonymisée et sans aucun cookie(mode cookieless de PostHog), sur la base de notre intérêt légitime à comprendre l'usage de notre Plateforme. Cette mesure ne dépose aucun cookie et ne permet aucune identification individuelle ni aucun suivi cross-session. Les cookies analytiques ne sont déposés qu'après votre clic sur « Accepter ».
13. Modifications de la politique
La présente politique peut évoluer. Toute modification substantielle est portée à votre connaissance via le site ou par email. La version applicable est celle en vigueur à la date de votre consultation, indiquée en tête du document.
14. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
legal@smarterthanai.app
Mr Automate — 40 rue la Tour d'Auvergne, 44200 Nantes
Mr Automate · SASU · RCS Nantes 104 920 426