Chez SpotLite, votre confiance est la base de tout. La présente Politique de Confidentialité explique de façon claire et exhaustive quelles données nous collectons, pourquoi nous les traitons, avec qui elles sont partagées, comment nous les sécurisons, combien de temps nous les conservons et comment vous gardez le contrôle. Elle s'applique à l'application mobile SpotLite, au site spotlite-app.com et à l'ensemble de nos services. Elle est conforme au Règlement Général sur la Protection des Données (RGPD), à la Google API Services User Data Policy et aux exigences de l'App Store et de Google Play.
1. Responsable du traitement#
Le responsable du traitement des données est PEREZ LAVADIE JAVIER, immatriculée sous le numéro 513648568, dont le siège est situé 6 rue Joséphine Baker 69007, France. Pour toute question relative à vos données ou pour exercer vos droits, contactez notre référent Protection des Données à l'adresse contact-us@spotlite-app.com, ou par courrier à l'adresse ci-dessus.
2. Données que nous collectons#
Nous appliquons le principe de minimisation : nous ne collectons que les données nécessaires aux finalités décrites ci-dessous.
- Données de compte et d'authentification : adresse e-mail, mot de passe (stocké de façon chiffrée et irréversible par notre prestataire d'authentification, jamais en clair), et, si vous choisissez la connexion via un fournisseur tiers, les informations de base transmises par Google ou Apple (voir section 3). Numéro de téléphone lorsque vous vérifiez votre compte (notamment pour accéder aux fonctionnalités gratuites soumises à anti-abus).
- Données de profil professionnel : nom et prénom, photo de profil, intitulés de poste, compétences, expériences, CV (importés ou générés), vidéos et contenus audio de présentation, avis sur les entreprises, ainsi que toute information que vous choisissez d'ajouter à votre profil.
- Coffre-Fort de Preuves (non-conservation des originaux) : lorsque vous importez un diplôme, permis ou certification, le fichier image ou PDF original est traité en mémoire par notre Intelligence Artificielle de certification, puis immédiatement et définitivement supprimé de nos serveurs. Nous ne conservons en base de données que les métadonnées extraites sous forme de texte (type de document, date, établissement, score de confiance). Nous ne pourrons donc jamais vous restituer le fichier original après analyse.
- Données d'utilisation et Journal : votre historique de navigation (offres et vidéos consultées) est stocké localement sur votre appareil. Ce Journal n'est transféré à nos serveurs que si vous activez explicitement la synchronisation, afin d'alimenter l'intelligence sémantique contextuelle de votre assistant de carrière. Nous collectons également des données d'usage agrégées et statistiques pour améliorer le service.
- Données techniques et identifiants d'appareil : modèle et système d'exploitation de l'appareil, identifiant d'appareil, adresse IP, jetons de notification push, journaux techniques, dates de création de compte et de dernière connexion, et liste de vos appareils connectés. L'identifiant d'appareil est utilisé à des fins de sécurité et de lutte contre la fraude et les abus (y compris pour faire respecter les bannissements).
- Données de transaction : historique d'achats, de crédits et d'abonnements. Nous ne stockons jamais vos coordonnées bancaires complètes : les paiements sont traités par Apple, Google ou notre prestataire de paiement (voir section 7).
3. Connexion via des comptes tiers — Données utilisateur Google et Apple#
Cette section décrit précisément comment SpotLite accède, utilise, stocke et partage les données utilisateur Google, conformément à la Google API Services User Data Policy (y compris ses exigences d'Usage Limité / Limited Use). Les mêmes principes s'appliquent à la connexion Apple (Sign in with Apple).
Données Google consultées. Lorsque vous choisissez « Continuer avec Google », SpotLite demande uniquement les autorisations (scopes) suivantes : openid, votre adresse e-mail (email) et votre profil de base (profil : nom et photo de profil), ainsi que votre identifiant de compte Google. SpotLite ne demande et n'accède à AUCUNE donnée Google sensible ou à champ d'application restreint : nous n'accédons jamais à votre Gmail, à Google Drive, à vos Contacts, à votre Agenda, à vos photos ou à tout autre service Google.
Utilisation des données Google. Ces données sont utilisées exclusivement pour : (1) créer et sécuriser votre compte SpotLite et vous authentifier ; (2) pré-remplir votre profil (nom, e-mail, photo) afin de vous éviter une double saisie ; (3) vous adresser des communications de service essentielles (sécurité, support, facturation). Nous n'utilisons pas les données Google à des fins publicitaires.
Partage des données Google. Nous ne vendons pas et ne louons pas les données utilisateur Google. Elles ne sont partagées qu'avec nos sous-traitants techniques strictement nécessaires au fonctionnement de l'authentification et de l'hébergement (notamment Google Firebase Authentication et Google Cloud Platform), agissant sur nos instructions et soumis à des obligations contractuelles de confidentialité (voir section 7). Aucune donnée Google n'est transférée à des tiers à des fins commerciales.
Stockage et protection des données Google. Les données issues de votre compte Google sont stockées au sein de l'infrastructure Google Cloud / Firebase (région europe-west6, Suisse). Elles sont chiffrées en transit (TLS) et au repos, protégées par des contrôles d'accès stricts, l'authentification renforcée des administrateurs et la journalisation des accès (voir section 9).
Conservation et suppression des données Google. Les données Google sont conservées tant que votre compte SpotLite est actif. Vous pouvez à tout moment révoquer l'accès de SpotLite depuis votre Compte Google (myaccount.google.com, rubrique « Sécurité » puis « Applications tierces »), et vous pouvez supprimer définitivement votre compte et les données associées directement dans l'application (voir section 11) ou en écrivant à contact-us@spotlite-app.com. La suppression est traitée comme décrit en section 11.
Usage Limité (Limited Use). L'utilisation par SpotLite des informations reçues des API Google respecte la Google API Services User Data Policy, y compris ses exigences d'Usage Limité (Limited Use). En particulier : les données utilisateur Google sont utilisées uniquement pour fournir et améliorer les fonctionnalités visibles par l'utilisateur ; elles ne sont jamais vendues ; elles ne sont pas transférées à des tiers sauf si nécessaire pour fournir le service, pour des raisons de sécurité, ou pour se conformer à la loi ; et les données utilisateur Google ne sont jamais utilisées pour développer, entraîner ou améliorer des modèles d'intelligence artificielle généralisés ou de fondation. L'entraînement de nos modèles d'IA (section 5) repose exclusivement sur les contenus que vous publiez sur SpotLite, et jamais sur les données issues de votre compte Google ou Apple.
4. Finalités et bases légales du traitement (RGPD)#
Nous traitons vos données sur les bases légales suivantes :
- Exécution du contrat : créer et gérer votre compte, fournir les fonctionnalités (CV, vidéos, mise en relation, paiements, crédits).
- Consentement : synchronisation du Journal, visibilité publique / mode « Chasseur de têtes » (sourcing B2B), utilisation de vos contenus pour l'entraînement de l'IA (section 5), communications marketing facultatives. Vous pouvez retirer votre consentement à tout moment.
- Intérêt légitime : sécurité de la plateforme, prévention de la fraude et des abus, modération automatisée des contenus, amélioration statistique du service.
- Obligation légale : conservation des justificatifs comptables et réponse aux réquisitions des autorités compétentes.
5. Intelligence Artificielle, traitements automatisés et entraînement de modèles#
SpotLite utilise l'intelligence artificielle pour : générer et contextualiser des CV (assistant Dalia), évaluer la cohérence des candidatures, analyser et certifier les documents du Coffre-Fort, recommander des contenus et des ambiances sonores, et modérer automatiquement les contenus (vidéos, images, textes, profils) afin de protéger la communauté.
Entraînement de modèles propriétaires. SpotLite développe ses propres modèles d'intelligence artificielle. À cette fin, et sous réserve de votre consentement lorsque la loi l'exige, nous pouvons utiliser, sous forme brute, transformée ou anonymisée, les contenus que vous créez et publiez sur la plateforme (CV, vidéos, contenus audio, avis, journaux synchronisés, contenus des programmes Musiciens et Journalistes) pour entraîner, évaluer et améliorer ces modèles. Cet usage fait l'objet des garanties suivantes :
- Nous n'utilisons jamais, à des fins d'entraînement de l'IA, les données issues de vos comptes tiers Google ou Apple (voir section 3).
- Nous ne traitons pas de catégories particulières de données (données dites « sensibles ») à des fins d'entraînement sans votre consentement explicite, et nous mettons en œuvre des mesures de pseudonymisation ou d'anonymisation chaque fois que cela est possible.
- Vous pouvez vous opposer à l'utilisation de vos contenus pour l'entraînement de l'IA, ou retirer votre consentement, à tout moment depuis vos paramètres (Cockpit) ou en nous écrivant. Ce retrait vaut pour l'avenir et n'affecte pas la licéité des traitements déjà réalisés ni les modèles déjà entraînés, dont l'apprentissage est par nature irréversible.
Décisions automatisées. Certaines décisions de modération peuvent être prises de façon automatisée. Vous disposez du droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester ces décisions auprès de notre support. Les CV et analyses générés par l'IA peuvent contenir des inexactitudes : il vous appartient de les vérifier avant tout usage.
6. Partage des informations et accès professionnel (B2B)#
Nous ne vendons pas vos données personnelles à des tiers publicitaires. SpotLite propose une suite d'outils et d'API destinés aux recruteurs et entreprises. Si — et seulement si — vous activez l'option de visibilité publique ou le mode « Chasseur de têtes » dans vos paramètres, vos compétences unifiées, votre CV généré par l'IA et vos preuves de diplômes certifiées (sans vos coordonnées de contact direct) deviennent consultables et extractibles par nos partenaires professionnels certifiés. Vous pouvez désactiver ce partage ou révoquer cet accès à tout moment depuis votre Cockpit. Nous pouvons également divulguer des données si la loi l'exige, pour protéger les droits, la sécurité ou les biens de SpotLite et de ses utilisateurs, ou dans le cadre d'une opération sur l'entreprise (fusion, cession), auquel cas vous en seriez informé.
API Développeurs (B2B). Les recruteurs et entreprises autorisés peuvent accéder à certaines fonctionnalités via nos API professionnelles, au moyen d'une clé d'API personnelle et après approbation. Ces accès sont limités aux données que vous avez choisi de rendre accessibles (mode public / sourcing) et sont encadrés par des conditions imposant aux clients API la confidentialité, la sécurité, le respect du RGPD et l'interdiction de revente. Le détail figure dans nos Conditions des API & Extension.
Extensions navigateur. Nous proposons deux extensions de navigateur optionnelles. Dans les deux cas, l'extension n'agit que lorsque vous la déclenchez vous-même sur la page que vous consultez : elle ne suit jamais votre navigation, ne lit pas les pages en arrière-plan, ne collecte pas votre historique et ne vend aucune donnée. Ces extensions respectent l'exigence d'Usage Limité (Limited Use) du programme Chrome Web Store. Leur fonctionnement détaillé figure dans nos Conditions des API & Extensions.
- SpotLite Copilot (chercheurs d'emploi). Lorsque vous cliquez sur « Enregistrer » sur une page d'offre d'emploi, l'extension transmet le contenu affiché de cette page à SpotLite afin d'enregistrer l'offre sur votre compte. Elle s'authentifie via une clé personnelle liée à votre compte, stockée de façon hachée, avec un nombre limité d'appareils simultanés.
- SpotLite Talent · Prospect (recruteurs et entreprises). Lorsque vous cliquez sur « Analyser » sur la page d'une entreprise, l'extension transmet le contenu affiché de cette page à SpotLite, qui identifie l'entreprise, recherche son actualité publique et en déduit, à l'aide de l'IA, des signaux et des besoins de recrutement, puis enregistre le résultat dans vos fiches « Clients ». Elle s'authentifie via votre clé d'API professionnelle (stockée de façon hachée) ; l'analyse par l'IA est décomptée de votre solde d'IA. Elle ne traite que des informations professionnelles publiques relatives à l'entreprise consultée.
7. Sous-traitants et destinataires#
Nous faisons appel à des sous-traitants soigneusement sélectionnés, agissant sur nos instructions et liés par des engagements de confidentialité et de sécurité :
- Google Firebase / Google Cloud Platform : authentification, base de données, hébergement, fonctions serveur, stockage et notifications (région europe-west6).
- Google / Vertex AI (modèles Gemini) : traitements d'intelligence artificielle (génération, analyse, modération). Ces traitements sont encadrés par des conditions interdisant la réutilisation de vos données pour entraîner les modèles du fournisseur.
- Apple App Store et Google Play : traitement des achats intégrés et des abonnements.
- Prestataire de paiement (ex. Stripe) : traitement sécurisé des paiements par carte hors magasins d'applications.
- Prestataire d'e-mailing : envoi des e-mails transactionnels et de service.
La liste à jour des sous-traitants peut être obtenue sur demande à contact-us@spotlite-app.com.
8. Transferts internationaux de données#
Vos données sont hébergées en priorité en Europe (Suisse, région europe-west6, pays bénéficiant d'une décision d'adéquation de la Commission européenne). Lorsqu'un sous-traitant traite des données en dehors de l'Espace Économique Européen, ce transfert est encadré par des garanties appropriées (clauses contractuelles types de la Commission européenne ou mécanisme d'adéquation), dont une copie peut être demandée à contact-us@spotlite-app.com.
9. Sécurité des données#
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement en transit (TLS) et au repos, contrôle d'accès et principe du moindre privilège, authentification renforcée et vérification faciale pour les accès d'administration sensibles, attestation d'intégrité applicative (App Check) sur nos fonctions serveur, journalisation et surveillance des accès, et suppression immédiate des fichiers originaux du Coffre-Fort après traitement. Aucune méthode de transmission ou de stockage n'étant infaillible à 100 %, nous ne pouvons garantir une sécurité absolue, mais nous nous engageons à protéger vos données et à vous notifier toute violation conformément à la loi.
10. Durée de conservation#
Nous conservons vos données uniquement le temps nécessaire aux finalités poursuivies :
- Données de compte et de profil : pendant toute la durée de vie du compte, puis supprimées ou anonymisées après sa suppression (sous réserve des durées légales).
- Fichiers originaux du Coffre-Fort : supprimés immédiatement après analyse ; seules les métadonnées sont conservées avec le compte.
- Données de transaction et justificatifs comptables : conservées jusqu'à 10 ans pour répondre à nos obligations légales et fiscales.
- Données techniques et de sécurité (journaux, identifiants d'appareil liés à un abus) : conservées le temps nécessaire à la prévention de la fraude et au respect des sanctions.
- Contenus déjà publiés et diffusés (vidéos utilisant une musique, contenus dérivés) : peuvent subsister conformément aux licences acceptées lors de la publication.
11. Vos droits et comment les exercer#
Conformément au RGPD, vous disposez des droits suivants : droit d'accès, de rectification, d'effacement (« droit à l'oubli »), de limitation et d'opposition au traitement, de portabilité de vos données, de retrait de votre consentement à tout moment, et de définir des directives relatives au sort de vos données après votre décès.
Suppression du compte. Vous pouvez supprimer votre compte et les données associées directement dans l'application (Paramètres puis « Supprimer mon compte »), ou en écrivant à contact-us@spotlite-app.com. À réception, nous supprimons ou anonymisons vos données dans un délai raisonnable n'excédant pas 30 jours, sauf données que la loi nous oblige à conserver (section 10). En raison de notre politique d'effacement automatique, les fichiers originaux du Coffre-Fort ne peuvent pas être restitués. Tout solde de crédits restant est définitivement perdu lors de la suppression du compte.
Pour exercer vos droits, contactez contact-us@spotlite-app.com. Nous pouvons vous demander de vérifier votre identité. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de votre autorité de protection des données.
12. Protection des mineurs#
SpotLite est une plateforme professionnelle réservée aux personnes âgées d'au moins 16 ans. Nous ne collectons pas sciemment de données concernant des personnes plus jeunes. Si vous estimez qu'un mineur nous a fourni des données, contactez-nous afin que nous les supprimions.
13. Modifications de cette politique#
Nous pouvons mettre à jour cette Politique de Confidentialité. Toute modification importante est signalée dans l'application avec une nouvelle version et, le cas échéant, une demande de réacceptation. La date de dernière mise à jour et le numéro de version figurent en tête du document. Les versions traduites sont fournies à titre de commodité ; en cas de divergence, la version française fait foi.
14. Contact#
Pour toute question relative à cette politique ou à vos données personnelles : contact-us@spotlite-app.com, ou par courrier à SpotLite, 6 rue Joséphine Baker 69007, France.