← Retour
Légal

Politique de confidentialité

Cette politique décrit quelles données personnelles Attoseconde collecte, pourquoi, pendant combien de temps, et quels droits vous avez sur vos données.

Dernière mise à jour : 24 mai 2026

Responsable du traitement

Le responsable du traitement des données personnelles collectées via attoseconde.com est Logos Partner, dont le siège est domicilié en France.

Contact : hello@attoseconde.com

Données personnelles collectées

Selon les fonctionnalités utilisées, Attoseconde peut collecter :

Compte utilisateur

  • Identifiants : pseudo, email, mot de passe (haché)
  • Rôles attribués (Admin, Recruteur, Sales, Gestion)
  • Photo de profil (optionnelle)
  • Fuseau horaire

Module Recrutement

  • CVs uploadés (PDF, DOCX) et leur contenu structuré (nom, email, téléphone, expériences, compétences, formations)
  • Notes, commentaires associés aux candidats
  • Historique des actions (entretiens, messages, statuts)

Module Bookings

  • Coordonnées des invités (nom, email, téléphone, notes saisies)
  • Créneaux réservés, fuseau horaire, motif
  • Lien Google Meet généré (via Google Calendar API) lorsque l'option est activée

Données techniques

  • Adresse IP, user-agent, logs d'accès (rotation 30 jours)
  • Cookies de session (cf. section dédiée)
Pas de données sensibles Attoseconde ne collecte ni données de santé, ni opinions politiques, religieuses ou syndicales, ni données biométriques.

Finalités du traitement

Les données sont traitées pour :

  • Authentifier et autoriser l'accès à l'application
  • Permettre le suivi de candidats (module Recrutement)
  • Permettre la prise de rendez-vous en self-service (module Bookings)
  • Envoyer des emails transactionnels (confirmation, annulation, rappels)
  • Mesurer l'usage à des fins de facturation et d'amélioration produit
  • Détecter et prévenir les abus / fraudes

Base légale

  • Exécution du contrat pour les comptes utilisateurs et l'usage de l'application
  • Intérêt légitime pour la sécurité, les logs techniques, la détection d'abus
  • Consentement pour les invités (booking) — l'envoi du formulaire vaut accord pour la création du RDV et l'envoi de la confirmation
  • Obligation légale pour la conservation comptable et fiscale

Durée de conservation

  • Compte utilisateur : conservé tant que le compte est actif. Anonymisé sous 90 jours après suppression.
  • Données de candidats (CVs, profils) : 24 mois après dernière interaction, puis purge automatique.
  • Bookings : 24 mois après la date du RDV.
  • Logs techniques : 30 jours glissants.
  • Factures : 10 ans (obligation légale).

Partage avec des tiers

Vos données ne sont jamais vendues. Elles peuvent être transmises à :

  • Sous-traitants techniques nécessaires au fonctionnement : Scaleway (hébergement), Google (Calendar API + Meet), DeepL (traduction), Stripe (paiements si activé).
  • Autorités judiciaires sur réquisition légale.

Chaque sous-traitant fait l'objet d'un contrat encadrant l'usage des données (DPA conforme RGPD).

Hébergement

Les données applicatives sont hébergées en France chez Scaleway (data center Paris). Les CVs uploadés sont stockés sur les mêmes serveurs. Aucune donnée n'est transférée hors UE pour le stockage applicatif.

Les appels aux API tierces (Google) peuvent impliquer un transfert ponctuel de métadonnées de booking hors UE, encadré par les clauses contractuelles types (CCT) de la Commission européenne.

Cookies

Attoseconde utilise un nombre minimal de cookies :

  • ci_session — cookie de session pour maintenir l'authentification (durée : 2h)

Pas de cookies publicitaires, pas de tracking tiers, pas d'analytics sans votre consentement.

Connexion à votre compte Google (OAuth) et usage des API Google

Lorsque vous reliez votre compte Google à Attoseconde (action volontaire depuis votre profil), l'application utilise le protocole standard OAuth 2.0 de Google pour obtenir un accès délégué à certaines API. Vous restez à tout moment libre de révoquer cet accès.

Scopes demandés et finalités

Attoseconde demande les permissions Google suivantes :

  • Google Calendarhttps://www.googleapis.com/auth/calendar
    Pourquoi : créer un événement par RDV confirmé avec un lien Google Meet auto-généré (module Bookings), récupérer vos plages occupées pour ne proposer que les créneaux libres, synchroniser les entretiens recruteur sur votre agenda. L'application n'accède pas aux événements antérieurs sans rapport avec Attoseconde et ne partage rien avec des tiers.
  • Google Drivehttps://www.googleapis.com/auth/drive
    Pourquoi : stocker les CVs et documents candidats sur votre propre espace Drive (à votre demande), import depuis Drive, lecture des CVs uploadés pour parsing. Aucun fichier n'est lu, copié ou supprimé en dehors des actions que vous déclenchez explicitement depuis l'application.
  • Gmail (lecture)https://www.googleapis.com/auth/gmail.readonly et https://mail.google.com/
    Pourquoi : import optionnel de fils de discussion candidats dans votre pipeline recrutement. Lecture uniquement des messages que vous sélectionnez. Aucun envoi automatique d'email en votre nom, aucun marquage, suppression ou modification de vos messages.

Conservation des tokens

Les jetons OAuth (access token + refresh token) sont stockés chiffrés dans la base de données d'Attoseconde, associés à votre compte utilisateur. Ils sont utilisés exclusivement par le serveur Attoseconde et ne sont jamais transmis au client navigateur, à un tiers ou à un sous-traitant autre que l'API Google elle-même.

Les tokens sont conservés tant que la connexion Google reste active. Ils sont supprimés automatiquement lorsque vous révoquez l'accès (côté Google ou côté Attoseconde) ou lors de la suppression de votre compte.

Comment révoquer l'accès

  • Côté Attoseconde : depuis votre profil, bouton « Déconnecter Google » — supprime immédiatement les tokens.
  • Côté Google : myaccount.google.com/permissions → rechercher « Attoseconde » → Supprimer l'accès. La révocation invalide immédiatement les tokens stockés ; toute tentative d'appel API ultérieure échoue et le lien Google est marqué inactif.

Conformité Google API Services User Data Policy

L'utilisation que fait Attoseconde des informations reçues des API Google est conforme à la Google API Services User Data Policy , y compris aux exigences Limited Use. Concrètement :

  • Les données issues des API Google sont utilisées uniquement pour fournir les fonctionnalités décrites ci-dessus.
  • Elles ne sont jamais vendues, ni transmises à des courtiers en données, ni utilisées pour de la publicité.
  • Elles ne sont jamais utilisées pour entraîner des modèles d'apprentissage automatique généralisés.
  • L'accès humain à ces données par l'équipe Attoseconde est limité aux cas suivants : (a) consentement explicite de l'utilisateur, (b) résolution d'un incident de sécurité, (c) obligation légale.
Permission a minima Si vous n'utilisez que le module Bookings, seul le scope Calendar est nécessaire ; vous pouvez refuser les autres scopes au moment du consentement OAuth. Attoseconde fonctionne avec un sous-ensemble des permissions ci-dessus.

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès aux données vous concernant
  • Rectification des données inexactes
  • Suppression ("droit à l'oubli")
  • Portabilité dans un format structuré (JSON / CSV)
  • Opposition au traitement
  • Limitation du traitement
  • Retrait du consentement à tout moment

Pour exercer ces droits, écrivez à hello@attoseconde.com. Réponse sous 30 jours maximum.

En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL.

Sécurité

Mesures techniques en place :

  • Chiffrement TLS 1.2+ pour toutes les communications (HTTPS forcé)
  • Mots de passe hachés via bcrypt
  • Authentification par session avec rotation, cookies SameSite=Lax + HttpOnly
  • Tokens JWT signés HS256 avec expiration 7 jours pour les API ouvertes
  • Sauvegardes chiffrées quotidiennes de la base de données
  • Mises à jour de sécurité appliquées sous 7 jours

Contact

Pour toute question relative à cette politique ou à vos données personnelles :