Gestion des données personnelles et conformité RGPD

Ce document explique, de manière concrète, comment nous gérons vos données personnelles dans le cadre du service Nexus, comment nous respectons le RGPD et comment vous pouvez exercer vos droits.

Il complète les Mentions légales, la Politique de confidentialité et les Conditions Générales d'Utilisation (CGU) de Nexus.

1. Contexte du service et responsable de traitement

1.1 Le service Nexus

Nexus est une plateforme de mise en relation professionnelle entre :

• des profils utilisateurs (talents, étudiants, freelances, candidats, etc.)
• et des profils entreprises (organisations qui souhaitent présenter leur culture, leurs offres, leurs besoins et trouver des talents)

Le service est accessible via :

• le site web :https://nexus-app.fr
• une application mobile iOS et Android

Nexus s'adresse principalement à des utilisateurs situés en France et en Europe et est soumis au RGPD.

1.2 Qui est responsable de vos données

Au sens du RGPD, le "responsable de traitement" est l'entité qui décide pourquoi et comment vos données personnelles sont traitées.

Pour Nexus, le responsable de traitement est :

• Nom / Raison sociale : LANCE FRANÇOIS
• Forme juridique : Entrepreneur individuel
• Siège social : 169 AVENUE JEAN GUITON, 17000 LA ROCHELLE, France
• RCS : 988 282 208 R.C.S. La Rochelle
• Numéro de TVA intracommunautaire : FR23988282208

Contact pour toute question sur vos données et pour l'exercice de vos droits :

• Email : contact@nexus-app.fr

1.3 Hébergement technique

Les données du service sont principalement hébergées chez :

• Scaleway
• 8 rue de la Ville l'Évêque, 75008 Paris, France
• https://www.scaleway.com/

Scaleway agit comme prestataire technique pour l'hébergement. D'autres prestataires peuvent intervenir pour certaines fonctions, comme expliqué plus bas.

2. À quoi sert ce document

Ce document "Gestion des données et RGPD" a pour objectif de vous expliquer, de manière pédagogique et concrète :

• comment vos données sont utilisées au quotidien dans Nexus
• comment se déroulent les principales étapes de "vie" de vos données :

• création de compte
• enrichissement et mise à jour du profil
• interactions (messages, connexions, blocages, signalements)
• suppression de compte, archivage, anonymisation

• comment vous pouvez exercer vos droits (accès, rectification, effacement, etc.)
• quelles mesures de sécurité sont mises en place
• comment nous gérons un incident de sécurité

La Politique de confidentialité reste le document de référence pour les aspects juridiques détaillés :

• catégories détaillées de données
• finalités exactes
• bases juridiques
• durées de conservation
• transferts hors Union européenne

Ici, nous mettons l'accent sur "comment ça se passe en pratique" du point de vue utilisateur.

3. Vue synthétique des principales données traitées

Voici les grandes familles de données que nous pouvons traiter dans Nexus.

3.1 Données de compte

• Prénom
• Nom
• Adresse email
• Mot de passe (stocké sous forme de hash, jamais en clair)
• Photo de profil
• Dates de création et de mise à jour du compte

3.2 Données de profil utilisateur

• Ville
• Description de profil
• Objectifs (créer ou contribuer à un projet, trouver un associé, trouver des talents, investir, développer son réseau, se former, etc.)
• Secteurs d'activité
• Métiers cibles
• Types de contrat (apprentissage, CDD, CDI, stage, freelance, saisonnier, intérim, etc.)
• Types de travail (temps plein, temps partiel, freelance, etc.)
• Préférences de travail (sur site, hybride, à distance...)
• Langues et niveau
• Compétences (de référence ou personnalisées)
• Disponibilité et date de disponibilité

3.3 Données de profil entreprise

• Nom de l'entreprise
• Description
• Logo
• Ville
• Secteur d'activité
• Forme juridique
• Taille de l'entreprise (tranches d'effectifs)
• Modes de travail (sur site, hybride, à distance...)
• Type d'horaires (fixes ou flexibles) et éventuels horaires
• Langues utilisées
• Liens externes : site web, Gitlab, Github, Linkedin, X
• Photos de l'environnement de travail
• Informations sur les membres d'équipe : prénom, nom, rôle, photo

3.4 Parcours, projets et études

Expériences professionnelles :

• intitulé du poste, entreprise, ville, type de contrat, dates, statut en cours ou non, description, rémunération si indiquée, compétences associées

Projets :

• nom, description, dates, lien éventuel, métier associé, compétences associées, indication si projet personnel

Études :

• établissement, diplôme préparé, domaine d'étude, dates, description, compétences associées

3.5 Portfolio et contenus médias

• Photos et vidéos de portfolio
• Titres
• Noms de projets
• Descriptions
• Éventuels liens entre médias et projets

3.6 Mise en relation, messagerie et interactions

• Messages privés (contenu, date, statut de lecture)
• Demandes de mise en relation (link), statut (pending, accepted, rejected)
• Connexions dans le réseau
• Actions sur les profils (link ou reject)
• Filtres de recherche enregistrés (type de public visé, ville, secteurs, métiers, compétences, types de contrat, objectifs)
• Blocages d'utilisateurs (qui bloque qui, date)
• Signalements (qui signale qui, motif, texte du signalement)

3.7 Données techniques et sécurité

• Identifiant d'appareil
• Plateforme (iOS, Android, web)
• Jetons de notification push
• Tokens de connexion (JWT) et date d'expiration
• Logs techniques (par exemple nombre de demandes de mise en relation par jour, erreurs techniques, traces de sécurité)

3.8 Abonnements et paiements

Informations techniques liées aux abonnements :

• store utilisé (App Store, Google Play, prestataire de paiement),
• identifiant de produit,
• identifiants techniques de transaction,
• statut de l'abonnement (actif, en grace, pause, annulé, expiré, remboursé),
• dates de début, d'expiration, éventuelle date de résiliation,
• historique des événements d'abonnement (type d'événement, date, payload technique).

3.9 Ce que nous ne faisons pas

• Il n'y a pas de publicité dans l'application à ce jour.
• Nous ne revendons pas vos données à des tiers.
• Les données sont utilisées pour :

• le bon fonctionnement du service Nexus,
• la mise en relation professionnelle,
• la sécurisation de la plateforme,
• l'amélioration de l'ergonomie et des performances (statistiques internes anonymisées ou agrégées).

Pour les détails complets, vous pouvez consulter la Politique de confidentialité.

4. Parcours de vie des données (cycle de vie)

4.1 Création de compte

Ce que vous faites :

• Vous téléchargez l'application ou vous allez sur le site.
• Vous créez un compte en indiquant au minimum :

• une adresse email valide,
• un mot de passe.

Selon l'interface, il peut vous être proposé de renseigner des premiers éléments de profil (prénom, nom, ville, etc.), mais cela peut aussi se faire plus tard.

Ce qui se passe techniquement :

• Un identifiant interne unique est créé pour votre compte.
• Votre mot de passe est converti en empreinte (hash) et stocké sous cette forme, jamais en clair.
• Un "profil" vide ou partiellement rempli est créé, prêt à être enrichi.
• Des tokens techniques peuvent être créés pour vous connecter au service (par exemple un token de session ou un JWT).

4.2 Enrichissement du profil et utilisation du service

En pratique :

• Vous ajoutez des informations à votre profil utilisateur ou entreprise (description, compétences, objectifs, etc.).
• Vous ajoutez vos expériences, projets, études et éventuels médias de portfolio.
• Vous utilisez la recherche, envoyez des demandes de lien, acceptez ou refusez des connexions.
• Vous échangez des messages avec d'autres utilisateurs, bloquez certains profils si besoin, signalez des abus le cas échéant.

Visibilité de vos informations :

• Par défaut, les informations de profil sont destinées à être vues par d'autres utilisateurs et entreprises dans un cadre de mise en relation professionnelle.
• Certaines informations peuvent être plus ou moins visibles selon la logique de la plateforme (par exemple recherches internes, affichage public, affichage aux connexions).
• Si des réglages de visibilité spécifiques sont proposés (par exemple restreindre certains champs à vos connexions ou à des comptes entreprises), ils sont indiqués dans l'interface et peuvent être modifiés dans le temps.

4.3 Mise à jour des données

À tout moment, vous pouvez :

• modifier votre profil (texte, photo, ville, objectifs, etc.),
• ajouter, modifier ou supprimer :

• expériences,
• projets,
• études,
• médias de portfolio,

• ajuster vos préférences :

• préférences de travail,
• langues et compétences,
• paramètres de notification,
• filtres de recherche enregistrés.

Garder vos informations à jour est important pour :

• améliorer la qualité de la mise en relation,
• assurer la pertinence des recherches,
• limiter les incompréhensions avec d'autres utilisateurs ou entreprises.

4.4 Suspension, désactivation ou suppression de compte

Il existe plusieurs situations :

1. Vous souhaitez quitter le service
   Vous pouvez demander la suppression de votre compte (via l'application ou en nous contactant).
   Nous supprimons ou anonymisons alors les données qui ne sont plus nécessaires, dans un délai raisonnable.
2. Désactivation temporaire (si cette option est proposée)
   Votre profil n'est plus visible, mais les données restent en réserve si vous souhaitez revenir.
3. Suspension ou fermeture par l'Éditeur
   Si vous ne respectez pas les CGU (contenus illicites, fraude, harcèlement, etc.), nous pouvons suspendre votre compte, limiter certaines fonctionnalités ou le fermer.

En cas de suppression de compte :

• Votre profil n'est plus visible par les autres utilisateurs.
• Les contenus directement rattachés à votre profil sont, en principe, supprimés ou anonymisés, sauf si :
  • la loi nous impose de les conserver (par exemple factures, traces de sécurité),
  • ils sont nécessaires pour constater, exercer ou défendre des droits en justice (litige en cours).
• Certaines données techniques (logs, historiques de sécurité) peuvent être conservées pour une durée limitée, de manière restreinte.

4.5 Archivage et anonymisation

• Lorsque les données ne sont plus nécessaires pour le fonctionnement courant du service, nous pouvons :

• les supprimer,
• les anonymiser pour des statistiques internes (de sorte qu'il ne soit plus possible de vous identifier),
• les archiver dans des environnements séparés avec accès très limité (par exemple pour respecter des obligations légales ou conserver des preuves en cas de litige).

Les données archivées ne sont plus utilisées pour des finalités opérationnelles comme la mise en relation ou la recommandation de profils.

5. Exercice des droits RGPD - mode d'emploi concret

5.1 Vos droits principaux

Vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès
  Vous pouvez obtenir la confirmation que nous traitons des données vous concernant et en recevoir une copie, ainsi que des informations sur ces traitements.
• Droit de rectification
  Vous pouvez demander la correction de données inexactes ou incomplètes.
• Droit d'effacement
  Vous pouvez demander la suppression de certaines données, par exemple lorsque :
  • elles ne sont plus nécessaires au regard des finalités,
  • vous retirez votre consentement (si le traitement reposait sur le consentement),
  • vous vous opposez à un traitement fondé sur l'intérêt légitime et qu'il n'existe pas de motif légitime impérieux contraire.
• Droit à la limitation du traitement
  Vous pouvez demander de "geler" temporairement certains traitements (par exemple pendant une période de contestation sur l'exactitude des données).
• Droit d'opposition
  Vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, à certains traitements fondés sur notre intérêt légitime (par exemple certaines analyses statistiques non indispensables).
• Droit à la portabilité
  Vous pouvez demander de recevoir, dans un format structuré, les données personnelles que vous nous avez fournies et qui sont traitées de manière automatisée, lorsque le traitement est fondé sur votre consentement ou sur un contrat.
• Droit de définir des directives post mortem
  Vous pouvez définir des directives relatives au sort de vos données après votre décès.
• Droit d'introduire une réclamation
  Vous pouvez saisir l'autorité de contrôle (en France, la CNIL) si vous estimez que vos droits ne sont pas respectés.

5.2 Comment exercer vos droits en pratique

Pour exercer vos droits, vous pouvez nous contacter :

• par email : contact@nexus-app.fr

Pour que nous puissions traiter votre demande efficacement, merci de :

• préciser clairement l'objet de votre demande :

• accès, rectification, suppression, limitation, opposition, portabilité, etc.,

• indiquer l'adresse email utilisée pour votre compte Nexus,
• fournir toute information utile pour nous aider à vous identifier dans nos systèmes.

En cas de doute raisonnable sur votre identité, nous pourrons vous demander un justificatif d'identité, dans le respect du principe de minimisation (nous demanderons uniquement ce qui est nécessaire).

Certaines demandes peuvent être refusées ou limitées lorsque :

• elles sont manifestement infondées ou excessives (caractère répétitif, demande abusive),
• elles sont contraires à des obligations légales (par exemple obligation de conserver des pièces comptables),
• elles empêcheraient l'exercice ou la défense de droits en justice.

5.3 Délais de réponse

Nous nous engageons à vous répondre :

• en principe dans un délai d'un mois à compter de la réception de votre demande,
• ce délai peut être prolongé de deux mois en cas de demandes nombreuses ou complexes. Dans ce cas, nous vous informerons du report et des raisons.

5.4 Effets concrets des droits

En pratique :

• Droit d'accès
  Vous pouvez recevoir une copie des principales données que nous détiendrons sur vous, ainsi qu'une description des traitements (finalités, catégories de données, durées de conservation, etc.).
• Droit de rectification
  Vous pouvez directement corriger beaucoup d'informations dans votre compte (profil, expériences, etc.).
  Pour d'autres données, vous pouvez nous demander une correction.
• Droit d'effacement
  Nous supprimerons ou anonymiserons les données qui peuvent l'être, sous réserve :
  • des données que nous devons conserver pour respecter la loi (facturation, comptabilité, sécurité),
  • des données utiles pour un litige en cours ou potentiel.
• Droit d'opposition
  Vous pouvez par exemple :
  • désactiver certaines notifications non indispensables via les réglages,
  • vous opposer à certains traitements fondés sur l'intérêt légitime si votre situation particulière le justifie.
• Droit à la portabilité
  Vous pouvez demander un export des données que vous nous avez fournies, dans un format lisible par machine, lorsque les conditions légales sont réunies (base juridique et moyen automatisé).

6. Données, cookies et traceurs

6.1 C'est quoi un cookie ou un traceur

Un "cookie" ou un "traceur" est un petit fichier ou identifiant déposé sur votre appareil ou dans votre navigateur, qui permet :

• de reconnaître votre appareil pendant une session ou entre plusieurs visites,
• de mémoriser certaines informations (par exemple rester connecté),
• de mesurer l'usage d'un site ou d'une application.

6.2 Ce que nous utilisons dans Nexus

À ce jour :

• nous n'utilisons pas de cookies publicitaires,
• nous ne faisons pas de suivi inter-sites pour du marketing,
• nous ne faisons pas de profilage marketing à partir de vos données.

Nous pouvons utiliser :

• des traceurs de session pour l'authentification et le maintien de la connexion,
• des traceurs techniques et des logs pour la sécurité, la prévention des abus, la détection d'anomalies,
• des outils de mesure d'audience anonymisée ou fortement paramétrés, si nous en mettons en place, exclusivement pour comprendre comment le service est utilisé et l'améliorer.

6.3 Engagements en cas d'évolution

Si à l'avenir nous ajoutions :

• des traceurs non strictement nécessaires au fonctionnement du service, ou
• des cookies d'analyse ou marketing,

nous nous engageons à :

• vous en informer clairement,
• mettre en place un mécanisme de consentement adapté (par exemple bandeau d'information, centre de préférences),
• mettre à jour la Politique de confidentialité et le présent document.

7. Sous-traitants, hébergement et transferts hors UE

7.1 Qui sont les sous-traitants

Un "sous-traitant" au sens du RGPD est un prestataire qui traite des données personnelles pour notre compte, selon nos instructions.

Nous pouvons recourir à des sous-traitants pour :

• l'hébergement (Scaleway),
• l'envoi de notifications push,
• la mesure éventuelle d'audience,
• la gestion des paiements et abonnements,
• des outils de support technique.

Ces prestataires :

• sont sélectionnés pour leur niveau de sécurité et de conformité RGPD,
• sont liés par des contrats qui encadrent :
  • la confidentialité,
  • la sécurité,
  • l'assistance en cas d'incident,
  • le sort des données en fin de contrat.

7.2 Transferts hors Union européenne

Nous cherchons à héberger et traiter les données principalement dans l'Union européenne.

Si certains prestataires se trouvent hors UE ou utilisent eux-mêmes des sous-traitants hors UE, nous veillons à ce que :

• ces transferts soient limités aux besoins du service,
• des garanties adéquates soient mises en place, par exemple :
  • Clauses contractuelles types adoptées par la Commission européenne,
  • recours à des pays bénéficiant d'une décision d'adéquation,
  • mesures techniques complémentaires (chiffrement, minimisation des données, etc.).

Vous pouvez nous contacter pour obtenir davantage d'informations sur ces garanties.

8. Sécurité des données et gestion des incidents

8.1 Mesures de sécurité

Nous mettons en place des mesures techniques et organisationnelles raisonnables pour protéger vos données, par exemple :

• contrôle des accès aux données (compte restreint aux personnes qui en ont besoin),
• gestion des droits et habilitations,
• stockage des mots de passe sous forme de hash,
• sécurisation des serveurs chez l'hébergeur,
• mise à jour régulière des composants techniques,
• logs et surveillance technique pour détecter des anomalies,
• procédures internes en cas d'incident.

Aucune solution n'est parfaite, mais nous faisons nos meilleurs efforts pour limiter les risques de fuite, d'accès non autorisé ou de perte de données.

8.2 Gestion des incidents de sécurité

En cas d'incident ou de violation de données personnelles (par exemple accès non autorisé, perte de données) :

1. Nous analysons l'incident pour en comprendre l'origine et l'impact.
2. Nous mettons en place des mesures correctives (techniques et organisationnelles).
3. Lorsque la loi l'impose :
   • nous notifions l'incident à l'autorité de contrôle compétente (en France, la CNIL),
   • nous informons les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (explication de ce qui s'est passé, des conséquences possibles, des mesures recommandées, etc.).

9. Conservation des données

9.1 Principes généraux

Nous conservons vos données uniquement :

• pendant la durée nécessaire au fonctionnement du service et aux finalités indiquées,
• puis pendant des délais complémentaires uniquement lorsqu'une obligation légale ou un besoin légitime le justifie (par exemple facturation, litige).

Lorsque les données ne sont plus nécessaires, nous :

• les supprimons, ou
• les anonymisons, ou
• les archivons avec un accès limité lorsqu'une loi nous impose de les conserver.

9.2 Ordres de grandeur des durées

À titre pédagogique, et sous réserve de la Politique de confidentialité :

• Données de compte et profil
  Pendant toute la durée du compte actif, puis en principe jusqu'à 3 ans après la dernière activité ou la demande de suppression, sauf obligation légale plus longue ou litige.
• Données de messagerie et interactions
  Tant que le compte est actif, puis pour une durée limitée (par exemple jusqu'à 3 ans) pour des besoins de preuve ou de lutte contre les abus.
• Données d'abonnement et de facturation
  Conservées pour la durée requise par les obligations comptables et fiscales (par exemple jusqu'à 10 ans pour certaines pièces comptables).
• Logs techniques et données de sécurité
  Conservés pour une durée plus courte (en général de quelques mois à deux ans selon le type de log), puis supprimés ou anonymisés, sauf en cas d'incident ou d'enquête.
• Données anonymisées pour statistiques
  Une fois anonymisées, ces données ne sont plus des données personnelles et peuvent être conservées plus longtemps pour analyser et améliorer le service.

10. Documentation interne et registre des traitements

En interne, nous tenons un registre des traitements conforme au RGPD. Ce registre recense notamment, pour chaque traitement :

• les finalités,
• les catégories de données,
• les catégories de personnes concernées,
• les bases juridiques,
• les destinataires (internes et externes),
• les durées de conservation,
• les transferts hors UE éventuels et les garanties associées.

Pour les traitements qui peuvent présenter un risque élevé pour les droits et libertés des personnes (par exemple certains projets innovants ou techniques), nous pouvons réaliser une Analyse d'impact sur la protection des données (AIPD ou DPIA).

Ce registre interne n'est pas publié dans son intégralité, mais :

• la Politique de confidentialité,
• et le présent document,

en sont une traduction simplifiée et lisible pour les utilisateurs.

11. Contact, réclamations et CNIL

Pour toute question sur vos données ou pour exercer vos droits, vous pouvez nous contacter à tout moment :

• Email : contact@nexus-app.fr

Si vous estimez, après échange avec nous, que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme au RGPD, vous pouvez déposer une réclamation auprès de l'autorité de contrôle compétente.

En France, il s'agit de la CNIL, joignable notamment via son site :

• https://www.cnil.fr