Dernière mise à jour : 5 mai 2026 · texte susceptible d'évolutions, version finale après immatriculation.
Sylvain PICARD, exerçant en tant qu'auto-entrepreneur (cf. Mentions légales). Pour toute question relative à vos données : inrush.pro@gmail.com. Désignation d'un Délégué à la Protection des Données (DPO) : au regard de la nature et du volume des traitements (RGPD art. 37), aucun DPO n'est désigné. Un référent privacy interne est en place et joignable à l'adresse ci-dessus.
Les traitements suivants sont mis en œuvre : • Création et gestion du compte — exécution du contrat (RGPD art. 6-1.b). • Mise en relation Candidat ↔ Employeur — intérêt légitime (art. 6-1.f) consistant à exploiter une plateforme fonctionnelle. • Géolocalisation précise (GPS) — consentement (art. 6-1.a) révocable à tout moment. • Géolocalisation déclarative (ville/CP) — exécution du contrat. • Notifications transactionnelles (push, email) — exécution du contrat. • Notifications marketing — consentement, opt-in explicite. • Lutte contre la fraude, la sécurité et l'usurpation d'identité — intérêt légitime. • Facturation et obligations comptables — obligation légale (art. 6-1.c). • Modération et signalements — intérêt légitime + obligation légale (LCEN).
• Identification : email, mot de passe (haché bcrypt), éventuellement nom, prénom, téléphone, photo de profil. • Vérification d'âge : date de naissance. • Profil professionnel (Candidats) : postes recherchés, compétences, années d'expérience, langues, certifications, statut juridique, disponibilités, rayon de recherche. • Profil entreprise (Employeurs) : raison sociale, SIRET, adresse, segment, photos de l'établissement. • Localisation : coordonnées GPS (avec consentement) ou centroïde commune (déclaratif). • Documents : PDF (CV, attestations) volontairement uploadés. • Interactions : missions consultées et appliquées, messages échangés, recommandations. • Paiement (Employeurs Premium) : prénom, nom, email facturation, montants, dates. Aucune donnée bancaire n'est stockée par InRush ; elles sont traitées exclusivement par Stripe (PCI-DSS niveau 1). • Tokens push FCM : identifiant device opaque pour l'envoi de notifications. • Logs techniques : adresse IP, user-agent, dates de connexion (sécurité).
Vos données peuvent être communiquées aux sous-traitants suivants, chacun lié par un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD : • Supabase Inc. (Singapour) — hébergement BDD et fichiers, authentification. Données stockées en Irlande (eu-west-1, UE). • Stripe Inc. (États-Unis) — paiement et facturation. Transfert hors UE encadré par les Clauses Contractuelles Types (SCC) Commission européenne 2021/914. • Resend Inc. (États-Unis) — email transactionnel. SCC. • Google Ireland Ltd. (Firebase Cloud Messaging) — push notifications. Données traitées en UE. • Mapbox Inc. (États-Unis) — affichage cartographique (géocodage et tuiles). SCC. Aucune donnée nominative transmise. • Vercel Inc. (États-Unis) — hébergement du site web inrush.work. SCC. Aucune donnée n'est revendue à des tiers à des fins publicitaires ou de profilage commercial.
• Compte actif : durée d'utilisation effective. • Compte inactif depuis 24 mois consécutifs : suppression ou anonymisation automatique. • Conversations / messages : 12 mois après la dernière interaction. • Documents PDF (CV) : suppression à la demande, ou automatiquement à la suppression du compte. • Données de facturation : 10 ans à compter de la clôture de l'exercice (art. L123-22 du Code de commerce ; art. L102 B du Livre des procédures fiscales). • Logs de connexion : 12 mois (recommandation CNIL). • Données conservées pour exécution d'une décision de justice ou réquisition : durée légale applicable.
Vous disposez à tout moment des droits suivants : • Droit d'accès et copie de vos données (art. 15) — téléchargeable depuis Paramètres → Mes données. • Droit de rectification (art. 16) — modifiable depuis votre profil. • Droit à l'effacement (art. 17) — Paramètres → Supprimer mon compte. • Droit à la limitation (art. 18). • Droit à la portabilité (art. 20) — export JSON via Paramètres → Mes données. • Droit d'opposition (art. 21). • Retrait du consentement (art. 7) à tout moment, sans remettre en cause la licéité des traitements antérieurs. Pour exercer ces droits ou pour toute question : inrush.pro@gmail.com — réponse sous 1 mois. Vous disposez en outre du droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — www.cnil.fr).
Mesures techniques et organisationnelles mises en œuvre : • Chiffrement TLS 1.2+ pour toutes les communications réseau. • Mots de passe stockés sous forme de hash bcrypt avec salt. • Row Level Security (RLS) PostgreSQL : chaque utilisateur n'accède qu'à ses propres données. • Authentification par jeton JWT à durée limitée. • Sauvegardes automatiques quotidiennes (Supabase). • Vérifications de signature pour les webhooks de paiement Stripe. En cas de violation de données entraînant un risque pour vos droits, nous notifions la CNIL dans les 72 heures et vous informons sans délai conformément aux articles 33 et 34 du RGPD.
Les personnes de moins de 16 ans ne peuvent pas s'inscrire. Les personnes âgées de 16 à 17 ans ne peuvent s'inscrire qu'avec l'autorisation de leurs représentants légaux. Conformément à l'article 8 du RGPD, l'âge minimum du consentement seul aux services numériques est fixé à 15 ans en France.
L'application mobile n'utilise aucun cookie publicitaire ni traceur de profilage. Le site inrush.work utilise Plausible Analytics, outil sans cookie et sans collecte d'identifiant personnel. Le formulaire de pré-inscription utilise Cloudflare Turnstile (anti-bot). Détails : voir la Politique de cookies.
La présente politique peut être modifiée pour tenir compte des évolutions législatives, jurisprudentielles ou des pratiques de l'éditeur. Toute modification substantielle sera notifiée. La version en vigueur est celle accessible depuis l'application au moment de la consultation.