Notre approche privacy, en détail technique
La version courte est ici. Cette page est la version longue : le flux exact, les modèles utilisés, et la manière dont notre architecture l'applique.
Le « PII sandwich »
Aucune IA cloud tierce ne voit jamais vos données personnelles en clair. Ce n'est pas une promesse contractuelle — c'est une contrainte d'architecture. Voici le flux complet quand vous uploadez un CV et qu'on génère une lettre de motivation :
1. Votre CV arrive sur nos serveurs en Suisse (Genève / Meyrin GE).
Hébergement souverain — matériel que nous opérons nous-mêmes,
pas une instance cloud louée.
↓
2. Notre moteur IA local (Phi-4 / Qwen2.5, exécutés localement sur
nos GPU à Genève) lit votre CV et REMPLACE chaque donnée
identifiante par un marqueur :
"Nicolas Micaud" → [PERSON_A]
"[email protected]" → [EMAIL_X]
"Pictet & Cie" → [COMPANY_Y]
"+41 78 234 56 78" → [PHONE_1]
"Rue du Rhône 14, 1204" → [ADDRESS_1]
↓
3. SEULEMENT À CETTE ÉTAPE, et seulement la version anonymisée, part
vers un modèle cloud — sous accord de traitement (DPA) UE, zéro
rétention :
Le modèle cloud voit : "[PERSON_A] a travaillé chez [COMPANY_Y]
pendant 4 ans comme [ROLE]…"
Le modèle cloud ne voit JAMAIS : "Nicolas Micaud … Pictet & Cie …"
↓
4. La réponse revient avec les marqueurs. Notre moteur local les
remplace par vos vraies données AVANT de vous l'envoyer.
↓
5. La lettre finale arrive chez vous, complète et personnalisée — sans
qu'aucune IA cloud n'ait jamais vu vos infos identifiantes.
Les deux « tranches de pain » (anonymisation + désanonymisation) sont locales. La « garniture » cloud ne touche que des marqueurs.
Quel modèle traite quoi, et où
On n'utilise pas la même IA pour tout. Chaque tâche est routée vers un niveau de sensibilité, et le niveau détermine le fournisseur — l'appelant ne choisit jamais librement.
| Niveau | Tâches | Fournisseur | Localisation | Ce qu'il voit |
|---|---|---|---|---|
| PII — données personnelles | Extraction du CV, anonymisation/désanonymisation, scoring de matching, premier jet de lettre | Moteur local (Phi-4, Qwen2.5) | Nos GPU à Genève — ne quitte pas la Suisse | Votre vrai CV, vos vraies infos |
| PREMIUM — raisonnement de qualité | Polissage de lettre de motivation, résolution de litiges | Claude (Sonnet) | DPA UE, zéro rétention | Uniquement des versions anonymisées (marqueurs) |
| PUBLIC — contenu public | Parsing d'offres d'emploi indexées, contenu marketing | Modèle Kimi | API publique | Descriptions de postes publiques — jamais de CV, jamais de données candidat |
Règle dure : le routeur ne bascule jamais d'un niveau vers un autre. Si notre moteur local est indisponible, un coupe-circuit fait échouer l'appel PII plutôt que de le rediriger vers un fournisseur cloud. On préfère un message d'erreur à une fuite.
Appliqué par l'architecture, pas une promesse marketing
Le routage de sensibilité est implémenté au cœur du backend : un seul fournisseur est câblé par niveau au démarrage, et tout appel LLM doit passer par ce routeur. Concrètement :
- un appel PII ne peut jamais atteindre un fournisseur cloud ;
- si le moteur local est indisponible, le coupe-circuit fait échouer les appels PII au lieu de les rerouter ;
- chaque appel est journalisé.
Une suite de tests automatisés vérifie ces trois garanties en continu, à chaque modification du code.
Piste d'audit (preuve PFPDT / nLPD / RGPD)
Chaque appel LLM est consigné dans un journal d'audit avec un hash SHA-256 de l'entrée — jamais le texte en clair. On garde donc une trace vérifiable (qui a appelé quoi, quel niveau, quel fournisseur, quand) sans dupliquer la moindre donnée personnelle. Nos administrateurs peuvent exporter ce journal en CSV pour le mettre à disposition d'un audit (PFPDT, sous-traitant, expert RGPD). Demande d'accès audit à [email protected].
Comparatif honnête
D'après la documentation publique des concurrents (état 2026) :
| Traitement de votre CV / données | Ce qu'ils annoncent | |
|---|---|---|
| aiapply | Envoyé à un modèle cloud généraliste | Documente ouvertement l'usage d'une IA cloud ; pas d'anonymisation locale |
| jobwinner.ai | Extension construite sur WordPress | Aucune politique de traitement IA documentée |
| ninjob | Anonymisé localement à Genève avant tout appel cloud ; le cloud ne voit que des marqueurs | Architecture documentée publiquement (ci-dessus) — pas seulement un engagement contractuel |
On ne dit pas que les autres « volent » vos données — la plupart ont des DPA et du chiffrement TLS. Mais le chiffrement TLS est transparent pour l'IA cloud qui reçoit le contenu : elle voit votre CV en clair. Chez nous, elle ne le voit jamais, parce que ce qui sort de Suisse, ce sont des marqueurs.
Sous-traitants cloud
| Sous-traitant | Usage | Données transmises | Cadre |
|---|---|---|---|
| Anthropic (Claude) | Polissage de lettres, litiges | Texte anonymisé uniquement | DPA UE, zéro rétention d'entraînement |
| Moonshot (Kimi) | Parsing d'offres publiques, marketing | Aucune donnée candidat | Contenu public uniquement |
Aucun sous-traitant cloud ne reçoit de données identifiantes de candidat. La liste à jour des sous-traitants figure aussi dans notre politique de confidentialité.
Vos droits
Conforme nLPD (Suisse) + RGPD (UE) :
- Accéder à toutes vos données :
/account/export - Corriger ce que vous voulez
- Supprimer votre compte → toutes vos données effacées sous 30 jours
- Portabilité : export complet JSON ou CSV
- Retrait du consentement : à tout moment, sans justification
Aller plus loin
- Comment fonctionne notre privacy (version simple)
- Politique de confidentialité complète
- Conditions générales d'utilisation
Une question privacy non couverte ici ? Écrivez à [email protected] — réponse en personne, pas un bot.