Politique de confidentialité

Version 2.2 - Date d'entrée en vigueur : 2 janvier 2026

Préambule

La société YES WE CODE SAS, opérant sous le nom commercial Hippolyte.ai (ci-après « Hippolyte » ou le « Sous-traitant »), place la protection des données à caractère personnel au cœur de ses engagements. La présente politique a pour objet de fournir aux personnes concernées (ci-après les « Candidats ») une information complète et transparente sur les traitements de données mis en œuvre dans le cadre de l'utilisation de la plateforme de recrutement Hippolyte.ai.

Ce document est rédigé en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données, ci-après « RGPD ») et la Loi n° 78-17 du 6 janvier 1978 modifiée.

 

Article 1 : Définition des rôles

Dans le cadre de la fourniture de ses services, Hippolyte agit exclusivement en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

Le responsable de traitement, qui détermine les finalités et les moyens du traitement, est l'entité juridique (l'« Entreprise Recruteuse ») qui a publié l'offre d'emploi et auprès de laquelle le Candidat postule. Hippolyte agit sur la base des instructions documentées de l'Entreprise Recruteuse.

Hippolyte tient un registre des activités de traitement en qualité de sous-traitant, conformément à l'article 30(2) du RGPD, disponible sur demande des autorités de contrôle compétentes.

 

Article 2 : Champ d'application

La présente politique s'applique à tout Candidat qui soumet une candidature via la plateforme Hippolyte.ai en réponse à une offre d'emploi publiée par une Entreprise Recruteuse.

 

Article 3 : Description du traitement des données

Le traitement opéré par Hippolyte pour le compte de l'Entreprise Recruteuse est strictement encadré et a pour objet la fourniture d'une solution d'assistance à la gestion et à la préqualification des candidatures.

Finalités du Traitement	Catégories de Données Traitées	Base Légale du Traitement (Art. 6 du RGPD)
1. Gestion du processus de recrutement : Réception et enregistrement de la candidature ; analyse et préqualification du profil ; communication avec le Candidat ; transmission du profil à l'Entreprise Recruteuse.	Données d'identification : nom, prénom. Coordonnées : adresse électronique, numéro de téléphone. Données relatives à la vie professionnelle : CV, lettre de motivation, formation, expériences professionnelles, compétences, qualifications.	Article 6(1)(b) RGPD : Le traitement est nécessaire à l'exécution de mesures précontractuelles prises à la demande du Candidat (acte de candidature).
2. Assistance à la décision par Intelligence Artificielle (si la fonctionnalité est activée par l'Entreprise Recruteuse) : Analyse sémantique des données ; génération de scores de pertinence et de synthèses.	L'ensemble des données relatives à la vie professionnelle. Les données d'identification sont systématiquement pseudonymisées avant ce traitement.	Article 6(1)(f) RGPD : Le traitement est fondé sur l'intérêt légitime de l'Entreprise Recruteuse à optimiser ses processus de recrutement, mis en balance avec les droits et libertés du Candidat. Un test de mise en balance (balancing test) documenté est tenu dans le registre de traitement, conformément aux lignes directrices de l'EDPB. Si le Candidat exerce son droit d'opposition (Art. 21 RGPD), le traitement IA est immédiatement suspendu pour ce Candidat (voir Article 10).

 

Article 4 : Destinataires des données

Les données à caractère personnel du Candidat ne sont communiquées qu'aux destinataires habilités et déterminés suivants :

• L'Entreprise Recruteuse : les personnes en charge du recrutement au sein de l'entité ayant publié l'offre.
• Le personnel habilité d'Hippolyte : les équipes assurant la préqualification humaine (si applicable), le support technique et la maintenance, dans la stricte limite de leurs attributions et dans le respect d'un engagement de confidentialité.
• Le sous-traitant d'hébergement : la société OVHcloud, en sa qualité de sous-traitant ultérieur, pour l'hébergement sécurisé des données.

En aucun cas, les données ne sont cédées, vendues ou communiquées à des tiers à des fins commerciales ou publicitaires.

 

Article 5 : Durée de conservation

En sa qualité de sous-traitant, Hippolyte conserve les données conformément aux instructions de l'Entreprise Recruteuse. Sauf instruction contraire, la durée de conservation par défaut est fixée à deux (2) ans à compter du dernier contact avec le Candidat, conformément aux recommandations de la CNIL.

Si l'Entreprise Recruteuse souhaite fixer une durée différente, Hippolyte applique cette instruction dans la limite des durées considérées comme raisonnables par la CNIL (maximum 2 ans pour les candidats non retenus, 5 ans en cas de promesse d'embauche). Hippolyte s'opposera à toute instruction manifestement disproportionnée ou contraire à la réglementation en vigueur.

À l'issue de la période applicable, les données sont automatiquement et irréversiblement supprimées ou anonymisées de nos systèmes.

 

Article 6 : Mesures de sécurité et de confidentialité

Hippolyte a mis en place des mesures techniques et organisationnelles robustes pour garantir un niveau de sécurité adapté aux risques, conformément à l'article 32 du RGPD.

• Sécurité de l'infrastructure : L'ensemble des données est hébergé sur les serveurs sécurisés de notre partenaire OVHcloud, situés exclusivement en France. L'infrastructure bénéficie des certifications ISO 27001, HDS et SOC 2.
• Chiffrement des données : Les données sont chiffrées en transit (protocole TLS 1.3) et au repos (algorithme AES-256).
• Contrôle des accès : L'accès aux données est strictement encadré par une politique de moindre privilège et une authentification forte (MFA) pour tous les administrateurs.
• Pseudonymisation : Avant tout traitement par des systèmes d'Intelligence Artificielle, les données directement identifiantes sont systématiquement pseudonymisées.
• Traçabilité : Toutes les opérations de traitement, d'accès et de modification des données font l'objet d'une journalisation sécurisée, conservée pendant une durée de 12 mois.
• Audits de sécurité : Des tests de pénétration et des audits de sécurité sont réalisés sur une base semestrielle par des organismes tiers indépendants.

 

Article 7 : Transfert de données hors de l'Union Européenne

Aucun transfert de données à caractère personnel n'est réalisé en dehors du territoire de l'Union Européenne.

 

Article 8 : Exercice des droits du Candidat

Conformément au RGPD, le Candidat dispose des droits suivants sur ses données :

• Droit d'accès (Art. 15)
• Droit de rectification (Art. 16)
• Droit à l'effacement (Art. 17)
• Droit à la limitation du traitement (Art. 18)
• Droit à la portabilité (Art. 20)
• Droit d'opposition (Art. 21)
• Droit relatif aux décisions automatisées et au profilage (Art. 22)

Pour exercer ces droits, le Candidat doit adresser sa demande directement au responsable de traitement, à savoir l'Entreprise Recruteuse auprès de laquelle il a postulé. Les coordonnées de contact sont précisées dans la politique de confidentialité de ladite entreprise.

Si le Candidat ne dispose pas des coordonnées de l'Entreprise Recruteuse ou rencontre des difficultés à exercer ses droits, il peut contacter Hippolyte directement à l'adresse dpo@hippolyte.ai. Hippolyte s'engage à transmettre la demande au responsable de traitement compétent dans un délai de 72 heures et à l'assister dans le traitement de ladite demande.

Hippolyte s'engage à fournir au responsable de traitement toute l'assistance nécessaire pour répondre aux demandes d'exercice de droits dans les meilleurs délais.

Si un Candidat estime, après avoir contacté le responsable de traitement, que ses droits ne sont pas respectés, il dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en France, la CNIL).

 

Article 9 : Délégué à la Protection des Données (DPO)

Hippolyte a désigné un Délégué à la Protection des Données externe pour garantir la conformité de ses opérations, conformément à l'article 37 du RGPD. La désignation de M. Vignolle a été notifiée à la CNIL conformément à l'article 37(7) du RGPD.

M. Pierre-David VIGNOLLE
Email : dpo@hippolyte.ai

Tout Candidat peut s'adresser au DPO pour toute question relative à la présente politique ou aux traitements mis en œuvre par Hippolyte en tant que sous-traitant.

Si un Candidat estime, après avoir contacté le responsable de traitement, que ses droits ne sont pas respectés, il dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en France, la CNIL).

 

Article 10 : Dispositions relatives à l'Intelligence Artificielle

La plateforme Hippolyte.ai intègre des fonctionnalités basées sur l'Intelligence Artificielle (IA) qui peuvent être activées par l'Entreprise Recruteuse. Hippolyte garantit que leur conception et leur utilisation sont conformes au Règlement (UE) 2024/1689 (dit « IA Act »).

• Information : Lorsque ces fonctionnalités sont actives, le Candidat en est informé de manière claire et explicite au moment de sa candidature.
• Classification à Haut Risque : Le système d'IA d'Hippolyte est classé comme « système à haut risque » au sens de l'Annexe III de l'IA Act, ce qui implique le respect des obligations les plus strictes.
• Garantie de supervision humaine : Aucune décision produisant des effets juridiques ou affectant de manière significative le Candidat n'est prise de manière entièrement automatisée. Les analyses produites par l'IA constituent une aide à la décision pour le recruteur humain, qui conserve en permanence le contrôle et la responsabilité de la décision finale.
• Lutte contre les biais : Des mesures techniques et organisationnelles sont mises en œuvre pour tester, identifier et atténuer les biais discriminatoires potentiels.
• Droits relatifs au traitement automatisé : Dans la mesure où les scores et synthèses générés par l'IA peuvent constituer un profilage ayant des effets significatifs sur le Candidat au sens de l'article 22 du RGPD et des lignes directrices EDPB 05/2020, Hippolyte garantit au Candidat : le droit d'obtenir une intervention humaine sur toute décision influencée par un traitement automatisé ; le droit d'exprimer son point de vue sur l'analyse produite par l'IA ; le droit de contester une décision prise sur la base d'un traitement automatisé auprès de l'Entreprise Recruteuse. Pour exercer ces droits, le Candidat peut adresser sa demande à l'Entreprise Recruteuse ou, à titre subsidiaire, à Hippolyte à l'adresse dpo@hippolyte.ai.

 

Article 11 : Dispositions relatives aux Candidats mineurs

La plateforme Hippolyte.ai peut être utilisée dans le cadre de processus de recrutement impliquant des Candidats mineurs (stages, contrats d'apprentissage, emplois saisonniers, etc.). Dans ce cas :

• L'Entreprise Recruteuse est responsable de s'assurer de la conformité légale de l'embauche d'un mineur et de recueillir les autorisations parentales ou légales requises ;
• Les données des mineurs font l'objet d'une attention renforcée et ne sont traitées que dans la stricte limite des finalités de recrutement ;
• Les fonctionnalités d'analyse IA appliquées aux Candidats mineurs font l'objet d'une documentation spécifique dans le registre de traitement, conformément aux exigences de l'article 9 de l'IA Act.

 

Article 12 : Modification de la politique

La présente politique de confidentialité peut être amenée à évoluer, notamment pour tenir compte des évolutions législatives et réglementaires. Toute modification substantielle sera notifiée aux Entreprises Recruteuses et publiée sur cette page avec révision de la date d'entrée en vigueur. Il est recommandé de consulter cette page régulièrement.