Politique de confidentialité
Dernière mise à jour : 13 juillet 2026
La présente politique de confidentialité décrit la manière dont ORA NETWORK collecte, utilise, génère, conserve, protège, partage et supprime les données personnelles traitées dans le cadre de ses sites internet, de la plateforme Ora Network, de ses extensions, de ses espaces clients et candidats, ainsi que des fonctionnalités et intégrations associées.
Elle décrit notamment le traitement des données relatives aux utilisateurs de la plateforme, des données relatives aux candidats et prospects professionnels, des données traitées pour le compte des clients d’ORA NETWORK, des données issues de services professionnels ou de sources publiques, des données traitées par les fonctionnalités d’intelligence artificielle et des données obtenues par l’intermédiaire des services et API Google, en particulier Google Calendar.
1. IDENTITÉ DE L’ÉDITEUR
La plateforme Ora Network est éditée par ORA NETWORK, société par actions simplifiée au capital de 1 000 euros, immatriculée au RCS de Paris sous le numéro 102 545 621, SIRET 102 545 621 00017, TVA intracommunautaire FR17102545621, dont le siège social est situé au 4 rue Théophile Roussel, 75012 Paris, France.
Représentants légaux : Alexandre Cointement, Président, et Maxime Cuilleret, Directeur général.
Contact : contact@ora-network.com.
2. RÔLE D’ORA NETWORK DANS LE TRAITEMENT DES DONNÉES
Le rôle d’ORA NETWORK dépend de la nature du traitement concerné.
ORA NETWORK agit notamment en qualité de responsable du traitement pour la création et la gestion des comptes utilisateurs, l’administration, la sécurité et l’amélioration de la plateforme, la gestion de la relation commerciale et de la facturation, la gestion de ses propres prospects, candidats et partenaires, la gestion des demandes d’assistance, la prévention de la fraude et des abus, ainsi que les traitements réalisés pour ses besoins propres.
Lorsqu’un client utilise Ora Network pour gérer ses propres recrutements, le client est généralement responsable du traitement des données relatives aux candidats et ORA NETWORK intervient en qualité de sous-traitant, dans les limites des instructions du client et du contrat conclu avec celui-ci.
Le client reste notamment responsable de la licéité de la collecte, de l’information des candidats, de la définition des finalités du recrutement, de la détermination de la base légale applicable, des décisions finales de recrutement et du respect des droits des personnes concernées.
Le contrat conclu avec le client, ainsi que tout accord relatif au traitement des données, prévaut en cas de précision différente concernant la répartition des responsabilités.
3. PRÉSENTATION DU SERVICE
Ora Network est une plateforme de gestion et d’aide au recrutement permettant notamment de créer et gérer des missions de recrutement, rechercher, importer et qualifier des profils professionnels, constituer et administrer une base de candidats, évaluer l’adéquation entre des profils et une mission, suivre les échanges avec les candidats, envoyer des messages ou invitations depuis des comptes professionnels connectés, programmer certaines séquences de contact, centraliser les réponses reçues par email ou par messagerie professionnelle, gérer les tâches, statuts et étapes du processus, recueillir des réponses à des questionnaires, recevoir des réponses audio, stocker des CV et documents, partager des shortlists et livrables, utiliser des outils d’intelligence artificielle, connecter facultativement Google Calendar et gérer certains abonnements ou fonctionnalités payantes.
Certaines fonctionnalités sont facultatives et ne sont activées qu’à la demande d’un utilisateur ou d’un client.
4. PERSONNES CONCERNÉES
Les traitements peuvent concerner les utilisateurs internes d’ORA NETWORK, les recruteurs utilisant la plateforme, les clients, hiring managers et membres d’équipes de recrutement, les utilisateurs invités sur une mission, les personnes accédant à un livrable ou une shortlist par un lien de partage, les candidats et candidats potentiels, les personnes répondant à un questionnaire, les prospects professionnels, les contacts et participants à des échanges email, LinkedIn ou Calendar, les fournisseurs, partenaires, prestataires et les personnes contactant ORA NETWORK.
5. CATÉGORIES DE DONNÉES TRAITÉES
5.1 Données relatives aux utilisateurs
ORA NETWORK peut traiter le nom, le prénom, l’adresse email professionnelle, l’entreprise, la fonction, le rôle et le niveau d’autorisation, la photographie de profil, les identifiants de compte, les préférences et paramètres, les missions et espaces auxquels l’utilisateur est rattaché, l’historique des actions, les tâches, notes et contenus créés, les données de connexion, l’adresse IP, le navigateur, le système d’exploitation, le type d’appareil, les dates et heures de connexion ainsi que les journaux techniques et de sécurité.
Les mots de passe gérés par le système d’authentification ne sont pas stockés en clair par ORA NETWORK.
5.2 Données relatives aux clients et organisations
ORA NETWORK peut traiter le nom et les coordonnées des contacts, l’entreprise, la fonction, l’équipe, les besoins et critères de recrutement, les descriptions de postes, les informations relatives aux missions, les entreprises ou profils à exclure, les commentaires sur des candidats, les décisions, validations et motifs de refus, les préférences de communication, les comptes de messagerie ou calendriers connectés ainsi que les informations contractuelles, administratives et de facturation.
5.3 Données relatives aux candidats et prospects professionnels
La plateforme peut contenir le nom, le prénom, une photographie professionnelle, des adresses email, un numéro de téléphone, la localisation, les URL et identifiants de profils professionnels, le titre professionnel, le profil de présentation, les employeurs actuels et précédents, les expériences professionnelles, les dates d’emploi, les formations, diplômes et établissements, les compétences, technologies, langues et certifications, le niveau de séniorité, le nombre d’années d’expérience, les attentes salariales ou de rémunération lorsqu’elles sont communiquées, les disponibilités, les préférences relatives au poste, au lieu de travail ou au contrat, les CV, documents et pièces jointes, les réponses à des questionnaires, les réponses écrites ou audio, le contenu d’échanges professionnels, les notes de recruteurs, les évaluations, scores et classements, le statut dans un processus, les motifs de refus, l’historique des candidatures et interactions ainsi que les événements et informations d’entretien.
5.4 Données générées ou déduites
La plateforme peut générer ou déduire des scores d’adéquation, des catégories de compétences, d’entreprises ou d’écoles, des indicateurs de séniorité, des résumés de profil, des recommandations de recherche, des suggestions de messages, des synthèses d’entretien ou de situation, des rapprochements entre un candidat et un événement Calendar, des statuts opérationnels et des catégories permettant d’organiser les profils.
Ces informations ne constituent pas nécessairement des faits objectifs. Elles peuvent résulter d’une analyse algorithmique ou d’une appréciation humaine et peuvent être corrigées ou contestées.
5.5 Données de communication
Lorsque les fonctionnalités correspondantes sont activées, ORA NETWORK peut traiter l’adresse et le nom de l’expéditeur et du destinataire, l’objet et le contenu du message, la date et l’heure, les identifiants du message et du fil de discussion, la direction du message, le statut d’envoi ou de réponse, les pièces jointes et leurs métadonnées, les invitations et messages professionnels ainsi que l’historique des échanges.
5.6 Données de paiement
Lorsqu’une fonctionnalité payante est utilisée, ORA NETWORK peut traiter l’identité du souscripteur, son adresse email, son organisation, le produit ou l’abonnement souscrit, les identifiants de client et d’abonnement, le statut du paiement, les dates de facturation, le montant, la devise et les informations nécessaires à la gestion des factures et remboursements.
ORA NETWORK n’a pas vocation à recevoir ou stocker les numéros complets de carte bancaire lorsque le paiement est traité par Stripe.
5.7 Données particulières
ORA NETWORK ne demande pas aux utilisateurs de fournir des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques ou biométriques, des données de santé ou des informations relatives à la vie sexuelle ou à l’orientation sexuelle.
Les utilisateurs doivent éviter de saisir ces informations dans les notes, CV, messages ou questionnaires, sauf lorsque leur traitement est strictement nécessaire, légalement autorisé et encadré.
6. SOURCES DES DONNÉES
Les données peuvent être obtenues directement auprès de la personne concernée, auprès d’un utilisateur ou client autorisé, à partir d’un formulaire ou questionnaire, d’un CV ou document transmis, par import CSV ou tableur, à partir de profils professionnels accessibles au recruteur, à partir de LinkedIn Recruiter ou d’un autre environnement professionnel utilisé par l’utilisateur, par l’intermédiaire de l’extension Chrome Ora Network, par l’intermédiaire d’Unipile, à partir de messages email ou professionnels, à partir de Google Calendar lorsqu’un utilisateur l’a connecté, auprès de fournisseurs d’enrichissement de coordonnées professionnelles, à partir des outils du client, de sources publiques professionnelles, de webhooks ou d’intégrations activées et d’analyses réalisées par la plateforme.
Lorsque les données n’ont pas été obtenues directement auprès de la personne concernée, celle-ci peut être informée par le recruteur ou le client conformément aux obligations applicables, notamment lors du premier contact pertinent.
7. FINALITÉS ET BASES LÉGALES
Les traitements peuvent être réalisés pour fournir et administrer la plateforme, authentifier les utilisateurs, gérer les missions et autorisations, assurer l’assistance, exécuter les abonnements et contrats, gérer les recrutements, identifier et qualifier des candidats, présenter des profils aux clients, gérer les communications professionnelles, programmer des séquences, sécuriser et améliorer le service, prévenir la fraude, gérer les paiements, factures et obligations comptables et établir ou défendre des droits.
Ils reposent selon les cas sur l’exécution d’un contrat ou de mesures précontractuelles, l’intérêt légitime d’ORA NETWORK, du recruteur ou du client, le consentement lorsque celui-ci est requis, les instructions du client lorsqu’ORA NETWORK agit comme sous-traitant, ou le respect d’une obligation légale.
8. EXTENSION CHROME ET DONNÉES LINKEDIN
Ora Network peut proposer une extension Chrome permettant à un utilisateur de transférer vers la plateforme certaines informations professionnelles visibles dans son environnement LinkedIn Recruiter.
Selon la page et les informations disponibles, l’extension peut traiter le nom, le prénom, l’URL du profil, le titre ou headline, l’expérience professionnelle, les employeurs, la formation, les informations professionnelles visibles, les identifiants nécessaires pour éviter les doublons et la mission ou le projet auquel le profil doit être associé.
Ces données sont utilisées pour vérifier si le profil existe déjà dans Ora Network, créer ou enrichir un profil candidat, évaluer sa correspondance avec une mission, l’ajouter à une liste ou une mission et éviter les importations en double.
L’extension n’a pas vocation à collecter les mots de passe LinkedIn de l’utilisateur.
Certaines fonctionnalités distinctes peuvent nécessiter la connexion d’un compte LinkedIn ou la communication volontaire d’un identifiant de session. Lorsqu’un identifiant de session LinkedIn est fourni, celui-ci est considéré comme une donnée sensible d’authentification, chiffré avant stockage et utilisé uniquement pour fournir la fonctionnalité demandée.
L’utilisateur doit disposer des autorisations nécessaires pour utiliser le compte et les données professionnelles concernés.
9. MESSAGERIE EMAIL ET PROFESSIONNELLE
Ora Network peut permettre de connecter un compte email ou professionnel par l’intermédiaire d’Unipile.
Cette intégration peut permettre d’envoyer des emails ou messages depuis le compte connecté, envoyer des invitations professionnelles, recevoir et synchroniser les réponses, identifier les échanges liés à un candidat, rattacher une conversation à une mission, créer une tâche de réponse, afficher l’historique des communications et récupérer une pièce jointe demandée par l’utilisateur.
Les données susceptibles d’être traitées comprennent l’identité et l’adresse des correspondants, l’objet et le contenu des messages, les dates et heures, les identifiants de messages et de fils, les pièces jointes, le statut des invitations et réponses et l’identifiant du compte connecté.
La connexion email opérée par l’intermédiaire d’Unipile est distincte de l’autorisation OAuth Google Calendar. Le scope Google Calendar demandé par Ora Network n’est pas utilisé pour lire ou envoyer des emails.
Lorsqu’un utilisateur active une séquence ou un mode automatique, Ora Network peut programmer et envoyer des messages ou invitations sans validation manuelle avant chaque envoi individuel. L’utilisateur reste responsable de l’activation de la séquence, du choix des destinataires, du contenu ou du modèle, du paramétrage des délais et canaux et du respect des règles applicables.
10. ENRICHISSEMENT DE COORDONNÉES
Ora Network peut faire appel à un fournisseur d’enrichissement, notamment FullEnrich, afin de rechercher ou vérifier des coordonnées professionnelles.
Les informations transmises peuvent comprendre le prénom, le nom, l’entreprise, le poste, l’URL LinkedIn et les informations professionnelles nécessaires à l’identification du contact.
Le fournisseur peut retourner une adresse email, un numéro de téléphone, un statut de vérification et des informations sur la source ou la fiabilité du résultat.
Ces données sont utilisées uniquement pour les finalités de recrutement ou de communication professionnelle prévues par le client ou l’utilisateur.
11. QUESTIONNAIRES, DOCUMENTS ET ENREGISTREMENTS AUDIO
Ora Network peut permettre aux candidats ou utilisateurs de remplir un questionnaire, transmettre des réponses écrites, enregistrer ou téléverser une réponse audio, envoyer un CV, transmettre des documents ou joindre des fichiers à une conversation.
Ces contenus peuvent contenir des informations personnelles importantes. Ils sont accessibles uniquement aux personnes ayant besoin de les consulter dans le cadre de la mission, sous réserve des liens de partage décrits ci-dessous.
Les personnes concernées ne doivent pas transmettre d’informations excessives ou sans lien avec la mission.
12. LIENS DE PARTAGE ET ACCÈS SANS COMPTE
Ora Network peut permettre de partager une shortlist, un livrable, un rapport, un questionnaire, des réponses à un questionnaire et certains documents ou contenus liés à une mission.
Ces ressources peuvent être accessibles au moyen d’un lien unique, parfois sans création de compte. Toute personne disposant du lien peut potentiellement accéder à la ressource partagée.
Le destinataire doit conserver le lien de manière confidentielle, ne pas le transférer à une personne non autorisée, signaler toute diffusion non souhaitée et demander la révocation du lien lorsqu’il n’est plus nécessaire.
ORA NETWORK ou le client peut désactiver le lien ou supprimer la ressource lorsqu’elle n’est plus nécessaire.
13. INTELLIGENCE ARTIFICIELLE ET TRAITEMENTS ALGORITHMIQUES
Ora Network utilise des outils d’intelligence artificielle et des traitements algorithmiques pour assister les utilisateurs dans certaines tâches, notamment résumer une fiche de poste ou un brief, extraire des critères, générer ou structurer des livrables, suggérer des entreprises ou intitulés de poste, générer des projets de messages et réponses, résumer une conversation, produire une synthèse de candidat, corriger ou traduire des contenus, normaliser des compétences, écoles, postes ou entreprises, rechercher des profils par similarité, produire des embeddings, calculer ou compléter des scores de correspondance, classer ou catégoriser des profils et faciliter l’association entre un candidat et une mission.
Selon la fonctionnalité utilisée, les données transmises peuvent comprendre le nom et les informations professionnelles d’un candidat, son titre, ses expériences, sa formation et ses compétences, la description d’une mission, les critères d’évaluation, des notes et commentaires, le contenu de conversations email ou LinkedIn, des réponses écrites à un questionnaire, des motifs de refus, un projet de message et les instructions données par l’utilisateur.
Les données Google Calendar ne sont pas transmises à OpenAI ou à un autre fournisseur de modèles d’intelligence artificielle pour générer des contenus.
Les traitements peuvent être réalisés notamment par OpenAI pour certaines générations, extractions, classifications ou synthèses, et par Lovable AI Gateway ou les modèles d’embeddings proposés par son intermédiaire pour certaines recherches sémantiques.
Les résultats produits peuvent comporter des erreurs ou approximations. Sauf mention contraire clairement présentée dans l’interface, ils constituent une aide à la décision, doivent être vérifiés par un recruteur ou un client, ne déterminent pas seuls l’embauche ou le refus définitif d’un candidat et l’utilisateur conserve la responsabilité de la décision finale.
Certaines classifications, catégories ou mises à jour peuvent être appliquées automatiquement afin d’organiser la base ou d’alimenter un score. Certaines séquences de communication peuvent aussi être exécutées automatiquement après leur activation par un utilisateur.
14. GOOGLE CALENDAR
14.1 Connexion facultative
Lorsqu’un utilisateur choisit volontairement de connecter son compte Google Calendar, Ora Network utilise le protocole OAuth 2.0 de Google.
La connexion à Google Calendar est facultative et n’est pas nécessaire pour utiliser les autres fonctionnalités principales de la plateforme.
14.2 Autorisations demandées
L’application demande l’accès en lecture seule aux événements du calendrier principal au moyen du scope calendar.events.readonly, l’accès à l’adresse email du compte Google, l’accès aux informations élémentaires du profil Google, notamment le nom associé au compte, et l’authentification OpenID.
Ora Network ne demande pas l’autorisation de créer, modifier ou supprimer des événements dans Google Calendar.
14.3 Données Google consultées
Dans le cadre de la synchronisation, Ora Network peut consulter l’identifiant technique de l’événement, l’identifiant iCal, le titre, la description, les dates et heures de début et de fin, le statut, le lieu, le lien de visioconférence ou de réunion, les informations sur l’organisateur, les noms et adresses email des participants, les données techniques nécessaires à la synchronisation ainsi que l’adresse email et le nom associés au compte Google connecté.
L’application synchronise uniquement les événements futurs du calendrier principal, dans une fenêtre maximale de six mois à compter de la synchronisation.
14.4 Données Google enregistrées
Ora Network ne conserve pas le contenu brut complet retourné par l’API Google Calendar.
Seules les données nécessaires au fonctionnement de la fonctionnalité sont enregistrées, notamment l’identifiant de l’événement, l’identifiant iCal, le titre, la description, le lieu, le lien de réunion, les dates et heures, le statut, l’identité de l’organisateur lorsque nécessaire, l’adresse email et le nom affiché des participants ainsi que le résultat du rapprochement éventuel avec un candidat.
14.5 Jetons OAuth
Afin de maintenir la connexion, Ora Network traite un jeton d’accès OAuth, un jeton d’actualisation OAuth, la date d’expiration, les autorisations accordées, le statut de la connexion et la date de dernière synchronisation.
Les jetons Google OAuth sont chiffrés au niveau applicatif avec AES-GCM avant leur stockage. Ils ne sont déchiffrés qu’en mémoire, côté serveur, lorsqu’un appel autorisé à l’API Google doit être effectué. Ils ne sont pas affichés aux utilisateurs de la plateforme.
15. UTILISATION DES DONNÉES GOOGLE
Les données obtenues par l’intermédiaire de Google Calendar sont utilisées exclusivement pour afficher les entretiens et réunions à venir liés à une mission, associer automatiquement un événement à un candidat, comparer le titre, les participants et leurs adresses email avec les informations des candidats, savoir si un entretien a été programmé, afficher la date, l’heure, le titre, les participants et le lien de réunion, faciliter le suivi des candidats et assurer le fonctionnement, la sécurité et le dépannage de la synchronisation.
L’association entre un événement et un candidat peut notamment reposer sur l’adresse email du candidat, son nom, le nom affiché des participants et le titre de l’événement.
Les données Google Calendar ne sont pas utilisées pour diffuser ou personnaliser des publicités, réaliser du ciblage ou du reciblage publicitaire, vendre, louer ou commercialiser des données, alimenter un courtier en données, déterminer la solvabilité d’une personne, constituer des profils commerciaux sans rapport avec la fonctionnalité, entraîner des modèles généraux d’intelligence artificielle, envoyer des emails ou créer, modifier ou supprimer des événements Google Calendar.
16. PARTAGE DES DONNÉES GOOGLE
ORA NETWORK ne vend pas les données obtenues depuis les services Google.
Les données Google Calendar peuvent uniquement être accessibles à l’utilisateur ayant connecté son agenda, aux recruteurs autorisés sur la mission, aux membres autorisés de l’équipe ORA NETWORK, au client ou hiring manager autorisé sur la mission, aux prestataires techniques strictement nécessaires au fonctionnement du service et aux autorités compétentes lorsque la loi l’exige.
Les principaux prestataires susceptibles d’intervenir sont Supabase pour la base de données et les fonctions serveur, Vercel ou Lovable pour l’hébergement ou la distribution de l’interface, et Google en qualité de fournisseur de Google Calendar et du système OAuth.
Les données Google Calendar ne sont pas transmises à Unipile, FullEnrich, Stripe ou OpenAI pour leurs propres fonctionnalités.
17. UTILISATION LIMITÉE DES DONNÉES GOOGLE
L’utilisation et le transfert par Ora Network des informations reçues des API Google respectent la Google API Services User Data Policy, y compris les exigences de Limited Use.
En particulier, les données sont utilisées pour fournir ou améliorer des fonctionnalités visibles demandées par l’utilisateur, les autorisations demandées sont limitées aux fonctionnalités nécessaires, les données ne sont pas transférées à des plateformes publicitaires, courtiers en données ou revendeurs, elles ne sont pas utilisées à des fins de publicité, l’accès humain est limité aux personnes autorisées et aux cas nécessaires à l’assistance, à la sécurité, au respect de la loi ou à la fourniture de la fonctionnalité, et les employés, prestataires et sous-traitants autorisés sont soumis à des obligations de confidentialité.
18. CONSERVATION ET SUPPRESSION DES DONNÉES GOOGLE
Tant que la connexion Google Calendar est active, Ora Network peut conserver les informations du compte connecté, les jetons OAuth chiffrés, les événements synchronisés, les résultats de rapprochement avec des candidats et les informations techniques de synchronisation.
Lorsque l’utilisateur clique sur « Déconnecter Google Calendar », la connexion est supprimée de la base active, les jetons OAuth sont supprimés de la base active, les événements associés sont supprimés et aucune nouvelle synchronisation n’est effectuée.
Des copies résiduelles peuvent subsister temporairement dans des sauvegardes sécurisées pendant le cycle technique normal de sauvegarde. Elles ne sont pas réutilisées pour les fonctionnalités courantes et sont supprimées ou écrasées conformément au cycle de sauvegarde du prestataire.
La suppression définitive d’une mission entraîne la suppression des connexions Calendar et des événements qui lui sont rattachés, sous réserve des copies techniques temporaires de sauvegarde. La simple clôture opérationnelle d’une mission ne constitue pas nécessairement une suppression définitive.
L’utilisateur peut également révoquer l’autorisation depuis les paramètres de sécurité de son compte Google. Cette révocation empêche les nouveaux accès, mais ne supprime pas nécessairement les données déjà synchronisées. Pour les supprimer, l’utilisateur doit également utiliser la fonction de déconnexion d’Ora Network ou contacter ORA NETWORK.
19. DESTINATAIRES ET PRESTATAIRES
Les données peuvent être accessibles aux utilisateurs autorisés d’ORA NETWORK, aux recruteurs affectés à une mission, aux clients et hiring managers concernés, aux personnes invitées, aux destinataires d’un lien de partage, aux prestataires techniques, aux conseils professionnels d’ORA NETWORK et aux autorités légalement habilitées.
Selon les fonctionnalités utilisées, ORA NETWORK peut notamment faire appel à Supabase pour la base de données, l’authentification, le stockage et les fonctions serveur ; Vercel et Lovable pour l’hébergement, le développement, le déploiement et certaines fonctions d’intelligence artificielle ; Unipile pour les comptes email et professionnels, les messages et invitations ; OpenAI pour la génération, la synthèse, l’extraction et la classification ; FullEnrich pour l’enrichissement de coordonnées ; Google pour Google Calendar et OAuth ; Stripe pour les paiements et abonnements ; et LinkupAPI pour certaines invitations ou actions de communication professionnelle.
Les prestataires ne reçoivent que les données nécessaires à la fourniture de la fonctionnalité concernée.
20. TRANSFERTS INTERNATIONAUX
Certains prestataires peuvent traiter des données en dehors de l’Espace économique européen.
Lorsque cela est nécessaire, ORA NETWORK veille à ce que les transferts reposent sur un mécanisme reconnu par la réglementation applicable, notamment une décision d’adéquation, le cadre de protection applicable aux transferts vers les États-Unis lorsque le prestataire y est valablement certifié, les clauses contractuelles types de la Commission européenne et des mesures supplémentaires lorsque celles-ci sont nécessaires.
Des informations complémentaires peuvent être demandées à contact@ora-network.com.
21. SÉCURITÉ
ORA NETWORK met en œuvre des mesures techniques et organisationnelles destinées à protéger les données contre l’accès non autorisé, la perte, la destruction, l’altération, la divulgation et l’utilisation abusive.
Ces mesures peuvent notamment comprendre le chiffrement TLS des communications, le chiffrement au repos fourni par les hébergeurs, le chiffrement applicatif AES-GCM des jetons Google OAuth, le chiffrement des identifiants de session sensibles utilisés par certaines intégrations, l’authentification des utilisateurs, des contrôles d’accès et une séparation des rôles, des règles d’accès au niveau de la base de données, la limitation des données affichées selon la mission, la vérification des autorisations dans les fonctions serveur, la gestion sécurisée des secrets, le principe du moindre privilège, la journalisation technique, la surveillance des erreurs, des sauvegardes et des procédures de gestion des incidents.
Aucune méthode de transmission ou de stockage ne garantit une sécurité absolue.
Les utilisateurs doivent protéger leurs identifiants, utiliser des mots de passe robustes, ne pas partager leurs accès, protéger les liens de partage, révoquer les intégrations inutilisées et signaler rapidement toute activité suspecte.
22. DURÉES DE CONSERVATION
Les durées peuvent dépendre de la nature des données, de la finalité, du contrat avec le client, des instructions du responsable du traitement, des obligations légales et des délais de prescription applicables.
Les données de compte sont conservées pendant la durée de la relation contractuelle ou de l’utilisation du service. Certaines données limitées peuvent ensuite être archivées pendant une durée maximale de trois ans pour la gestion de la relation commerciale, sous réserve des obligations légales.
Les données nécessaires à une mission sont conservées pendant le processus de recrutement. Lorsque le profil peut être conservé pour de futures opportunités, les données sont conservées pendant une durée maximale de deux ans à compter du dernier contact, sauf opposition, instruction différente du client, nouveau contact ou nécessité de conserver certaines informations pour défendre un droit.
Les CV, réponses, documents et enregistrements audio suivent la durée de conservation du dossier candidat auquel ils sont rattachés et sont supprimés plus tôt lorsqu’ils ne sont plus nécessaires, lorsqu’une demande valable d’effacement est exercée, lorsque la mission est supprimée ou lorsque le client donne une instruction de suppression.
Les emails, messages LinkedIn et historiques d’interactions sont conservés pendant la durée nécessaire au suivi de la mission et, en principe, pendant une durée maximale de deux ans après le dernier échange candidat. Certaines traces limitées peuvent être archivées plus longtemps lorsqu’elles sont nécessaires à la preuve d’une prestation ou à la défense d’un droit.
Les données opérationnelles d’une mission sont conservées pendant la durée de la mission. Les informations nécessaires à la preuve de la relation contractuelle peuvent être archivées pendant la durée de prescription applicable, généralement jusqu’à cinq ans.
Les données relatives aux abonnements sont conservées pendant la relation contractuelle et pendant la durée nécessaire à la gestion des réclamations. Les factures et pièces comptables sont conservées pendant la durée imposée par la réglementation.
Les journaux techniques et de sécurité sont conservés pendant une durée proportionnée à leur finalité, en principe jusqu’à douze mois, sauf incident ou obligation justifiant une durée plus longue.
Les liens de partage sont conservés jusqu’à leur expiration lorsqu’une expiration est définie, leur révocation, la suppression de la mission ou du contenu, ou la fin de leur nécessité opérationnelle.
À l’échéance de la durée applicable, les données sont supprimées, anonymisées ou placées en archivage intermédiaire lorsqu’une conservation limitée reste nécessaire.
23. DROITS DES PERSONNES
Selon la réglementation applicable, les personnes concernées peuvent disposer d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait du consentement, d’un droit de ne pas faire l’objet d’une décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé lorsque les conditions légales sont réunies, d’un droit de demander une intervention humaine, de contester un résultat automatisé et de définir des directives relatives au sort de leurs données après leur décès.
Les demandes peuvent être adressées à contact@ora-network.com et doivent préciser les données ou le traitement concerné.
ORA NETWORK peut demander des informations complémentaires permettant de vérifier raisonnablement l’identité du demandeur.
Lorsqu’ORA NETWORK agit comme sous-traitant, la demande peut être transmise au client responsable du traitement.
Les personnes peuvent également déposer une réclamation auprès de la Commission nationale de l’informatique et des libertés, la CNIL.
24. OPPOSITION AUX COMMUNICATIONS
Une personne contactée au sujet d’une opportunité professionnelle peut demander à ne plus recevoir de messages.
ORA NETWORK ou le client peut alors conserver une information minimale dans une liste d’opposition afin d’éviter un nouveau contact non souhaité. Cette conservation est limitée aux informations nécessaires au respect de l’opposition.
25. SUPPRESSION D’UN COMPTE OU D’UNE MISSION
Un utilisateur peut demander la fermeture de son compte à contact@ora-network.com.
La suppression d’un compte n’entraîne pas nécessairement la suppression immédiate des données appartenant à un client, des contenus nécessaires à une mission, des documents soumis à une obligation légale, des données nécessaires à la défense de droits ou des données placées dans une sauvegarde technique temporaire.
La suppression définitive d’une mission entraîne la suppression des données rattachées lorsque les relations techniques et contractuelles le permettent.
26. COOKIES ET STOCKAGE LOCAL
Ora Network utilise principalement des technologies nécessaires au fonctionnement du service, notamment le stockage de la session d’authentification, un cookie ou stockage de préférence pour l’état de l’interface, un stockage temporaire nécessaire aux accès invités et des informations nécessaires à la sécurité et à la continuité de la navigation.
À la date de mise à jour de la présente politique, Ora Network n’utilise pas de cookie publicitaire ni de pixel de ciblage tiers dans l’application.
Si des outils de mesure d’audience ou des traceurs non nécessaires sont ajoutés, la présente politique sera mise à jour et un consentement sera demandé lorsque la réglementation l’exige.
27. MINEURS
Ora Network est destiné à un usage professionnel et n’est pas conçu pour être utilisé par des mineurs.
Les utilisateurs ne doivent pas importer volontairement des données relatives à des mineurs, sauf lorsqu’un traitement professionnel licite le justifie et que des garanties appropriées sont mises en place.
28. MODIFICATION DE LA POLITIQUE
La présente politique peut être mise à jour afin de tenir compte d’une évolution du service, d’une nouvelle intégration, d’une modification des traitements, d’une évolution légale ou réglementaire, d’une modification des exigences d’un fournisseur d’API ou d’une évolution des mesures de sécurité.
Lorsqu’une modification substantielle affecte l’utilisation des données Google ou une autre fonctionnalité sensible, les utilisateurs concernés sont informés et un nouveau consentement est recueilli lorsque celui-ci est requis.
La date de dernière mise à jour figure en haut de la politique.
La présente politique de confidentialité décrit la manière dont ORA NETWORK collecte, utilise, génère, conserve, protège, partage et supprime les données personnelles traitées dans le cadre de ses sites internet, de la plateforme Ora Network, de ses extensions, de ses espaces clients et candidats, ainsi que des fonctionnalités et intégrations associées.
Elle décrit notamment le traitement des données relatives aux utilisateurs de la plateforme, des données relatives aux candidats et prospects professionnels, des données traitées pour le compte des clients d’ORA NETWORK, des données issues de services professionnels ou de sources publiques, des données traitées par les fonctionnalités d’intelligence artificielle et des données obtenues par l’intermédiaire des services et API Google, en particulier Google Calendar.
1. IDENTITÉ DE L’ÉDITEUR
La plateforme Ora Network est éditée par ORA NETWORK, société par actions simplifiée au capital de 1 000 euros, immatriculée au RCS de Paris sous le numéro 102 545 621, SIRET 102 545 621 00017, TVA intracommunautaire FR17102545621, dont le siège social est situé au 4 rue Théophile Roussel, 75012 Paris, France.
Représentants légaux : Alexandre Cointement, Président, et Maxime Cuilleret, Directeur général.
Contact : contact@ora-network.com.
2. RÔLE D’ORA NETWORK DANS LE TRAITEMENT DES DONNÉES
Le rôle d’ORA NETWORK dépend de la nature du traitement concerné.
ORA NETWORK agit notamment en qualité de responsable du traitement pour la création et la gestion des comptes utilisateurs, l’administration, la sécurité et l’amélioration de la plateforme, la gestion de la relation commerciale et de la facturation, la gestion de ses propres prospects, candidats et partenaires, la gestion des demandes d’assistance, la prévention de la fraude et des abus, ainsi que les traitements réalisés pour ses besoins propres.
Lorsqu’un client utilise Ora Network pour gérer ses propres recrutements, le client est généralement responsable du traitement des données relatives aux candidats et ORA NETWORK intervient en qualité de sous-traitant, dans les limites des instructions du client et du contrat conclu avec celui-ci.
Le client reste notamment responsable de la licéité de la collecte, de l’information des candidats, de la définition des finalités du recrutement, de la détermination de la base légale applicable, des décisions finales de recrutement et du respect des droits des personnes concernées.
Le contrat conclu avec le client, ainsi que tout accord relatif au traitement des données, prévaut en cas de précision différente concernant la répartition des responsabilités.
3. PRÉSENTATION DU SERVICE
Ora Network est une plateforme de gestion et d’aide au recrutement permettant notamment de créer et gérer des missions de recrutement, rechercher, importer et qualifier des profils professionnels, constituer et administrer une base de candidats, évaluer l’adéquation entre des profils et une mission, suivre les échanges avec les candidats, envoyer des messages ou invitations depuis des comptes professionnels connectés, programmer certaines séquences de contact, centraliser les réponses reçues par email ou par messagerie professionnelle, gérer les tâches, statuts et étapes du processus, recueillir des réponses à des questionnaires, recevoir des réponses audio, stocker des CV et documents, partager des shortlists et livrables, utiliser des outils d’intelligence artificielle, connecter facultativement Google Calendar et gérer certains abonnements ou fonctionnalités payantes.
Certaines fonctionnalités sont facultatives et ne sont activées qu’à la demande d’un utilisateur ou d’un client.
4. PERSONNES CONCERNÉES
Les traitements peuvent concerner les utilisateurs internes d’ORA NETWORK, les recruteurs utilisant la plateforme, les clients, hiring managers et membres d’équipes de recrutement, les utilisateurs invités sur une mission, les personnes accédant à un livrable ou une shortlist par un lien de partage, les candidats et candidats potentiels, les personnes répondant à un questionnaire, les prospects professionnels, les contacts et participants à des échanges email, LinkedIn ou Calendar, les fournisseurs, partenaires, prestataires et les personnes contactant ORA NETWORK.
5. CATÉGORIES DE DONNÉES TRAITÉES
5.1 Données relatives aux utilisateurs
ORA NETWORK peut traiter le nom, le prénom, l’adresse email professionnelle, l’entreprise, la fonction, le rôle et le niveau d’autorisation, la photographie de profil, les identifiants de compte, les préférences et paramètres, les missions et espaces auxquels l’utilisateur est rattaché, l’historique des actions, les tâches, notes et contenus créés, les données de connexion, l’adresse IP, le navigateur, le système d’exploitation, le type d’appareil, les dates et heures de connexion ainsi que les journaux techniques et de sécurité.
Les mots de passe gérés par le système d’authentification ne sont pas stockés en clair par ORA NETWORK.
5.2 Données relatives aux clients et organisations
ORA NETWORK peut traiter le nom et les coordonnées des contacts, l’entreprise, la fonction, l’équipe, les besoins et critères de recrutement, les descriptions de postes, les informations relatives aux missions, les entreprises ou profils à exclure, les commentaires sur des candidats, les décisions, validations et motifs de refus, les préférences de communication, les comptes de messagerie ou calendriers connectés ainsi que les informations contractuelles, administratives et de facturation.
5.3 Données relatives aux candidats et prospects professionnels
La plateforme peut contenir le nom, le prénom, une photographie professionnelle, des adresses email, un numéro de téléphone, la localisation, les URL et identifiants de profils professionnels, le titre professionnel, le profil de présentation, les employeurs actuels et précédents, les expériences professionnelles, les dates d’emploi, les formations, diplômes et établissements, les compétences, technologies, langues et certifications, le niveau de séniorité, le nombre d’années d’expérience, les attentes salariales ou de rémunération lorsqu’elles sont communiquées, les disponibilités, les préférences relatives au poste, au lieu de travail ou au contrat, les CV, documents et pièces jointes, les réponses à des questionnaires, les réponses écrites ou audio, le contenu d’échanges professionnels, les notes de recruteurs, les évaluations, scores et classements, le statut dans un processus, les motifs de refus, l’historique des candidatures et interactions ainsi que les événements et informations d’entretien.
5.4 Données générées ou déduites
La plateforme peut générer ou déduire des scores d’adéquation, des catégories de compétences, d’entreprises ou d’écoles, des indicateurs de séniorité, des résumés de profil, des recommandations de recherche, des suggestions de messages, des synthèses d’entretien ou de situation, des rapprochements entre un candidat et un événement Calendar, des statuts opérationnels et des catégories permettant d’organiser les profils.
Ces informations ne constituent pas nécessairement des faits objectifs. Elles peuvent résulter d’une analyse algorithmique ou d’une appréciation humaine et peuvent être corrigées ou contestées.
5.5 Données de communication
Lorsque les fonctionnalités correspondantes sont activées, ORA NETWORK peut traiter l’adresse et le nom de l’expéditeur et du destinataire, l’objet et le contenu du message, la date et l’heure, les identifiants du message et du fil de discussion, la direction du message, le statut d’envoi ou de réponse, les pièces jointes et leurs métadonnées, les invitations et messages professionnels ainsi que l’historique des échanges.
5.6 Données de paiement
Lorsqu’une fonctionnalité payante est utilisée, ORA NETWORK peut traiter l’identité du souscripteur, son adresse email, son organisation, le produit ou l’abonnement souscrit, les identifiants de client et d’abonnement, le statut du paiement, les dates de facturation, le montant, la devise et les informations nécessaires à la gestion des factures et remboursements.
ORA NETWORK n’a pas vocation à recevoir ou stocker les numéros complets de carte bancaire lorsque le paiement est traité par Stripe.
5.7 Données particulières
ORA NETWORK ne demande pas aux utilisateurs de fournir des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques ou biométriques, des données de santé ou des informations relatives à la vie sexuelle ou à l’orientation sexuelle.
Les utilisateurs doivent éviter de saisir ces informations dans les notes, CV, messages ou questionnaires, sauf lorsque leur traitement est strictement nécessaire, légalement autorisé et encadré.
6. SOURCES DES DONNÉES
Les données peuvent être obtenues directement auprès de la personne concernée, auprès d’un utilisateur ou client autorisé, à partir d’un formulaire ou questionnaire, d’un CV ou document transmis, par import CSV ou tableur, à partir de profils professionnels accessibles au recruteur, à partir de LinkedIn Recruiter ou d’un autre environnement professionnel utilisé par l’utilisateur, par l’intermédiaire de l’extension Chrome Ora Network, par l’intermédiaire d’Unipile, à partir de messages email ou professionnels, à partir de Google Calendar lorsqu’un utilisateur l’a connecté, auprès de fournisseurs d’enrichissement de coordonnées professionnelles, à partir des outils du client, de sources publiques professionnelles, de webhooks ou d’intégrations activées et d’analyses réalisées par la plateforme.
Lorsque les données n’ont pas été obtenues directement auprès de la personne concernée, celle-ci peut être informée par le recruteur ou le client conformément aux obligations applicables, notamment lors du premier contact pertinent.
7. FINALITÉS ET BASES LÉGALES
Les traitements peuvent être réalisés pour fournir et administrer la plateforme, authentifier les utilisateurs, gérer les missions et autorisations, assurer l’assistance, exécuter les abonnements et contrats, gérer les recrutements, identifier et qualifier des candidats, présenter des profils aux clients, gérer les communications professionnelles, programmer des séquences, sécuriser et améliorer le service, prévenir la fraude, gérer les paiements, factures et obligations comptables et établir ou défendre des droits.
Ils reposent selon les cas sur l’exécution d’un contrat ou de mesures précontractuelles, l’intérêt légitime d’ORA NETWORK, du recruteur ou du client, le consentement lorsque celui-ci est requis, les instructions du client lorsqu’ORA NETWORK agit comme sous-traitant, ou le respect d’une obligation légale.
8. EXTENSION CHROME ET DONNÉES LINKEDIN
Ora Network peut proposer une extension Chrome permettant à un utilisateur de transférer vers la plateforme certaines informations professionnelles visibles dans son environnement LinkedIn Recruiter.
Selon la page et les informations disponibles, l’extension peut traiter le nom, le prénom, l’URL du profil, le titre ou headline, l’expérience professionnelle, les employeurs, la formation, les informations professionnelles visibles, les identifiants nécessaires pour éviter les doublons et la mission ou le projet auquel le profil doit être associé.
Ces données sont utilisées pour vérifier si le profil existe déjà dans Ora Network, créer ou enrichir un profil candidat, évaluer sa correspondance avec une mission, l’ajouter à une liste ou une mission et éviter les importations en double.
L’extension n’a pas vocation à collecter les mots de passe LinkedIn de l’utilisateur.
Certaines fonctionnalités distinctes peuvent nécessiter la connexion d’un compte LinkedIn ou la communication volontaire d’un identifiant de session. Lorsqu’un identifiant de session LinkedIn est fourni, celui-ci est considéré comme une donnée sensible d’authentification, chiffré avant stockage et utilisé uniquement pour fournir la fonctionnalité demandée.
L’utilisateur doit disposer des autorisations nécessaires pour utiliser le compte et les données professionnelles concernés.
9. MESSAGERIE EMAIL ET PROFESSIONNELLE
Ora Network peut permettre de connecter un compte email ou professionnel par l’intermédiaire d’Unipile.
Cette intégration peut permettre d’envoyer des emails ou messages depuis le compte connecté, envoyer des invitations professionnelles, recevoir et synchroniser les réponses, identifier les échanges liés à un candidat, rattacher une conversation à une mission, créer une tâche de réponse, afficher l’historique des communications et récupérer une pièce jointe demandée par l’utilisateur.
Les données susceptibles d’être traitées comprennent l’identité et l’adresse des correspondants, l’objet et le contenu des messages, les dates et heures, les identifiants de messages et de fils, les pièces jointes, le statut des invitations et réponses et l’identifiant du compte connecté.
La connexion email opérée par l’intermédiaire d’Unipile est distincte de l’autorisation OAuth Google Calendar. Le scope Google Calendar demandé par Ora Network n’est pas utilisé pour lire ou envoyer des emails.
Lorsqu’un utilisateur active une séquence ou un mode automatique, Ora Network peut programmer et envoyer des messages ou invitations sans validation manuelle avant chaque envoi individuel. L’utilisateur reste responsable de l’activation de la séquence, du choix des destinataires, du contenu ou du modèle, du paramétrage des délais et canaux et du respect des règles applicables.
10. ENRICHISSEMENT DE COORDONNÉES
Ora Network peut faire appel à un fournisseur d’enrichissement, notamment FullEnrich, afin de rechercher ou vérifier des coordonnées professionnelles.
Les informations transmises peuvent comprendre le prénom, le nom, l’entreprise, le poste, l’URL LinkedIn et les informations professionnelles nécessaires à l’identification du contact.
Le fournisseur peut retourner une adresse email, un numéro de téléphone, un statut de vérification et des informations sur la source ou la fiabilité du résultat.
Ces données sont utilisées uniquement pour les finalités de recrutement ou de communication professionnelle prévues par le client ou l’utilisateur.
11. QUESTIONNAIRES, DOCUMENTS ET ENREGISTREMENTS AUDIO
Ora Network peut permettre aux candidats ou utilisateurs de remplir un questionnaire, transmettre des réponses écrites, enregistrer ou téléverser une réponse audio, envoyer un CV, transmettre des documents ou joindre des fichiers à une conversation.
Ces contenus peuvent contenir des informations personnelles importantes. Ils sont accessibles uniquement aux personnes ayant besoin de les consulter dans le cadre de la mission, sous réserve des liens de partage décrits ci-dessous.
Les personnes concernées ne doivent pas transmettre d’informations excessives ou sans lien avec la mission.
12. LIENS DE PARTAGE ET ACCÈS SANS COMPTE
Ora Network peut permettre de partager une shortlist, un livrable, un rapport, un questionnaire, des réponses à un questionnaire et certains documents ou contenus liés à une mission.
Ces ressources peuvent être accessibles au moyen d’un lien unique, parfois sans création de compte. Toute personne disposant du lien peut potentiellement accéder à la ressource partagée.
Le destinataire doit conserver le lien de manière confidentielle, ne pas le transférer à une personne non autorisée, signaler toute diffusion non souhaitée et demander la révocation du lien lorsqu’il n’est plus nécessaire.
ORA NETWORK ou le client peut désactiver le lien ou supprimer la ressource lorsqu’elle n’est plus nécessaire.
13. INTELLIGENCE ARTIFICIELLE ET TRAITEMENTS ALGORITHMIQUES
Ora Network utilise des outils d’intelligence artificielle et des traitements algorithmiques pour assister les utilisateurs dans certaines tâches, notamment résumer une fiche de poste ou un brief, extraire des critères, générer ou structurer des livrables, suggérer des entreprises ou intitulés de poste, générer des projets de messages et réponses, résumer une conversation, produire une synthèse de candidat, corriger ou traduire des contenus, normaliser des compétences, écoles, postes ou entreprises, rechercher des profils par similarité, produire des embeddings, calculer ou compléter des scores de correspondance, classer ou catégoriser des profils et faciliter l’association entre un candidat et une mission.
Selon la fonctionnalité utilisée, les données transmises peuvent comprendre le nom et les informations professionnelles d’un candidat, son titre, ses expériences, sa formation et ses compétences, la description d’une mission, les critères d’évaluation, des notes et commentaires, le contenu de conversations email ou LinkedIn, des réponses écrites à un questionnaire, des motifs de refus, un projet de message et les instructions données par l’utilisateur.
Les données Google Calendar ne sont pas transmises à OpenAI ou à un autre fournisseur de modèles d’intelligence artificielle pour générer des contenus.
Les traitements peuvent être réalisés notamment par OpenAI pour certaines générations, extractions, classifications ou synthèses, et par Lovable AI Gateway ou les modèles d’embeddings proposés par son intermédiaire pour certaines recherches sémantiques.
Les résultats produits peuvent comporter des erreurs ou approximations. Sauf mention contraire clairement présentée dans l’interface, ils constituent une aide à la décision, doivent être vérifiés par un recruteur ou un client, ne déterminent pas seuls l’embauche ou le refus définitif d’un candidat et l’utilisateur conserve la responsabilité de la décision finale.
Certaines classifications, catégories ou mises à jour peuvent être appliquées automatiquement afin d’organiser la base ou d’alimenter un score. Certaines séquences de communication peuvent aussi être exécutées automatiquement après leur activation par un utilisateur.
14. GOOGLE CALENDAR
14.1 Connexion facultative
Lorsqu’un utilisateur choisit volontairement de connecter son compte Google Calendar, Ora Network utilise le protocole OAuth 2.0 de Google.
La connexion à Google Calendar est facultative et n’est pas nécessaire pour utiliser les autres fonctionnalités principales de la plateforme.
14.2 Autorisations demandées
L’application demande l’accès en lecture seule aux événements du calendrier principal au moyen du scope calendar.events.readonly, l’accès à l’adresse email du compte Google, l’accès aux informations élémentaires du profil Google, notamment le nom associé au compte, et l’authentification OpenID.
Ora Network ne demande pas l’autorisation de créer, modifier ou supprimer des événements dans Google Calendar.
14.3 Données Google consultées
Dans le cadre de la synchronisation, Ora Network peut consulter l’identifiant technique de l’événement, l’identifiant iCal, le titre, la description, les dates et heures de début et de fin, le statut, le lieu, le lien de visioconférence ou de réunion, les informations sur l’organisateur, les noms et adresses email des participants, les données techniques nécessaires à la synchronisation ainsi que l’adresse email et le nom associés au compte Google connecté.
L’application synchronise uniquement les événements futurs du calendrier principal, dans une fenêtre maximale de six mois à compter de la synchronisation.
14.4 Données Google enregistrées
Ora Network ne conserve pas le contenu brut complet retourné par l’API Google Calendar.
Seules les données nécessaires au fonctionnement de la fonctionnalité sont enregistrées, notamment l’identifiant de l’événement, l’identifiant iCal, le titre, la description, le lieu, le lien de réunion, les dates et heures, le statut, l’identité de l’organisateur lorsque nécessaire, l’adresse email et le nom affiché des participants ainsi que le résultat du rapprochement éventuel avec un candidat.
14.5 Jetons OAuth
Afin de maintenir la connexion, Ora Network traite un jeton d’accès OAuth, un jeton d’actualisation OAuth, la date d’expiration, les autorisations accordées, le statut de la connexion et la date de dernière synchronisation.
Les jetons Google OAuth sont chiffrés au niveau applicatif avec AES-GCM avant leur stockage. Ils ne sont déchiffrés qu’en mémoire, côté serveur, lorsqu’un appel autorisé à l’API Google doit être effectué. Ils ne sont pas affichés aux utilisateurs de la plateforme.
15. UTILISATION DES DONNÉES GOOGLE
Les données obtenues par l’intermédiaire de Google Calendar sont utilisées exclusivement pour afficher les entretiens et réunions à venir liés à une mission, associer automatiquement un événement à un candidat, comparer le titre, les participants et leurs adresses email avec les informations des candidats, savoir si un entretien a été programmé, afficher la date, l’heure, le titre, les participants et le lien de réunion, faciliter le suivi des candidats et assurer le fonctionnement, la sécurité et le dépannage de la synchronisation.
L’association entre un événement et un candidat peut notamment reposer sur l’adresse email du candidat, son nom, le nom affiché des participants et le titre de l’événement.
Les données Google Calendar ne sont pas utilisées pour diffuser ou personnaliser des publicités, réaliser du ciblage ou du reciblage publicitaire, vendre, louer ou commercialiser des données, alimenter un courtier en données, déterminer la solvabilité d’une personne, constituer des profils commerciaux sans rapport avec la fonctionnalité, entraîner des modèles généraux d’intelligence artificielle, envoyer des emails ou créer, modifier ou supprimer des événements Google Calendar.
16. PARTAGE DES DONNÉES GOOGLE
ORA NETWORK ne vend pas les données obtenues depuis les services Google.
Les données Google Calendar peuvent uniquement être accessibles à l’utilisateur ayant connecté son agenda, aux recruteurs autorisés sur la mission, aux membres autorisés de l’équipe ORA NETWORK, au client ou hiring manager autorisé sur la mission, aux prestataires techniques strictement nécessaires au fonctionnement du service et aux autorités compétentes lorsque la loi l’exige.
Les principaux prestataires susceptibles d’intervenir sont Supabase pour la base de données et les fonctions serveur, Vercel ou Lovable pour l’hébergement ou la distribution de l’interface, et Google en qualité de fournisseur de Google Calendar et du système OAuth.
Les données Google Calendar ne sont pas transmises à Unipile, FullEnrich, Stripe ou OpenAI pour leurs propres fonctionnalités.
17. UTILISATION LIMITÉE DES DONNÉES GOOGLE
L’utilisation et le transfert par Ora Network des informations reçues des API Google respectent la Google API Services User Data Policy, y compris les exigences de Limited Use.
En particulier, les données sont utilisées pour fournir ou améliorer des fonctionnalités visibles demandées par l’utilisateur, les autorisations demandées sont limitées aux fonctionnalités nécessaires, les données ne sont pas transférées à des plateformes publicitaires, courtiers en données ou revendeurs, elles ne sont pas utilisées à des fins de publicité, l’accès humain est limité aux personnes autorisées et aux cas nécessaires à l’assistance, à la sécurité, au respect de la loi ou à la fourniture de la fonctionnalité, et les employés, prestataires et sous-traitants autorisés sont soumis à des obligations de confidentialité.
18. CONSERVATION ET SUPPRESSION DES DONNÉES GOOGLE
Tant que la connexion Google Calendar est active, Ora Network peut conserver les informations du compte connecté, les jetons OAuth chiffrés, les événements synchronisés, les résultats de rapprochement avec des candidats et les informations techniques de synchronisation.
Lorsque l’utilisateur clique sur « Déconnecter Google Calendar », la connexion est supprimée de la base active, les jetons OAuth sont supprimés de la base active, les événements associés sont supprimés et aucune nouvelle synchronisation n’est effectuée.
Des copies résiduelles peuvent subsister temporairement dans des sauvegardes sécurisées pendant le cycle technique normal de sauvegarde. Elles ne sont pas réutilisées pour les fonctionnalités courantes et sont supprimées ou écrasées conformément au cycle de sauvegarde du prestataire.
La suppression définitive d’une mission entraîne la suppression des connexions Calendar et des événements qui lui sont rattachés, sous réserve des copies techniques temporaires de sauvegarde. La simple clôture opérationnelle d’une mission ne constitue pas nécessairement une suppression définitive.
L’utilisateur peut également révoquer l’autorisation depuis les paramètres de sécurité de son compte Google. Cette révocation empêche les nouveaux accès, mais ne supprime pas nécessairement les données déjà synchronisées. Pour les supprimer, l’utilisateur doit également utiliser la fonction de déconnexion d’Ora Network ou contacter ORA NETWORK.
19. DESTINATAIRES ET PRESTATAIRES
Les données peuvent être accessibles aux utilisateurs autorisés d’ORA NETWORK, aux recruteurs affectés à une mission, aux clients et hiring managers concernés, aux personnes invitées, aux destinataires d’un lien de partage, aux prestataires techniques, aux conseils professionnels d’ORA NETWORK et aux autorités légalement habilitées.
Selon les fonctionnalités utilisées, ORA NETWORK peut notamment faire appel à Supabase pour la base de données, l’authentification, le stockage et les fonctions serveur ; Vercel et Lovable pour l’hébergement, le développement, le déploiement et certaines fonctions d’intelligence artificielle ; Unipile pour les comptes email et professionnels, les messages et invitations ; OpenAI pour la génération, la synthèse, l’extraction et la classification ; FullEnrich pour l’enrichissement de coordonnées ; Google pour Google Calendar et OAuth ; Stripe pour les paiements et abonnements ; et LinkupAPI pour certaines invitations ou actions de communication professionnelle.
Les prestataires ne reçoivent que les données nécessaires à la fourniture de la fonctionnalité concernée.
20. TRANSFERTS INTERNATIONAUX
Certains prestataires peuvent traiter des données en dehors de l’Espace économique européen.
Lorsque cela est nécessaire, ORA NETWORK veille à ce que les transferts reposent sur un mécanisme reconnu par la réglementation applicable, notamment une décision d’adéquation, le cadre de protection applicable aux transferts vers les États-Unis lorsque le prestataire y est valablement certifié, les clauses contractuelles types de la Commission européenne et des mesures supplémentaires lorsque celles-ci sont nécessaires.
Des informations complémentaires peuvent être demandées à contact@ora-network.com.
21. SÉCURITÉ
ORA NETWORK met en œuvre des mesures techniques et organisationnelles destinées à protéger les données contre l’accès non autorisé, la perte, la destruction, l’altération, la divulgation et l’utilisation abusive.
Ces mesures peuvent notamment comprendre le chiffrement TLS des communications, le chiffrement au repos fourni par les hébergeurs, le chiffrement applicatif AES-GCM des jetons Google OAuth, le chiffrement des identifiants de session sensibles utilisés par certaines intégrations, l’authentification des utilisateurs, des contrôles d’accès et une séparation des rôles, des règles d’accès au niveau de la base de données, la limitation des données affichées selon la mission, la vérification des autorisations dans les fonctions serveur, la gestion sécurisée des secrets, le principe du moindre privilège, la journalisation technique, la surveillance des erreurs, des sauvegardes et des procédures de gestion des incidents.
Aucune méthode de transmission ou de stockage ne garantit une sécurité absolue.
Les utilisateurs doivent protéger leurs identifiants, utiliser des mots de passe robustes, ne pas partager leurs accès, protéger les liens de partage, révoquer les intégrations inutilisées et signaler rapidement toute activité suspecte.
22. DURÉES DE CONSERVATION
Les durées peuvent dépendre de la nature des données, de la finalité, du contrat avec le client, des instructions du responsable du traitement, des obligations légales et des délais de prescription applicables.
Les données de compte sont conservées pendant la durée de la relation contractuelle ou de l’utilisation du service. Certaines données limitées peuvent ensuite être archivées pendant une durée maximale de trois ans pour la gestion de la relation commerciale, sous réserve des obligations légales.
Les données nécessaires à une mission sont conservées pendant le processus de recrutement. Lorsque le profil peut être conservé pour de futures opportunités, les données sont conservées pendant une durée maximale de deux ans à compter du dernier contact, sauf opposition, instruction différente du client, nouveau contact ou nécessité de conserver certaines informations pour défendre un droit.
Les CV, réponses, documents et enregistrements audio suivent la durée de conservation du dossier candidat auquel ils sont rattachés et sont supprimés plus tôt lorsqu’ils ne sont plus nécessaires, lorsqu’une demande valable d’effacement est exercée, lorsque la mission est supprimée ou lorsque le client donne une instruction de suppression.
Les emails, messages LinkedIn et historiques d’interactions sont conservés pendant la durée nécessaire au suivi de la mission et, en principe, pendant une durée maximale de deux ans après le dernier échange candidat. Certaines traces limitées peuvent être archivées plus longtemps lorsqu’elles sont nécessaires à la preuve d’une prestation ou à la défense d’un droit.
Les données opérationnelles d’une mission sont conservées pendant la durée de la mission. Les informations nécessaires à la preuve de la relation contractuelle peuvent être archivées pendant la durée de prescription applicable, généralement jusqu’à cinq ans.
Les données relatives aux abonnements sont conservées pendant la relation contractuelle et pendant la durée nécessaire à la gestion des réclamations. Les factures et pièces comptables sont conservées pendant la durée imposée par la réglementation.
Les journaux techniques et de sécurité sont conservés pendant une durée proportionnée à leur finalité, en principe jusqu’à douze mois, sauf incident ou obligation justifiant une durée plus longue.
Les liens de partage sont conservés jusqu’à leur expiration lorsqu’une expiration est définie, leur révocation, la suppression de la mission ou du contenu, ou la fin de leur nécessité opérationnelle.
À l’échéance de la durée applicable, les données sont supprimées, anonymisées ou placées en archivage intermédiaire lorsqu’une conservation limitée reste nécessaire.
23. DROITS DES PERSONNES
Selon la réglementation applicable, les personnes concernées peuvent disposer d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait du consentement, d’un droit de ne pas faire l’objet d’une décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé lorsque les conditions légales sont réunies, d’un droit de demander une intervention humaine, de contester un résultat automatisé et de définir des directives relatives au sort de leurs données après leur décès.
Les demandes peuvent être adressées à contact@ora-network.com et doivent préciser les données ou le traitement concerné.
ORA NETWORK peut demander des informations complémentaires permettant de vérifier raisonnablement l’identité du demandeur.
Lorsqu’ORA NETWORK agit comme sous-traitant, la demande peut être transmise au client responsable du traitement.
Les personnes peuvent également déposer une réclamation auprès de la Commission nationale de l’informatique et des libertés, la CNIL.
24. OPPOSITION AUX COMMUNICATIONS
Une personne contactée au sujet d’une opportunité professionnelle peut demander à ne plus recevoir de messages.
ORA NETWORK ou le client peut alors conserver une information minimale dans une liste d’opposition afin d’éviter un nouveau contact non souhaité. Cette conservation est limitée aux informations nécessaires au respect de l’opposition.
25. SUPPRESSION D’UN COMPTE OU D’UNE MISSION
Un utilisateur peut demander la fermeture de son compte à contact@ora-network.com.
La suppression d’un compte n’entraîne pas nécessairement la suppression immédiate des données appartenant à un client, des contenus nécessaires à une mission, des documents soumis à une obligation légale, des données nécessaires à la défense de droits ou des données placées dans une sauvegarde technique temporaire.
La suppression définitive d’une mission entraîne la suppression des données rattachées lorsque les relations techniques et contractuelles le permettent.
26. COOKIES ET STOCKAGE LOCAL
Ora Network utilise principalement des technologies nécessaires au fonctionnement du service, notamment le stockage de la session d’authentification, un cookie ou stockage de préférence pour l’état de l’interface, un stockage temporaire nécessaire aux accès invités et des informations nécessaires à la sécurité et à la continuité de la navigation.
À la date de mise à jour de la présente politique, Ora Network n’utilise pas de cookie publicitaire ni de pixel de ciblage tiers dans l’application.
Si des outils de mesure d’audience ou des traceurs non nécessaires sont ajoutés, la présente politique sera mise à jour et un consentement sera demandé lorsque la réglementation l’exige.
27. MINEURS
Ora Network est destiné à un usage professionnel et n’est pas conçu pour être utilisé par des mineurs.
Les utilisateurs ne doivent pas importer volontairement des données relatives à des mineurs, sauf lorsqu’un traitement professionnel licite le justifie et que des garanties appropriées sont mises en place.
28. MODIFICATION DE LA POLITIQUE
La présente politique peut être mise à jour afin de tenir compte d’une évolution du service, d’une nouvelle intégration, d’une modification des traitements, d’une évolution légale ou réglementaire, d’une modification des exigences d’un fournisseur d’API ou d’une évolution des mesures de sécurité.
Lorsqu’une modification substantielle affecte l’utilisation des données Google ou une autre fonctionnalité sensible, les utilisateurs concernés sont informés et un nouveau consentement est recueilli lorsque celui-ci est requis.
La date de dernière mise à jour figure en haut de la politique.