Privacy Policy — Resuvia by Xentar AI Inc.

1. Scope

This Privacy Policy applies to the Resuvia — Career Guide+ mobile application ("App") published by XentarAI Inc. ("we," "us," or "our"), a company incorporated in Canada. It does not apply to the xentarai.com website (covered separately at Site Privacy Policy).

This policy covers users in all regions where the App is available, including the United States, Canada, the United Kingdom, the European Union and European Economic Area, Australia, New Zealand, and South Africa. Where applicable law provides additional rights or imposes specific obligations, those are addressed in the jurisdiction-specific sections below.

By installing or using the App you agree to the practices described here. If you do not agree, please do not use the App.

Résidents du Québec : La version française complète de cette politique est disponible en cliquant sur FR ci-dessus.

2. Information We Collect

2.1 Account Information

When you create an account we collect your first name, last name, email address, and a display name. Authentication is performed via one-time passcode (OTP) sent to your email; we do not store passwords. You may also use the App as an anonymous Guest without providing any personal information.

2.2 Résumé File Name

We store the file name of your uploaded résumé on our servers (e.g., "my_resume.pdf") solely to display it back to you. The actual PDF content is never uploaded to our servers. PDF parsing and text extraction happen entirely on your device.

2.3 Résumé and Job Description Content (AI Processing)

When you run an analysis, the text extracted from your résumé and the job description you provide are transmitted to third-party AI providers to generate your ATS score, improvement suggestions, and career guidance. See Section 5 for the specific providers. This content is sent over an encrypted channel and is subject to those providers' data handling terms. We do not use your résumé or job description content to train our own models.

2.4 Locally Cached Data

Your résumé file and, for Pro subscribers, up to 20 résumé versions are stored locally on your device in the app's private storage directory, encrypted with AES-256-GCM. This data never leaves your device except as described in Section 2.3 for AI analysis. Cached résumé files are automatically deleted after 60 days.

2.5 Usage and Analytics Data

We use PostHog (product analytics) to understand how features are used. Data collected includes feature interactions, screen views, and anonymised device and platform information. This data is linked to a randomly generated UUID, not your name or email. Analytics collection is consent-gated: users in the EU, EEA, UK, Switzerland, Brazil, and Canada are asked for explicit opt-in consent before any analytics data is collected. All other users may opt out at any time via in-app settings.

2.6 Crash Reports

We use Sentry for crash reporting. If the App crashes, a report including the stack trace, device model, OS version, and App version is sent. No personally identifiable information (name, email, résumé content) is included in crash reports. Crash reporting is consent-gated in the same jurisdictions listed above.

2.7 In-App Purchases

Pro subscriptions are purchased through the Apple App Store (iOS) or Google Play Store (Android). All billing and payment processing is handled entirely by Apple or Google. We do not collect, process, or store credit or debit card numbers or billing addresses. We receive only a non-reversible transaction receipt and a randomly generated account token from the platform to verify your subscription status.

2.8 Advertising Data (Free Tier Only)

The free tier of the App displays interstitial advertisements served by Google AdMob. Google AdMob may collect your device's advertising identifier (IDFA on iOS, GAID on Android) and use it to serve personalised ads. On iOS, this collection requires your explicit consent under Apple's App Tracking Transparency (ATT) framework, and we will prompt for this before any identifier is shared. This collection constitutes sharing of personal information for cross-context behavioural advertising purposes, which may be treated as a "sale" or "sharing" under the California Consumer Privacy Act (see Section 11) and analogous state laws. Pro subscribers do not see ads and are not subject to this data collection.

Notice for Quebec residents (Law 25, s. 8.1): The App uses profiling technology (Google AdMob, free tier only) that may identify or profile you for advertising purposes. You have the right to be informed of this and to opt out at any time. To opt out: deny ATT consent on iOS, or reset your advertising ID on Android (Settings → Privacy → Ads). Upgrading to Pro also removes all advertising and profiling entirely.

2.9 Biometric Authentication

If you enable biometric login (Face ID / fingerprint), your biometric credentials are handled entirely by your device's operating system (iOS Keychain, Android Keystore). We never have access to your raw biometric data. We store only a boolean flag indicating that biometric authentication is enabled for your account.

2.10 Technical and Device Information

We collect minimal technical information necessary to operate the App, including your device's platform (iOS/Android), App version, and session identifiers. IP addresses used during network requests are processed by our backend infrastructure but are not stored long-term as part of your user record.

3. How We Use Your Information

To create and manage your account and authenticate your identity
To provide AI-powered résumé analysis, ATS scoring, and career guidance
To verify and fulfil your Pro subscription
To display your résumé history and analysis results
To send transactional emails (OTP codes, account notifications)
To diagnose crashes and fix bugs (with consent, where required)
To understand feature usage and improve the App (with consent, where required)
To serve advertisements on the free tier (iOS: only with ATT consent)
To comply with legal obligations and enforce our Terms of Use
To detect and prevent fraud, abuse, and security threats

4. Legal Bases for Processing (GDPR / UK GDPR)

For users in the EU, EEA, UK, and Switzerland, we rely on the following legal bases:

Contract performance — account creation, authentication, résumé analysis, subscription management
Consent — analytics (PostHog), crash reporting (Sentry), and personalised advertising (AdMob / ATT). You may withdraw consent at any time in Settings → Account Preferences → Privacy & Consent.
Legitimate interests — fraud prevention, abuse detection, improving service reliability. We have assessed that these interests are not overridden by your fundamental rights and freedoms.
Legal obligation — disclosures or processing required by applicable law

We have not appointed a Data Protection Officer (DPO) as we do not meet the thresholds requiring mandatory appointment under Article 37 GDPR. Privacy questions may be directed to contactus@xentarai.com.

5. Third-Party Services and Data Sharing

We do not sell your personal information to data brokers or advertising networks (other than as described in Section 2.8 regarding AdMob). We share data only with the following categories of recipients:

5.1 Backend Infrastructure

Supabase (Supabase Inc., USA) hosts our database and backend APIs. Your account information, résumé file name, analysis results, and subscription status are stored on Supabase infrastructure in the US-East region. Transfers from the EEA are governed by Standard Contractual Clauses (EU SCCs, 2021). Transfers from the UK are governed by the UK International Data Transfer Addendum (UK IDTA) to those SCCs. Transfers from Australia, New Zealand, and South Africa are subject to the cross-border transfer safeguards described in Sections 15–17.

5.2 AI Providers

Résumé text and job description text are transmitted to one or more of the following AI services depending on your subscription tier and region:

Anthropic (USA — Pro tier) — Claude Haiku model
Google (USA — Free and Pro fallback) — Gemini Flash model
Mistral AI (France — Free tier and fallback) — Mistral Small model

These providers process your résumé and job description content solely to generate the analysis returned to you. They do not use this content to train their models (subject to each provider's current data processing terms). API calls are routed through our own backend; AI API keys are never exposed client-side.

5.3 Job Description Scraping

When you provide a job posting URL, the App may transmit that URL to one or more of the following third-party services to retrieve the job description text: Jina AI Reader, Wayback Machine / archive.today (Internet Archive), ScrapingAnt, Apify, or Firecrawl. Only the URL is shared; your personal information and résumé content are not transmitted to these services. You can paste the job description text directly to avoid URL scraping entirely.

5.4 Email Delivery

Resend (primary, USA) and Brevo (fallback, France) deliver OTP authentication codes and account-related emails to your email address.

5.5 Analytics

PostHog (PostHog Inc., USA) — product analytics, consent-gated as described in Section 2.5.

5.6 Crash Reporting

Sentry (Functional Software, Inc., USA) — crash diagnostics, consent-gated as described in Section 2.6.

5.7 Advertising

Google AdMob (Google LLC, USA) — interstitial ads on the free tier only. See Section 2.8.

5.8 App Stores

Apple App Store and Google Play Store handle all in-app purchases. Your payment data is governed by Apple's and Google's respective privacy policies.

5.9 Legal Requirements and Business Transfers

We may disclose personal information if required by law, court order, or governmental authority. In the event of a merger, acquisition, or asset sale, your information may be transferred to the successor entity subject to the same protections described here, and we will provide notice before any such transfer.

6. Data Security

We implement the following technical and organisational measures:

All data in transit is encrypted using TLS 1.2 or higher
Locally cached résumé files are encrypted at rest using AES-256-GCM with a per-user 256-bit key stored in the device's secure element (iOS Keychain / Android Keystore) with first-unlock-only access
Authentication uses one-time passcodes (OTP); no passwords are stored
API keys for AI services are stored in our backend vault and are never embedded in the App binary
Row-Level Security restricts all database access to the authenticated user's own data
Account deletion requires OTP verification and is rate-limited
Sign-in attempts are rate-limited with progressive delays after repeated failures

No method of electronic transmission or storage is 100% secure. While we use commercially reasonable measures, we cannot guarantee absolute security.

7. Data Breach Notification

In the event of a personal data breach we will:

EU/EEA (GDPR) — notify the relevant supervisory authority within 72 hours of becoming aware of the breach if it is likely to result in a risk to your rights and freedoms, and notify affected individuals without undue delay if the breach is likely to result in a high risk.
UK (UK GDPR) — notify the ICO within 72 hours and notify affected individuals where required.
Canada — PIPEDA — notify the Office of the Privacy Commissioner and affected individuals as soon as feasible when a breach creates a real risk of significant harm.
Canada — Quebec Law 25 — notify the Commission d'accès à l'information (CAI) and affected individuals within 72 hours of becoming aware of a confidentiality incident presenting a risk of serious injury. We maintain a confidentiality incident register as required by Law 25.
Australia (NDB Scheme) — notify the Office of the Australian Information Commissioner (OAIC) and affected individuals as soon as practicable where a breach is likely to result in serious harm.
New Zealand — notify the New Zealand Privacy Commissioner and affected individuals as soon as reasonably practicable where a breach is likely to cause serious harm.
South Africa (POPIA) — notify the Information Regulator and affected data subjects as soon as reasonably possible after becoming aware of a compromise.

Breach notifications will describe the nature of the breach, the data affected, likely consequences, and the steps we are taking to address it.

8. Data Retention

Account data — retained for the lifetime of your account, then deleted upon account deletion
Analysis results — retained in your account; Pro subscribers retain up to 20 résumé versions in History Vault
Locally cached résumé files — automatically deleted after 60 days, or immediately upon account deletion
Analytics data (PostHog) — retained per PostHog's default retention period; you may request erasure via in-app consent settings
Crash reports (Sentry) — retained per Sentry's default retention period
Deleted account data — account records are deleted from our servers upon confirmed account deletion; encrypted backups may retain data for up to 30 additional days
Anonymised billing records — a minimal, fully anonymised billing record (containing no personal information) may be retained for up to 7 years after account deletion as required by applicable tax and financial regulations. This record cannot be used to identify you.

You may request deletion of your account at any time from within the App (Settings → Profile → Delete Account), or via our web-based account deletion page at xentarai.com/products/resuvia/delete-account.html. Both options are available without needing to contact us. In-app deletion is immediate and irreversible; web-based deletion is processed within 30 days. Both methods require identity verification.

9. Children's Privacy

The App is a career tool intended for adult job seekers. Minimum age requirements by jurisdiction:

South Africa — minimum age 18 years (POPIA defines a "child" as a person under 18)
EU / EEA / UK / Switzerland — minimum age 16 years (GDPR / UK GDPR digital services threshold)
All other jurisdictions — minimum age 13 years

We do not knowingly collect personal information from anyone below the applicable minimum age. If you believe a minor has created an account, contact us at contactus@xentarai.com and we will promptly delete it.

10. Your Rights — EU / EEA / UK / Switzerland (GDPR & UK GDPR)

If you are in the European Union, European Economic Area, United Kingdom, or Switzerland, you have the following rights:

Access — request a copy of the personal data we hold about you
Rectification — request correction of inaccurate or incomplete data
Erasure — request deletion of your personal data (subject to legal retention requirements)
Restriction — request that we limit how we process your data
Portability — receive your data in a structured, machine-readable format
Objection — object to processing based on legitimate interests or for direct marketing
Withdraw consent — withdraw any consent at any time via Settings → Account Preferences → Privacy & Consent, without affecting the lawfulness of prior processing
Automated decision-making — the right not to be subject to solely automated decisions producing significant legal effects. Our ATS scoring uses AI but is not used to make legally binding decisions about you.

To exercise any of these rights, contact us at contactus@xentarai.com. We will respond within 30 days (one calendar month), extendable by a further two months for complex requests. You also have the right to lodge a complaint with your local supervisory authority: your national Data Protection Authority in the EU/EEA, the ICO in the UK, or the FDPIC in Switzerland.

11. Your Rights — California Residents (CCPA / CPRA)

If you are a California resident, the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA) provides the following rights:

Right to Know — request disclosure of the categories and specific pieces of personal information collected, the sources, the business purpose, and the categories of third parties with whom we share it
Right to Delete — request deletion of personal information we have collected, subject to certain exceptions
Right to Correct — request correction of inaccurate personal information
Right to Opt-Out of Sale / Sharing — the sharing of your device advertising identifier (IDFA/GAID) with Google AdMob for personalised advertising may constitute a "sale" or "sharing" under CCPA. To opt out: on iOS, deny or revoke ATT consent in iOS Settings → Privacy & Security → Tracking. On Android, opt out of your advertising ID in Android Settings → Privacy → Ads. Pro subscribers are not subject to AdMob data collection.
Right to Limit Use of Sensitive Personal Information — we do not use sensitive personal information for purposes beyond what is necessary to provide the App
Right to Non-Discrimination — we will not discriminate against you for exercising your CCPA rights

To submit a verifiable consumer request, contact us at contactus@xentarai.com. We will respond within 45 days. You may designate an authorised agent to make requests on your behalf.

CalOPPA disclosure: We will notify you of material changes to this Privacy Policy by updating the "Last Updated" date above. A link to this policy is available from within the App and on the Resuvia product page.

12. Your Rights — Other US State Privacy Laws

Residents of Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA), Oregon (OCPA), and other US states with comprehensive privacy laws have rights that broadly parallel the CCPA rights in Section 11, including the right to access, correct, delete, and obtain a copy of your personal data, as well as the right to opt out of targeted advertising. To exercise these rights, contact us at contactus@xentarai.com. We will respond within the time period required by your state's applicable law (typically 45 days). We do not make decisions that have significant legal or similarly significant effects on consumers solely through automated means without appropriate safeguards.

13. Your Rights — Brazil (LGPD)

If you are in Brazil, the Lei Geral de Proteção de Dados (LGPD) provides rights including access, correction, deletion, portability, information about sharing, and the right to withdraw consent. Analytics and crash reporting require your explicit consent in Brazil. To exercise your rights, contact us at contactus@xentarai.com. You may also lodge a complaint with the Autoridade Nacional de Proteção de Dados (ANPD).

14. Your Rights — Canada (PIPEDA & Quebec Law 25)

XentarAI Inc. is a Canadian company subject to the Personal Information Protection and Electronic Documents Act (PIPEDA) and, for residents of Quebec, the Act respecting the protection of personal information in the private sector (Law 25 / Bill 64).

Consent — we collect personal information only with your knowledge and consent, or as permitted by law. You may withdraw consent at any time, subject to legal or contractual restrictions, by contacting us.
Limiting collection — we collect only what is necessary for the purposes identified here.
Access and correction — you have the right to access your personal information and request correction of inaccuracies.
Right to de-indexing (Quebec) — Quebec residents may request that we cease disseminating personal information or de-index any hyperlinks attached to their name, where technically feasible.
Automated profiling (Quebec) — our ATS scoring uses AI-based automated processing. You have the right to be informed of this and to request human review of results.
Technology-based profiling (Quebec — Law 25, s. 8.1) — the App uses Google AdMob (free tier only) which may profile your advertising interests. We disclose this as required by Law 25. You may opt out at any time as described in Section 2.8.
Confidentiality incidents (Quebec — Law 25) — we maintain a register of all confidentiality incidents as required by Law 25. In the event of an incident presenting a risk of serious injury, we will notify the CAI and affected individuals within 72 hours.
Breach notification (PIPEDA) — we will report breaches creating real risk of significant harm to the Office of the Privacy Commissioner and notify affected individuals as required by PIPEDA.
Privacy Officer — XentarAI Inc. has designated Bidisha Das, Founder & Director as Privacy Officer responsible for compliance with PIPEDA and Quebec Law 25. Contact: contactus@xentarai.com (subject: "Privacy Officer — Privacy Request").

If unsatisfied with our response, you may contact the Office of the Privacy Commissioner of Canada (OPC) or, for Quebec residents, the Commission d'accès à l'information du Québec (CAI).

15. Your Rights — Australia (Privacy Act 1988 / Australian Privacy Principles)

We handle personal information of Australian residents in accordance with the Privacy Act 1988 (Cth) and the Australian Privacy Principles (APPs).

Access (APP 12) — you may request access to the personal information we hold about you by contacting us. We will respond within a reasonable period (generally 30 days). We may charge a reasonable fee for access requests in limited circumstances.
Correction (APP 13) — if information we hold is inaccurate, out of date, incomplete, or misleading, you may request correction. We will correct or associate a statement of disagreement with the record.
Anonymity (APP 2) — where lawful and practicable, you may use the App anonymously (Guest mode).
Cross-border disclosure (APP 8) — we disclose personal information to overseas recipients (Supabase, Anthropic, Google, Mistral AI, PostHog, Sentry, Resend, Brevo, and others listed in Section 5), all located in the United States or France. Before doing so, we take reasonable steps to ensure these recipients do not breach the APPs in relation to your information, including by relying on contractual data processing agreements with those providers. By using the App, you acknowledge that we may not be accountable under the Privacy Act if an overseas recipient handles your information in breach of the APPs, and that you may not be able to seek redress from the OAIC in respect of that overseas handling.
Direct marketing (APP 7) — we do not use your personal information for direct marketing beyond transactional communications (OTP, account notices). You may opt out of any non-essential communications at any time.
Notifiable Data Breaches (NDB Scheme) — see Section 7 for our breach notification obligations.

To exercise your rights or make a privacy complaint, contact us at contactus@xentarai.com. We will respond within 30 days. If you are not satisfied with our response, you may lodge a complaint with the Office of the Australian Information Commissioner (OAIC) at oaic.gov.au.

16. Your Rights — New Zealand (Privacy Act 2020)

We handle personal information of New Zealand residents in accordance with the Privacy Act 2020 and the Information Privacy Principles (IPPs).

Access (IPP 6) — you have the right to request access to personal information we hold about you. We will provide access within a reasonable period.
Correction (IPP 7) — you have the right to request correction of inaccurate personal information.
Transborder data flows (IPP 12) — we transfer personal information to overseas recipients in the United States and France (listed in Section 5). We take reasonable steps to ensure those recipients are subject to privacy obligations comparable to the IPPs, including through contractual data processing agreements. New Zealand does not currently maintain a list of "adequate" countries, so transfers rely on these contractual safeguards.
Notifiable privacy breaches — see Section 7. Where a breach is likely to cause serious harm to New Zealand individuals, we will notify both the New Zealand Privacy Commissioner and the affected individuals as soon as reasonably practicable.

To exercise your rights or raise a privacy concern, contact us at contactus@xentarai.com. If you are not satisfied with our response, you may contact the New Zealand Privacy Commissioner at privacy.org.nz.

17. Your Rights — South Africa (POPIA)

We process personal information of South African data subjects in accordance with the Protection of Personal Information Act 4 of 2013 (POPIA).

Minimum age: In South Africa, the App is available only to users aged 18 years and older. POPIA defines a "child" as a person under the age of 18. We do not knowingly collect personal information from persons under 18 in South Africa.

Your rights under POPIA include:

Right to be notified — you have the right to be notified when your personal information is being collected (this policy serves that purpose).
Right of access — you may request a description of the personal information we hold about you and be told for what purpose it is held.
Right to correction or deletion — you may request that we correct or delete personal information that is inaccurate, irrelevant, excessive, out of date, incomplete, misleading, or unlawfully obtained.
Right to object — you may object to the processing of your personal information on reasonable grounds. We will cease processing unless legitimate grounds override your objection or it is necessary for a legal claim.
Right not to be subject to automated decision-making — you have the right not to be subject to a decision based solely on automated processing if it significantly affects you. Our ATS scoring is advisory and does not make legally binding decisions about you.
Cross-border transfer (Section 72 POPIA) — we transfer personal information to recipients in the United States and France (Section 5). We do so on the basis that we have put in place contractual data processing agreements requiring those recipients to apply standards of protection substantially similar to the conditions for the lawful processing of personal information under POPIA.
Breach notification — see Section 7. We will notify the Information Regulator and affected data subjects as soon as reasonably possible upon becoming aware of a compromise of personal information.
Information Officer — XentarAI Inc. has designated Bidisha Das, Founder & Director as Information Officer as required by POPIA. Contact: contactus@xentarai.com.

To exercise your rights or lodge a complaint, contact us at contactus@xentarai.com. If you are not satisfied with our response, you may lodge a complaint with the Information Regulator (South Africa) at justice.gov.za/inforeg/.

18. Analytics Consent and Opt-Out

You can manage analytics and crash reporting consent at any time from within the App: Settings → Account Preferences → Privacy & Consent. Revoking consent stops all future collection and closes the active PostHog and Sentry sessions immediately. Previously collected data is subject to those providers' own retention policies.

Users in the EU, EEA, UK, Switzerland, Brazil, and Canada are presented with an explicit consent prompt during onboarding. No analytics data is collected before consent is granted. All other users may opt out at any time via the same in-app setting.

19. International Data Transfers

XentarAI Inc. is incorporated in Canada. Your personal information may be transferred to and processed in the United States (Supabase, Anthropic, Google, PostHog, Sentry, ScrapingAnt, Apify, Firecrawl, Resend, AdMob) and France (Mistral AI, Brevo) and potentially other countries where our service providers operate.

Safeguards governing these transfers:

From EU/EEA — Standard Contractual Clauses (EU SCCs, 2021)
From UK — UK International Data Transfer Addendum (IDTA) to EU SCCs, or equivalent UK-approved mechanism
From Switzerland — Standard Contractual Clauses as recognised by the FDPIC
From Canada — contractual obligations requiring comparable protection; Canada is recognised by the EU as providing adequate protection under PIPEDA
From Australia — contractual data processing agreements (APP 8 safeguards)
From New Zealand — contractual safeguards providing comparable protection to the IPPs
From South Africa — contractual safeguards meeting the requirements of Section 72 POPIA

20. Changes to This Policy

We may update this Privacy Policy from time to time. We will notify you of material changes by updating the "Last Updated" date at the top of this page and, where required by applicable law, by providing in-app notification or direct email notice. We encourage you to review this policy periodically. Continued use of the App after changes are posted constitutes your acceptance of the updated policy.

21. Contact Us

For questions, concerns, or data rights requests related to this Privacy Policy, please contact:

XentarAI Inc.
Privacy & Legal
Email: contactus@xentarai.com
Website: https://xentarai.com
Country of incorporation: Canada

Response timelines: 30 days for GDPR / UK GDPR requests; 45 days for CCPA / US state law requests; 30 days for Australian, New Zealand, and South Africa requests; and within a reasonable period for all other jurisdictions. Complex requests may be extended with notice.

← Back to Resuvia

1. Portée

La présente politique de confidentialité s'applique à l'application mobile Resuvia — Career Guide+ (« l'Application ») publiée par XentarAI Inc. (« nous », « notre » ou « nos »), une société constituée en personne morale au Canada. Elle ne s'applique pas au site Web xentarai.com (couvert séparément par la Politique de confidentialité du site).

Cette politique couvre les utilisateurs dans toutes les régions où l'Application est disponible, notamment les États-Unis, le Canada, le Royaume-Uni, l'Union européenne et l'Espace économique européen, l'Australie, la Nouvelle-Zélande et l'Afrique du Sud. Lorsque la loi applicable prévoit des droits supplémentaires ou impose des obligations spécifiques, ceux-ci sont traités dans les sections propres à chaque territoire.

En installant ou en utilisant l'Application, vous acceptez les pratiques décrites dans la présente politique. Si vous n'acceptez pas, veuillez ne pas utiliser l'Application.

Résidents du Québec : La présente politique est publiée en français conformément à la Charte de la langue française (Loi 101) et à la Loi 25.

2. Renseignements que nous collectons

2.1 Informations de compte

Lors de la création d'un compte, nous collectons votre prénom, nom de famille, adresse courriel et un nom d'affichage. L'authentification est effectuée par un code d'accès à usage unique (OTP) envoyé à votre adresse courriel ; nous ne conservons pas de mots de passe. Vous pouvez également utiliser l'Application en tant qu'invité anonyme sans fournir de renseignements personnels.

2.2 Nom du fichier CV

Nous conservons sur nos serveurs le nom du fichier de votre CV téléversé (p. ex., « mon_cv.pdf ») uniquement pour vous l'afficher. Le contenu réel du fichier PDF n'est jamais téléversé sur nos serveurs. L'analyse et l'extraction du texte du PDF s'effectuent entièrement sur votre appareil.

2.3 Contenu du CV et de la description de poste (traitement par IA)

Lorsque vous lancez une analyse, le texte extrait de votre CV et la description de poste que vous fournissez sont transmis à des fournisseurs d'intelligence artificielle tiers pour générer votre score ATS, vos suggestions d'amélioration et vos conseils de carrière. Voir la section 5 pour les fournisseurs concernés. Ce contenu est transmis via un canal chiffré et est soumis aux conditions de traitement des données de ces fournisseurs. Nous n'utilisons pas le contenu de votre CV ou de la description de poste pour entraîner nos propres modèles.

2.4 Données en cache local

Votre fichier CV et, pour les abonnés Pro, jusqu'à 20 versions de CV sont stockés localement sur votre appareil dans le répertoire de stockage privé de l'application, chiffré avec AES-256-GCM. Ces données ne quittent jamais votre appareil, sauf dans le cadre de l'analyse IA décrite à la section 2.3. Les fichiers CV en cache sont automatiquement supprimés après 60 jours.

2.5 Données d'utilisation et d'analyse

Nous utilisons PostHog (analyse de produit) pour comprendre l'utilisation des fonctionnalités. Les données collectées comprennent les interactions avec les fonctionnalités, les vues d'écran et des informations anonymisées sur l'appareil et la plateforme. Ces données sont liées à un identifiant UUID généré aléatoirement, et non à votre nom ou adresse courriel. La collecte de données d'analyse est soumise au consentement : les utilisateurs de l'UE, de l'EEE, du Royaume-Uni, de la Suisse, du Brésil et du Canada doivent donner leur consentement explicite avant toute collecte. Tous les autres utilisateurs peuvent se désinscrire à tout moment dans les paramètres de l'Application.

2.6 Rapports de plantage

Nous utilisons Sentry pour les rapports de plantage. En cas de plantage de l'Application, un rapport comprenant la trace de pile, le modèle d'appareil, la version du système d'exploitation et la version de l'Application est envoyé. Aucun renseignement personnel (nom, adresse courriel, contenu du CV) n'est inclus dans les rapports de plantage. Les rapports de plantage sont également soumis au consentement dans les mêmes territoires.

2.7 Achats intégrés

Les abonnements Pro sont achetés via l'App Store d'Apple (iOS) ou le Google Play Store (Android). Toute la facturation et le traitement des paiements sont gérés entièrement par Apple ou Google. Nous ne collectons, ne traitons ni ne conservons de numéros de carte de crédit ou de débit, ni d'adresses de facturation. Nous ne recevons qu'un reçu de transaction non réversible et un jeton de compte généré aléatoirement par la plateforme pour vérifier votre statut d'abonnement.

2.8 Données publicitaires (niveau gratuit uniquement)

Le niveau gratuit de l'Application affiche des publicités interstitielles servies par Google AdMob. Google AdMob peut collecter l'identifiant publicitaire de votre appareil (IDFA sur iOS, GAID sur Android) et l'utiliser pour diffuser des publicités personnalisées. Sur iOS, cette collecte nécessite votre consentement explicite dans le cadre du dispositif App Tracking Transparency (ATT) d'Apple ; nous vous demanderons ce consentement avant tout partage d'identifiant. Cette collecte constitue un partage de renseignements personnels à des fins de publicité comportementale, ce qui peut être considéré comme une « vente » ou un « partage » au sens de la loi californienne CCPA (voir section 11) et des lois analogues. Les abonnés Pro ne voient pas de publicités et ne sont pas soumis à cette collecte de données.

Avis pour les résidents du Québec (Loi 25, art. 8.1) : L'Application utilise des technologies de profilage (Google AdMob, niveau gratuit uniquement) susceptibles d'identifier ou de profiler une personne à des fins publicitaires. Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25), nous vous en informons et vous pouvez vous y opposer à tout moment : refusez le consentement ATT sur iOS, ou réinitialisez votre identifiant publicitaire sur Android (Paramètres → Confidentialité → Publicités). La souscription à un abonnement Pro supprime toute publicité et tout profilage.

2.9 Authentification biométrique

Si vous activez la connexion biométrique (Face ID / empreinte digitale), vos données biométriques sont gérées entièrement par le système d'exploitation de votre appareil (Keychain iOS / Keystore Android). Nous n'avons jamais accès à vos données biométriques brutes. Nous ne conservons qu'un indicateur indiquant que l'authentification biométrique est activée pour votre compte.

2.10 Informations techniques et sur l'appareil

Nous collectons des informations techniques minimales nécessaires au fonctionnement de l'Application, notamment la plateforme de votre appareil (iOS/Android), la version de l'Application et les identifiants de session. Les adresses IP utilisées lors des requêtes réseau sont traitées par notre infrastructure principale, mais ne sont pas conservées à long terme dans votre dossier utilisateur.

3. Comment nous utilisons vos renseignements

Pour créer et gérer votre compte et authentifier votre identité
Pour fournir l'analyse de CV, le score ATS et les conseils de carrière alimentés par l'IA
Pour vérifier et exécuter votre abonnement Pro
Pour afficher votre historique de CV et vos résultats d'analyse
Pour envoyer des courriels transactionnels (codes OTP, notifications de compte)
Pour diagnostiquer les plantages et corriger les bogues (avec consentement, le cas échéant)
Pour comprendre l'utilisation des fonctionnalités et améliorer l'Application (avec consentement, le cas échéant)
Pour diffuser des publicités sur le niveau gratuit (iOS : uniquement avec le consentement ATT)
Pour respecter nos obligations légales et faire respecter nos Conditions d'utilisation
Pour détecter et prévenir la fraude, les abus et les menaces à la sécurité

4. Bases juridiques du traitement (RGPD / RGPD britannique)

Pour les utilisateurs de l'UE, de l'EEE, du Royaume-Uni et de la Suisse, nous nous appuyons sur les bases juridiques suivantes :

Exécution d'un contrat — création de compte, authentification, analyse de CV, gestion des abonnements
Consentement — analyse (PostHog), rapports de plantage (Sentry) et publicité personnalisée (AdMob / ATT). Vous pouvez retirer votre consentement à tout moment dans Paramètres → Préférences du compte → Confidentialité et consentement.
Intérêts légitimes — prévention de la fraude, détection des abus, amélioration de la fiabilité du service. Nous avons évalué que ces intérêts ne priment pas sur vos droits et libertés fondamentaux.
Obligation légale — divulgations ou traitements requis par la loi applicable

Nous n'avons pas désigné de délégué à la protection des données (DPD) car nous ne répondons pas aux critères de désignation obligatoire prévus à l'article 37 du RGPD. Les questions relatives à la vie privée peuvent être adressées à contactus@xentarai.com.

5. Services tiers et partage de données

Nous ne vendons pas vos renseignements personnels à des courtiers en données ou à des réseaux publicitaires (sauf dans le cadre d'AdMob décrit à la section 2.8). Nous partageons des données uniquement avec les catégories de destinataires suivantes :

5.1 Infrastructure principale

Supabase (Supabase Inc., États-Unis) héberge notre base de données et nos API principales. Vos informations de compte, le nom de votre fichier CV, les résultats d'analyse et le statut d'abonnement sont stockés sur l'infrastructure Supabase dans la région US-Est. Les transferts depuis l'EEE sont régis par les Clauses contractuelles types (CCT UE, 2021). Les transferts depuis le Royaume-Uni sont régis par l'Addendum international de transfert de données du Royaume-Uni (UK IDTA). Les transferts depuis l'Australie, la Nouvelle-Zélande et l'Afrique du Sud sont soumis aux garanties décrites aux sections 15 à 17.

5.2 Fournisseurs d'IA

Le texte du CV et la description de poste sont transmis à un ou plusieurs des services d'IA suivants selon votre niveau d'abonnement et votre région :

Anthropic (États-Unis — niveau Pro) — modèle Claude Haiku
Google (États-Unis — niveau gratuit et repli Pro) — modèle Gemini Flash
Mistral AI (France — niveau gratuit et repli) — modèle Mistral Small

Ces fournisseurs traitent le contenu de votre CV et de la description de poste uniquement pour générer l'analyse qui vous est retournée. Ils n'utilisent pas ce contenu pour entraîner leurs modèles (sous réserve des conditions de traitement des données actuelles de chaque fournisseur). Les appels API sont acheminés via notre propre infrastructure ; les clés API d'IA ne sont jamais exposées côté client.

5.3 Extraction de descriptions de poste

Lorsque vous fournissez une URL d'offre d'emploi, l'Application peut transmettre cette URL à un ou plusieurs des services tiers suivants pour récupérer le texte de la description de poste : Jina AI Reader, Wayback Machine / archive.today (Internet Archive), ScrapingAnt, Apify ou Firecrawl. Seule l'URL est partagée ; vos renseignements personnels et le contenu de votre CV ne sont pas transmis à ces services. Vous pouvez coller directement le texte de la description de poste pour éviter l'extraction d'URL.

5.4 Envoi de courriels

Resend (principal, États-Unis) et Brevo (repli, France) transmettent les codes OTP d'authentification et les courriels liés au compte à votre adresse courriel.

5.5 Analyse

PostHog (PostHog Inc., États-Unis) — analyse de produit, soumise au consentement comme décrit à la section 2.5.

5.6 Rapports de plantage

Sentry (Functional Software, Inc., États-Unis) — diagnostic de plantage, soumis au consentement comme décrit à la section 2.6.

5.7 Publicité

Google AdMob (Google LLC, États-Unis) — publicités interstitielles sur le niveau gratuit uniquement. Voir section 2.8.

5.8 Boutiques d'applications

L'App Store d'Apple et le Google Play Store gèrent tous les achats intégrés. Vos données de paiement sont régies par les politiques de confidentialité respectives d'Apple et de Google.

5.9 Exigences légales et transferts d'entreprise

Nous pouvons divulguer des renseignements personnels si la loi, une ordonnance d'un tribunal ou une autorité gouvernementale l'exige. En cas de fusion, d'acquisition ou de vente d'actifs, vos renseignements peuvent être transférés à l'entité successeure sous réserve des mêmes protections, et nous vous en informerons avant tout transfert.

6. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Toutes les données en transit sont chiffrées avec TLS 1.2 ou supérieur
Les fichiers CV en cache local sont chiffrés au repos avec AES-256-GCM avec une clé de 256 bits par utilisateur stockée dans l'élément sécurisé de l'appareil (Keychain iOS / Keystore Android) avec accès limité au premier déverrouillage
L'authentification utilise des codes d'accès à usage unique (OTP) ; aucun mot de passe n'est stocké
Les clés API pour les services d'IA sont stockées dans notre coffre-fort principal et ne sont jamais intégrées dans le binaire de l'Application
La sécurité au niveau des lignes restreint tous les accès à la base de données aux données de l'utilisateur authentifié
La suppression de compte nécessite une vérification OTP et est limitée en débit
Les tentatives de connexion sont limitées en débit avec des délais progressifs après des échecs répétés

Aucune méthode de transmission ou de stockage électronique n'est sûre à 100 %. Bien que nous utilisions des mesures commercialement raisonnables, nous ne pouvons garantir une sécurité absolue.

7. Notification d'incident de confidentialité

En cas de violation de données personnelles, nous procéderons comme suit :

UE / EEE (RGPD) — notifier l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation si elle est susceptible d'engendrer un risque pour vos droits et libertés, et notifier les personnes concernées sans délai indu si la violation est susceptible d'engendrer un risque élevé.
Royaume-Uni (RGPD britannique) — notifier l'ICO dans les 72 heures et notifier les personnes concernées si requis.
Canada — LPRPDE — notifier le Commissariat à la protection de la vie privée du Canada et les personnes concernées dès que possible lorsqu'une violation crée un risque réel de préjudice grave.
Canada — Loi 25 (Québec) — notifier la Commission d'accès à l'information (CAI) et les personnes concernées dans les 72 heures suivant la prise de connaissance d'un incident de confidentialité présentant un risque de préjudice sérieux. Nous tenons un registre des incidents de confidentialité conformément à la Loi 25.
Australie (Régime NDB) — notifier le Bureau du commissaire à l'information d'Australie (OAIC) et les personnes concernées dès que praticable si la violation est susceptible d'entraîner un préjudice grave.
Nouvelle-Zélande — notifier le Commissaire à la vie privée de la Nouvelle-Zélande et les personnes concernées dès que raisonnablement praticable si la violation est susceptible de causer un préjudice grave.
Afrique du Sud (POPIA) — notifier le Régulateur de l'information et les personnes concernées dès que raisonnablement possible après avoir pris connaissance d'une atteinte aux renseignements personnels.

Les notifications décriront la nature de la violation, les données touchées, les conséquences probables et les mesures prises pour y remédier.

8. Conservation des données

Données de compte — conservées pendant la durée de votre compte, puis supprimées lors de la suppression du compte
Résultats d'analyse — conservés dans votre compte ; les abonnés Pro conservent jusqu'à 20 versions de CV dans le coffre-fort d'historique
Fichiers CV en cache local — supprimés automatiquement après 60 jours, ou immédiatement lors de la suppression du compte
Données d'analyse (PostHog) — conservées conformément à la période de conservation par défaut de PostHog ; vous pouvez demander leur suppression via les paramètres de consentement dans l'Application
Rapports de plantage (Sentry) — conservés conformément à la période de conservation par défaut de Sentry
Données de compte supprimé — les enregistrements de compte sont supprimés de nos serveurs lors de la suppression confirmée du compte ; les sauvegardes chiffrées peuvent conserver les données pendant 30 jours supplémentaires
Dossiers de facturation anonymisés — un dossier de facturation minimal entièrement anonymisé (ne contenant aucun renseignement personnel) peut être conservé jusqu'à 7 ans après la suppression du compte conformément aux réglementations fiscales et financières applicables. Ce dossier ne peut pas être utilisé pour vous identifier.

Vous pouvez demander la suppression de votre compte à tout moment depuis l'Application (Paramètres → Profil → Supprimer le compte), ou via notre page de suppression de compte. Les deux options sont disponibles sans avoir à nous contacter. La suppression dans l'Application est immédiate et irréversible ; la suppression via le Web est traitée dans les 30 jours. Les deux méthodes nécessitent une vérification d'identité.

9. Protection de la vie privée des enfants

L'Application est un outil de carrière destiné aux adultes chercheurs d'emploi. Âges minimaux requis selon le territoire :

Afrique du Sud — âge minimum 18 ans (POPIA définit un « enfant » comme une personne de moins de 18 ans)
UE / EEE / Royaume-Uni / Suisse — âge minimum 16 ans (seuil RGPD / RGPD britannique pour les services numériques)
Tous les autres territoires — âge minimum 13 ans

Nous ne collectons pas sciemment de renseignements personnels auprès de quiconque en dessous de l'âge minimum applicable. Si vous pensez qu'un mineur a créé un compte, contactez-nous à contactus@xentarai.com et nous le supprimerons promptement.

10. Vos droits — UE / EEE / Royaume-Uni / Suisse (RGPD et RGPD britannique)

Si vous êtes dans l'Union européenne, l'Espace économique européen, le Royaume-Uni ou la Suisse, vous disposez des droits suivants :

Accès — demander une copie des données personnelles que nous détenons sur vous
Rectification — demander la correction de données inexactes ou incomplètes
Effacement — demander la suppression de vos données personnelles (sous réserve des exigences légales de conservation)
Limitation — demander que nous limitions la façon dont nous traitons vos données
Portabilité — recevoir vos données dans un format structuré et lisible par machine
Opposition — vous opposer au traitement fondé sur des intérêts légitimes ou à des fins de marketing direct
Retrait du consentement — retirer tout consentement accordé à tout moment via Paramètres → Préférences du compte → Confidentialité et consentement, sans que cela n'affecte la licéité du traitement antérieur
Décision automatisée — le droit de ne pas être soumis à des décisions reposant uniquement sur un traitement automatisé produisant des effets juridiques significatifs. Notre score ATS utilise l'IA mais n'est pas utilisé pour prendre des décisions juridiquement contraignantes vous concernant.

Pour exercer l'un de ces droits, contactez-nous à contactus@xentarai.com. Nous répondrons dans un délai de 30 jours (un mois civil), prolongeable de deux mois supplémentaires pour les demandes complexes. Vous avez également le droit de déposer une plainte auprès de votre autorité de contrôle locale : votre autorité nationale de protection des données dans l'UE/EEE, l'ICO au Royaume-Uni, ou le PFPDT en Suisse.

11. Vos droits — Résidents de la Californie (CCPA / CPRA)

Si vous êtes résident de Californie, la loi californienne sur la vie privée des consommateurs (CCPA), telle que modifiée par la loi sur les droits à la vie privée de Californie (CPRA), vous confère les droits suivants :

Droit de savoir — demander la divulgation des catégories et des éléments spécifiques de renseignements personnels collectés, des sources, des finalités commerciales et des catégories de tiers avec lesquels nous les partageons
Droit de suppression — demander la suppression des renseignements personnels que nous avons collectés, sous réserve de certaines exceptions
Droit de correction — demander la correction des renseignements personnels inexacts
Droit de refus de vente / partage — le partage de votre identifiant publicitaire (IDFA/GAID) avec Google AdMob peut constituer une « vente » ou un « partage » au sens du CCPA. Pour vous désinscrire : sur iOS, refusez ou révoquez le consentement ATT dans Réglages iOS → Confidentialité et sécurité → Suivi. Sur Android, désactivez votre identifiant publicitaire dans Paramètres Android → Confidentialité → Publicités. Les abonnés Pro ne sont pas soumis à la collecte AdMob.
Droit de limiter l'utilisation des renseignements personnels sensibles — nous n'utilisons pas les renseignements personnels sensibles à d'autres fins que celles nécessaires à la fourniture de l'Application
Droit à la non-discrimination — nous ne vous discriminerons pas pour l'exercice de vos droits CCPA

Pour soumettre une demande de consommateur vérifiable, contactez-nous à contactus@xentarai.com. Nous répondrons dans un délai de 45 jours. Vous pouvez désigner un représentant autorisé pour faire des demandes en votre nom.

Divulgation CalOPPA : Nous vous informerons des modifications importantes en mettant à jour la date « Dernière mise à jour » ci-dessus. Un lien vers cette politique est disponible dans l'Application et sur la page produit de Resuvia.

12. Vos droits — Autres lois américaines sur la vie privée

Les résidents de Virginie (VCDPA), du Colorado (CPA), du Connecticut (CTDPA), du Texas (TDPSA), de l'Oregon (OCPA) et d'autres États américains disposant de lois complètes sur la vie privée ont des droits qui recoupent largement les droits CCPA de la section 11, notamment le droit d'accès, de correction, de suppression et de portabilité, ainsi que le droit de refuser la publicité ciblée. Contactez-nous à contactus@xentarai.com. Nous répondrons dans le délai requis par la loi de votre État (généralement 45 jours).

13. Vos droits — Brésil (LGPD)

Si vous êtes au Brésil, la Lei Geral de Proteção de Dados (LGPD) vous confère des droits d'accès, de correction, de suppression, de portabilité, d'information sur le partage et le droit de retirer votre consentement. L'analyse et les rapports de plantage nécessitent votre consentement explicite au Brésil. Contactez-nous à contactus@xentarai.com. Vous pouvez également déposer une plainte auprès de l'Autoridade Nacional de Proteção de Dados (ANPD).

14. Vos droits — Canada (LPRPDE et Loi 25 du Québec)

XentarAI Inc. est une société canadienne soumise à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et, pour les résidents du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25 / Projet de loi 64).

Consentement — nous collectons des renseignements personnels uniquement avec votre connaissance et votre consentement, ou tel que permis par la loi. Vous pouvez retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles, en nous contactant.
Limitation de la collecte — nous collectons uniquement ce qui est nécessaire aux finalités identifiées dans la présente politique.
Accès et correction — vous avez le droit d'accéder à vos renseignements personnels et de demander la correction des inexactitudes.
Droit à la désindexation (Québec) — les résidents du Québec peuvent demander que nous cessions de diffuser des renseignements personnels ou de désindexer tout hyperlien attaché à leur nom, dans la mesure du possible techniquement.
Profilage automatisé (Québec) — notre score ATS utilise un traitement automatisé par IA. Vous avez le droit d'en être informé et de demander qu'une personne révise les résultats.
Technologies de profilage (Québec — Loi 25, art. 8.1) — l'Application utilise Google AdMob (niveau gratuit uniquement) susceptible de créer un profil de vos intérêts publicitaires. Conformément à la Loi 25, nous vous en informons et vous pouvez vous y opposer à tout moment comme décrit à la section 2.8.
Incidents de confidentialité (Québec — Loi 25) — nous tenons un registre de tous les incidents de confidentialité conformément à la Loi 25. En cas d'incident présentant un risque de préjudice sérieux, nous aviserons la CAI et les personnes concernées dans les 72 heures.
Notification de violation (LPRPDE) — nous signalerons les violations créant un risque réel de préjudice grave au Commissariat à la protection de la vie privée du Canada et informerons les personnes concernées conformément à la LPRPDE.
Responsable de la protection des renseignements personnels — XentarAI Inc. a désigné Bidisha Das, Fondatrice et directrice à titre de Responsable de la protection des renseignements personnels conformément à la LPRPDE et à la Loi 25. Contact : contactus@xentarai.com (objet : « Responsable RP — Demande de protection »).

Si vous n'êtes pas satisfait de notre réponse, vous pouvez contacter le Commissariat à la protection de la vie privée du Canada (CPVP) ou, pour les résidents du Québec, la Commission d'accès à l'information du Québec (CAI).

15. Vos droits — Australie (Loi sur la vie privée de 1988 / Principes de protection australiens)

Nous traitons les renseignements personnels des résidents australiens conformément à la Privacy Act 1988 (Cth) et aux Principes de protection des renseignements personnels australiens (APP).

Accès (APP 12) — vous pouvez demander l'accès aux renseignements personnels que nous détenons sur vous. Nous répondrons dans un délai raisonnable (généralement 30 jours). Des frais raisonnables peuvent s'appliquer dans des cas limités.
Correction (APP 13) — si les renseignements que nous détenons sont inexacts, périmés, incomplets ou trompeurs, vous pouvez en demander la correction ou l'association d'une déclaration de désaccord.
Anonymat (APP 2) — dans la mesure du possible et légalement permis, vous pouvez utiliser l'Application de manière anonyme (mode Invité).
Divulgation transfrontalière (APP 8) — nous divulguons des renseignements personnels à des destinataires à l'étranger (Supabase, Anthropic, Google, Mistral AI, PostHog, Sentry, Resend, Brevo et autres mentionnés à la section 5), tous situés aux États-Unis ou en France. Nous prenons des mesures raisonnables pour nous assurer que ces destinataires ne violent pas les APP, notamment via des accords contractuels de traitement des données. En utilisant l'Application, vous reconnaissez que nous pourrions ne pas être tenus responsables en vertu de la Privacy Act si un destinataire à l'étranger traite vos renseignements en violation des APP.
Marketing direct (APP 7) — nous n'utilisons pas vos renseignements personnels pour le marketing direct au-delà des communications transactionnelles.
Régime NDB — voir section 7 pour nos obligations de notification en cas de violation.

Pour exercer vos droits ou déposer une plainte, contactez-nous à contactus@xentarai.com. Nous répondrons dans les 30 jours. Si vous n'êtes pas satisfait, vous pouvez déposer une plainte auprès du Bureau du commissaire à l'information d'Australie (OAIC) à oaic.gov.au.

16. Vos droits — Nouvelle-Zélande (Loi sur la vie privée de 2020)

Nous traitons les renseignements personnels des résidents néo-zélandais conformément à la Privacy Act 2020 et aux Principes de protection des renseignements personnels (IPP).

Accès (IPP 6) — vous avez le droit de demander l'accès aux renseignements personnels que nous détenons sur vous dans un délai raisonnable.
Correction (IPP 7) — vous avez le droit de demander la correction de renseignements personnels inexacts.
Flux transfrontaliers (IPP 12) — nous transférons des renseignements personnels à des destinataires aux États-Unis et en France (section 5). Nous prenons des mesures raisonnables pour nous assurer que ces destinataires sont soumis à des obligations comparables aux IPP, via des accords contractuels de traitement des données.
Violations à notifier — voir section 7. En cas de violation susceptible de causer un préjudice grave, nous notifierons le Commissaire à la vie privée de la Nouvelle-Zélande et les personnes concernées dès que raisonnablement praticable.

Pour exercer vos droits, contactez-nous à contactus@xentarai.com. Si vous n'êtes pas satisfait, vous pouvez contacter le Commissaire à la vie privée de la Nouvelle-Zélande à privacy.org.nz.

17. Vos droits — Afrique du Sud (POPIA)

Nous traitons les renseignements personnels des personnes concernées en Afrique du Sud conformément à la Protection of Personal Information Act 4 of 2013 (POPIA).

Âge minimum : en Afrique du Sud, l'Application est disponible uniquement pour les utilisateurs âgés de 18 ans et plus. POPIA définit un « enfant » comme une personne de moins de 18 ans. Nous ne collectons pas sciemment de renseignements personnels auprès de personnes de moins de 18 ans en Afrique du Sud.

Vos droits en vertu de POPIA comprennent :

Droit d'être notifié — vous avez le droit d'être informé lors de la collecte de vos renseignements personnels (la présente politique remplit cet objectif).
Droit d'accès — vous pouvez demander une description des renseignements que nous détenons sur vous et connaître la finalité de leur détention.
Droit de correction ou de suppression — vous pouvez demander la correction ou la suppression de renseignements inexacts, non pertinents, excessifs, périmés, incomplets, trompeurs ou illégalement obtenus.
Droit d'opposition — vous pouvez vous opposer au traitement de vos renseignements pour des raisons valables. Nous cesserons le traitement sauf si des motifs légitimes le justifient ou si cela est nécessaire pour une réclamation juridique.
Droit de ne pas faire l'objet d'une décision automatisée — notre score ATS est consultatif et ne prend pas de décisions juridiquement contraignantes vous concernant.
Transfert transfrontalier (art. 72 POPIA) — nous transférons des renseignements vers les États-Unis et la France (section 5) sur la base d'accords contractuels exigeant une protection substantiellement similaire aux conditions de POPIA.
Notification d'atteinte — voir section 7. Nous notifierons le Régulateur de l'information et les personnes concernées dès que raisonnablement possible.
Responsable de l'information — XentarAI Inc. a désigné Bidisha Das, Fondatrice et directrice à titre de Responsable de l'information conformément à POPIA. Contact : contactus@xentarai.com.

Pour exercer vos droits ou déposer une plainte, contactez-nous à contactus@xentarai.com. Si vous n'êtes pas satisfait, vous pouvez contacter le Régulateur de l'information (Afrique du Sud) à justice.gov.za/inforeg/.

18. Consentement aux analyses et désabonnement

Vous pouvez gérer votre consentement aux analyses et aux rapports de plantage à tout moment depuis l'Application : Paramètres → Préférences du compte → Confidentialité et consentement. La révocation du consentement arrête immédiatement toute collecte future et ferme les sessions PostHog et Sentry actives. Les données précédemment collectées sont soumises aux politiques de conservation de ces fournisseurs.

Les utilisateurs de l'UE, de l'EEE, du Royaume-Uni, de la Suisse, du Brésil et du Canada se voient présenter une invite de consentement explicite lors de l'intégration. Aucune donnée d'analyse n'est collectée avant l'octroi du consentement. Tous les autres utilisateurs peuvent se désabonner à tout moment via le même paramètre.

19. Transferts internationaux de données

XentarAI Inc. est constituée en personne morale au Canada. Vos renseignements personnels peuvent être transférés et traités aux États-Unis (Supabase, Anthropic, Google, PostHog, Sentry, ScrapingAnt, Apify, Firecrawl, Resend, AdMob) et en France (Mistral AI, Brevo), ainsi que potentiellement dans d'autres pays où nos fournisseurs opèrent.

Garanties régissant ces transferts :

Depuis l'UE/EEE — Clauses contractuelles types (CCT UE, 2021)
Depuis le Royaume-Uni — Addendum international de transfert de données du Royaume-Uni (UK IDTA), ou mécanisme approuvé équivalent
Depuis la Suisse — Clauses contractuelles types reconnues par le PFPDT
Depuis le Canada — obligations contractuelles requérant une protection comparable ; le Canada est reconnu par l'UE comme offrant un niveau adéquat de protection en vertu de la LPRPDE
Depuis l'Australie — accords contractuels de traitement des données (garanties APP 8)
Depuis la Nouvelle-Zélande — garanties contractuelles offrant une protection comparable aux IPP
Depuis l'Afrique du Sud — garanties contractuelles répondant aux exigences de l'article 72 POPIA

20. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Nous vous informerons des modifications importantes en mettant à jour la date « Dernière mise à jour » en haut de cette page et, lorsque la loi applicable l'exige, en fournissant une notification dans l'Application ou par courriel. Nous vous encourageons à consulter cette politique périodiquement. La poursuite de l'utilisation de l'Application après la publication des modifications constitue votre acceptation de la politique mise à jour.

21. Nous contacter

Pour les questions, préoccupations ou demandes de droits liées à cette politique de confidentialité, veuillez contacter :

XentarAI Inc.
Confidentialité et droit
Courriel : contactus@xentarai.com
Site Web : https://xentarai.com
Pays d'incorporation : Canada

Délais de réponse : 30 jours pour les demandes RGPD / RGPD britannique ; 45 jours pour les demandes CCPA / lois étatiques américaines ; 30 jours pour les demandes australiennes, néo-zélandaises et sud-africaines ; dans un délai raisonnable pour tous les autres territoires. Les demandes complexes peuvent être prolongées avec préavis.

← Retour à Resuvia