Dernière mise à jour : 3 mars 2026
Au sens de la Loi fédérale suisse sur la protection des données (nLPD, RS 235.1, en vigueur depuis le 1er septembre 2023), le responsable du traitement est :
HelvetiCV n'est pas tenu de désigner un délégué à la protection des données (DPD) en vertu de la nLPD, celle-ci ne l'imposant qu'aux autorités fédérales. La présente politique constitue la déclaration de traitement au sens de l'art. 19 nLPD.
La nLPD s'applique à tout traitement de données de personnes physiques en Suisse. Pour les utilisateurs résidant dans l'Union européenne, le RGPD (Règlement UE 2016/679) peut également s'appliquer ; les présentes dispositions satisfont aux exigences des deux cadres légaux.
HelvetiCV collecte uniquement les données nécessaires au fonctionnement du service (principe de minimisation des données, art. 6 al. 2 nLPD) :
| Catégorie | Données | Caractère |
|---|---|---|
| Identification | Adresse email | Obligatoire |
| Technique / Sécurité | Adresse IP (collectée côté serveur pour prévention des abus) | Automatique |
| Paiement | Données de paiement traitées par Stripe — HelvetiCV ne stocke pas les données bancaires complètes | Si abonnement |
| Contenu utilisateur | CV et offres d'emploi soumis pour analyse (traitement temporaire, non conservé après analyse) | Pour analyse uniquement |
| Utilisation | Nombre d'analyses effectuées, score obtenu, date, plan utilisé | Automatique |
| Finalité | Base légale (nLPD) | Données concernées |
|---|---|---|
| Fourniture du service d'analyse CV | Exécution du contrat (art. 31 al. 2 let. a nLPD) | Email, CV, offre d'emploi |
| Gestion des abonnements et facturation | Exécution du contrat | Email, données de paiement |
| Prévention des abus et sécurité du service | Intérêt légitime (art. 31 al. 1 nLPD) | Adresse IP |
| Envoi d'emails transactionnels (confirmation, vérification d'email) | Exécution du contrat | |
| Amélioration du service (statistiques agrégées et anonymisées) | Intérêt légitime | Données d'utilisation anonymisées |
| Obligations légales (conservation comptable) | Obligation légale (CO art. 958f et LTVA art. 70) | Données de transaction |
La nLPD autorise le traitement sur la base de l'intérêt légitime du responsable, à condition que cet intérêt ne soit pas prépondéré par les intérêts fondamentaux de la personne concernée (art. 31 nLPD).
HelvetiCV fait appel aux sous-traitants suivants. Les transferts de données vers les États-Unis s'effectuent dans le cadre du Swiss-US Data Privacy Framework (DPF), reconnu par le PFPDT depuis le 15 septembre 2024 comme offrant un niveau de protection adéquat (art. 16 nLPD). Resend, hébergé dans l'Union européenne (Irlande), bénéficie de la décision d'adéquation mutuelle Suisse–UE.
| Sous-traitant | Rôle | Données transférées |
|---|---|---|
| Stripe, Inc. stripe.com | Traitement des paiements (PCI-DSS niveau 1) | Email, données de carte masquées |
| Airtable, Inc. airtable.com | Base de données utilisateurs | Email, crédits, statut, IP, historique analyses |
| Resend, Inc. resend.com — 🇮🇪 Irlande (UE) | Envoi d'emails transactionnels | Email, contenu des emails |
| Anthropic, PBC anthropic.com | Analyse IA du CV (Claude API) | Contenu du CV et de l'offre (temporaire, non conservé) |
| Cloudflare, Inc. cloudflare.com | Hébergement, CDN et sécurité réseau | Adresse IP, requêtes réseau |
HelvetiCV utilise un traitement automatisé pour analyser les CV soumis. Ce processus constitue un profilage automatisé au sens de l'art. 5 let. f nLPD, dont l'Utilisateur est expressément informé.
Conservation du CV : Le contenu du CV et de l'offre d'emploi est transmis à Anthropic pour traitement et n'est pas conservé par HelvetiCV après l'analyse. Anthropic indique dans sa politique de confidentialité ne pas utiliser les données API pour entraîner ses modèles sans accord explicite.
Droit de s'opposer : L'Utilisateur peut à tout moment cesser d'utiliser le service et demander la suppression de ses données. L'analyse automatisée n'a pas d'effet légal ou similaire sur l'Utilisateur.
Art. 21 nLPD : information sur la prise de décision individuelle automatisée.
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Email et données de compte | Durée de l'abonnement + 12 mois après résiliation | Relation contractuelle |
| Adresses IP (anti-abus) | 60 jours, puis suppression automatique | Intérêt légitime (sécurité) |
| Contenu CV et offre d'emploi | Durée de l'analyse uniquement — non conservé | Exécution du contrat |
| Historique des analyses (score, date) | Durée du compte + 12 mois après résiliation | Exécution du contrat |
| Données de paiement et transactions | 10 ans | Obligation légale (CO art. 958f, LTVA art. 70) |
À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible. L'Utilisateur peut demander une suppression anticipée sous réserve des obligations légales de conservation.
Conformément aux art. 25 à 32 nLPD, vous disposez des droits suivants :
HelvetiCV met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, perte ou divulgation (art. 8 nLPD) :
— Transmission chiffrée via HTTPS/TLS (TLS 1.2 minimum) pour toutes les communications ;
— Hébergement sur infrastructure Cloudflare avec protection DDoS intégrée ;
— Accès aux données restreint au strict nécessaire (principe du moindre privilège) ;
— Mots de passe des comptes stockés sous forme de hachage cryptographique non réversible ;
— Données de paiement traitées exclusivement par Stripe (certification PCI-DSS niveau 1).
En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne concernée, HelvetiCV s'engage à notifier le PFPDT et les personnes concernées dans les meilleurs délais, conformément à l'art. 24 nLPD.
HelvetiCV utilise uniquement des technologies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de suivi comportemental ou analytique tiers n'est utilisé.
Le service utilise le stockage local (localStorage) du navigateur pour mémoriser l'adresse email entre les sessions, évitant ainsi la ressaisie. Ces données restent sur l'appareil de l'utilisateur et ne sont pas transmises à des tiers.
Aucun service de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est intégré à HelvetiCV.
HelvetiCV se réserve le droit de modifier la présente Politique de Confidentialité pour refléter des évolutions légales, réglementaires ou techniques. En cas de modification substantielle, l'Utilisateur sera informé par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.
La version en vigueur est toujours consultable sur helveticv.ch/confidentialite.html. La date de dernière mise à jour figure en en-tête du document.
Si vous estimez que le traitement de vos données viole la nLPD, vous avez le droit de déposer une réclamation auprès de l'autorité de contrôle compétente :
Nous vous encourageons toutefois à nous contacter en premier lieu à [email protected] afin de trouver une solution amiable avant toute démarche auprès du PFPDT.
Références légales : Loi fédérale sur la protection des données (nLPD, RS 235.1, en vigueur depuis le 01.09.2023) — Ordonnance sur la protection des données (OPDo, RS 235.11) — RGPD (UE 2016/679, pour les résidents de l'UE) — Swiss-US Data Privacy Framework (en vigueur depuis le 15.09.2024) — Code des obligations (CO, RS 220) — Loi sur la TVA (LTVA, RS 641.20)
Letzte Aktualisierung : 3. März 2026
Im Sinne des Schweizer Bundesgesetzes über den Datenschutz (nDSG, SR 235.1, in Kraft seit dem 1. September 2023) ist der Verantwortliche für die Datenverarbeitung :
HelvetiCV ist nach dem nDSG nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu ernennen, da dies nur für Bundesbehörden erforderlich ist. Diese Datenschutzrichtlinie stellt die Verarbeitungserklärung gemäß Art. 19 nDSG dar.
Das nDSG gilt für alle Datenverarbeitungen von Personen in der Schweiz. Für Benutzer, die in der Europäischen Union ansässig sind, kann auch die DSGVO (Verordnung EU 2016/679) anwendbar sein ; diese Bestimmungen erfüllen die Anforderungen beider Rechtsgrundsätze.
HelvetiCV erfasst nur Daten, die für den Betrieb des Dienstes erforderlich sind (Dataminimierungsprinzip, Art. 6 Abs. 2 nDSG) :
| Kategorie | Daten | Charakter |
|---|---|---|
| Identifikation | E-Mail-Adresse | Erforderlich |
| Technik / Sicherheit | IP-Adresse (servergestützt erfasst zur Missbrauchsprävention) | Automatisch |
| Zahlung | Zahlungsdaten verarbeitet von Stripe — HelvetiCV speichert keine vollständigen Bankdaten | Bei Abonnement |
| Benutzerinhalt | Lebenslauf und Stellenangebote eingereicht zur Analyse (temporäre Verarbeitung, nicht nach Analyse gespeichert) | Nur zur Analyse |
| Nutzung | Anzahl der durchgeführten Analysen, erhaltener Score, Datum, verwendeter Plan | Automatisch |
| Zweck | Rechtliche Grundlage (nDSG) | Betroffene Daten |
|---|---|---|
| Erbringung des CV-Analysedienstes | Vertragserfüllung (Art. 31 Abs. 2 Buchstabe a nDSG) | Email, Lebenslauf, Stellenangebot |
| Verwaltung von Abonnements und Abrechnung | Vertragserfüllung | Email, Zahlungsdaten |
| Missbrauchsprävention und Sicherheit des Dienstes | Berechtigtes Interesse (Art. 31 Abs. 1 nDSG) | IP-Adresse |
| Versand von Transaktions-E-Mails (Bestätigung, E-Mail-Überprüfung) | Vertragserfüllung | |
| Serviceverbesserung (aggregierte und anonymisierte Statistiken) | Berechtigtes Interesse | Anonymisierte Nutzungsdaten |
| Gesetzliche Verpflichtungen (Buchhaltungsaufzeichnungen) | Gesetzliche Verpflichtung (OR Art. 958f und MWST Art. 70) | Transaktionsdaten |
Das nDSG gestattet die Verarbeitung auf der Grundlage des berechtigten Interesses des Verantwortlichen, vorausgesetzt, dass dieses Interesse nicht die grundlegenden Interessen der betroffenen Person überwiegt (Art. 31 nDSG).
HelvetiCV arbeitet mit den folgenden Auftragsverarbeitern zusammen. Datenübermittlungen in die USA erfolgen im Rahmen des Swiss-US Data Privacy Framework (DPF), das von der EDÖB seit dem 15. September 2024 als ein angemessenes Schutzniveau anerkannt ist (Art. 16 nDSG). Resend, das in der Europäischen Union (Irland) ansässig ist, profitiert von der gegenseitigen Angemessenheitsentscheidung Schweiz–EU.
| Auftragsverarbeiter | Rolle | Übermittelte Daten |
|---|---|---|
| Stripe, Inc. stripe.com | Zahlungsabwicklung (PCI-DSS Stufe 1) | Email, maskierte Kartendaten |
| Airtable, Inc. airtable.com | Benutzerdatenbank | Email, Guthaben, Status, IP, Analyseverlauf |
| Resend, Inc. resend.com — 🇮🇪 Irland (EU) | Versand von Transaktions-E-Mails | Email, E-Mail-Inhalt |
| Anthropic, PBC anthropic.com | KI-Analyse des Lebenslaufs (Claude API) | Lebenslauf- und Angebotsinhalt (temporär, nicht gespeichert) |
| Cloudflare, Inc. cloudflare.com | Hosting, CDN und Netzwerksicherheit | IP-Adresse, Netzwerkanfragen |
HelvetiCV verwendet automatisierte Verarbeitung zur Analyse eingereichte Lebensläufe. Dieser Prozess stellt ein automatisiertes Profiling gemäß Art. 5 Buchstabe f nDSG dar, über das der Benutzer ausdrücklich informiert wird.
Aufbewahrung des Lebenslaufs : Der Lebenslauf- und Stellenangebotinhalt wird zur Verarbeitung an Anthropic übermittelt und wird nicht von HelvetiCV gespeichert nach der Analyse. Anthropic gibt in seiner Datenschutzrichtlinie an, dass API-Daten nicht zum Trainieren seiner Modelle ohne ausdrückliche Genehmigung verwendet werden.
Widerspruchsrecht : Der Benutzer kann den Dienst jederzeit beenden und die Löschung seiner Daten anfordern. Die automatisierte Analyse hat keine rechtliche oder ähnliche Auswirkung auf den Benutzer.
Art. 21 nDSG : Informationen über automatisierte individuelle Entscheidungsfindung.
| Datentyp | Aufbewahrungsdauer | Grund |
|---|---|---|
| Email und Kontodaten | Dauer des Abonnements + 12 Monate nach Kündigung | Vertragliches Verhältnis |
| IP-Adressen (Anti-Missbrauch) | 60 Tage, dann automatische Löschung | Berechtigtes Interesse (Sicherheit) |
| Lebenslauf und Stellenangebotinhalt | Nur während der Analyse — nicht gespeichert | Vertragserfüllung |
| Analyseverlauf (Score, Datum) | Dauer des Kontos + 12 Monate nach Kündigung | Vertragserfüllung |
| Zahlungs- und Transaktionsdaten | 10 Jahre | Gesetzliche Verpflichtung (OR Art. 958f, MWST Art. 70) |
Nach Ablauf der Aufbewahrungsfristen werden Daten dauerhaft gelöscht oder auf irreversible Weise anonymisiert. Der Benutzer kann eine vorzeitige Löschung unter Berücksichtigung der gesetzlichen Aufbewahrungsverpflichtungen anfordern.
Gemäß Art. 25 bis 32 nDSG haben Sie die folgenden Rechte :
HelvetiCV setzt angemessene technische und organisatorische Maßnahmen um, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Offenbarung zu schützen (Art. 8 nDSG) :
— Verschlüsselte Übertragung via HTTPS/TLS (mindestens TLS 1.2) für alle Kommunikation ;
— Hosting auf Cloudflare-Infrastruktur mit integriertem DDoS-Schutz ;
— Datenzugriff beschränkt auf das Nötigste (Prinzip der minimalen Berechtigung) ;
— Kontokennwörter gespeichert als irreversible kryptografische Hash-Werte ;
— Zahlungsdaten ausschließlich von Stripe verarbeitet (PCI-DSS Stufe 1 Zertifizierung).
Im Falle eines Datensicherheitsverstosses, der ein hohes Risiko für die Rechte und Freiheiten einer betroffenen Person darstellen könnte, erklärt sich HelvetiCV verpflichtet, die EDÖB und betroffene Personen baldmöglichst zu benachrichtigen, gemäß Art. 24 nDSG.
HelvetiCV verwendet nur Technologien, die für den Dienst unbedingt erforderlich sind. Es werden keine Werbe-, Verhaltensverfolgungs- oder Analyse-Cookies von Dritten verwendet.
Der Dienst verwendet den lokalen Speicher (localStorage) des Browsers, um die E-Mail-Adresse zwischen Sitzungen zu speichern und so erneute Eingaben zu vermeiden. Diese Daten bleiben auf dem Gerät des Benutzers und werden nicht an Dritte übermittelt.
Es ist kein Tracking-Dienst von Dritten (Google Analytics, Facebook Pixel usw.) in HelvetiCV integriert.
HelvetiCV behält sich das Recht vor, diese Datenschutzrichtlinie zu ändern, um Änderungen in Rechtsnormen, Vorschriften oder Technologie widerzuspiegeln. Im Falle von wesentlichen Änderungen wird der Benutzer mindestens 30 Tage vor dem Inkrafttreten der neuen Bestimmungen per E-Mail informiert.
Die gültige Version ist immer auf helveticv.ch/confidentialite.html verfügbar. Das Datum der letzten Aktualisierung ist im Kopfzeile des Dokuments angegeben.
Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer Daten gegen das nDSG verstößt, haben Sie das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen :
Wir ermutigen Sie jedoch, uns zunächst unter [email protected] zu kontaktieren, um eine einvernehmliche Lösung zu finden, bevor Sie die EDÖB einschalten.
Rechtsquellen : Bundesgesetz über den Datenschutz (nDSG, SR 235.1, in Kraft seit 01.09.2023) — Verordnung zum Datenschutzgesetz (DSG-Verordnung, SR 235.11) — DSGVO (EU 2016/679, für EU-Bewohner) — Swiss-US Data Privacy Framework (in Kraft seit 15.09.2024) — Obligationenrecht (OR, SR 220) — Mehrwertsteuergesetz (MWST, SR 641.20)
Last Updated : March 3, 2026
Under the Swiss Federal Data Protection Act (nFADP, SR 235.1, effective September 1, 2023), the data controller is :
HelvetiCV is not required to appoint a Data Protection Officer (DPO) under the nFADP, as this is only required for federal authorities. This privacy policy constitutes the processing statement as defined in Article 19 nFADP.
The nFADP applies to all data processing of individuals in Switzerland. For users residing in the European Union, the GDPR (Regulation EU 2016/679) may also apply ; these provisions comply with the requirements of both legal frameworks.
HelvetiCV collects only data necessary for the operation of the service (data minimization principle, Article 6 para. 2 nFADP) :
| Category | Data | Nature |
|---|---|---|
| Identification | Email address | Required |
| Technical / Security | IP address (collected server-side for abuse prevention) | Automatic |
| Payment | Payment data processed by Stripe — HelvetiCV does not store complete banking data | If subscribed |
| User Content | CV and job offers submitted for analysis (temporary processing, not retained after analysis) | For analysis only |
| Usage | Number of analyses performed, score obtained, date, plan used | Automatic |
| Purpose | Legal Basis (nFADP) | Data Involved |
|---|---|---|
| Provision of CV analysis service | Contract performance (Article 31 para. 2 letter a nFADP) | Email, CV, job offer |
| Subscription management and billing | Contract performance | Email, payment data |
| Abuse prevention and service security | Legitimate interest (Article 31 para. 1 nFADP) | IP address |
| Sending transactional emails (confirmation, email verification) | Contract performance | |
| Service improvement (aggregated and anonymized statistics) | Legitimate interest | Anonymized usage data |
| Legal obligations (accounting records) | Legal obligation (CO Article 958f and VAT Article 70) | Transaction data |
The nFADP permits processing on the basis of the controller's legitimate interest, provided that this interest does not outweigh the fundamental interests of the data subject (Article 31 nFADP).
HelvetiCV engages the following data processors. Data transfers to the United States are conducted under the Swiss-US Data Privacy Framework (DPF), recognized by the FDPIC since September 15, 2024 as providing an adequate level of protection (Article 16 nFADP). Resend, which is hosted in the European Union (Ireland), benefits from the mutual adequacy decision between Switzerland and the EU.
| Data Processor | Role | Data Transferred |
|---|---|---|
| Stripe, Inc. stripe.com | Payment processing (PCI-DSS level 1) | Email, masked card data |
| Airtable, Inc. airtable.com | User database | Email, credits, status, IP, analysis history |
| Resend, Inc. resend.com — 🇮🇪 Ireland (EU) | Transactional email delivery | Email, email content |
| Anthropic, PBC anthropic.com | AI CV analysis (Claude API) | CV and offer content (temporary, not retained) |
| Cloudflare, Inc. cloudflare.com | Hosting, CDN and network security | IP address, network requests |
HelvetiCV uses automated processing to analyze submitted CVs. This process constitutes automated profiling as defined in Article 5 letter f nFADP, of which the User is expressly informed.
CV Retention : The CV and job offer content is transmitted to Anthropic for processing and is not retained by HelvetiCV after analysis. Anthropic indicates in its privacy policy that it does not use API data to train its models without explicit consent.
Right to Object : The User may cease using the service at any time and request deletion of their data. Automated analysis has no legal or similar effect on the User.
Article 21 nFADP : Information on automated individual decision-making.
| Data Type | Retention Period | Basis |
|---|---|---|
| Email and account data | Duration of subscription + 12 months after termination | Contractual relationship |
| IP addresses (anti-abuse) | 60 days, then automatic deletion | Legitimate interest (security) |
| CV and job offer content | Duration of analysis only — not retained | Contract performance |
| Analysis history (score, date) | Duration of account + 12 months after termination | Contract performance |
| Payment and transaction data | 10 years | Legal obligation (CO Article 958f, VAT Article 70) |
Upon expiration of retention periods, data is deleted or irreversibly anonymized. The User may request early deletion subject to applicable legal retention obligations.
Pursuant to Articles 25 to 32 nFADP, you have the following rights :
HelvetiCV implements appropriate technical and organizational measures to protect personal data against unauthorized access, loss or disclosure (Article 8 nFADP) :
— Encrypted transmission via HTTPS/TLS (minimum TLS 1.2) for all communications ;
— Hosting on Cloudflare infrastructure with integrated DDoS protection ;
— Data access restricted to what is strictly necessary (principle of least privilege) ;
— Account passwords stored as irreversible cryptographic hash values ;
— Payment data processed exclusively by Stripe (PCI-DSS level 1 certification).
In the event of a data breach likely to cause high risk to the rights and freedoms of a data subject, HelvetiCV commits to notify the FDPIC and affected individuals as soon as possible, in accordance with Article 24 nFADP.
HelvetiCV uses only technologies that are strictly necessary for service operation. No advertising, behavioral tracking, or third-party analytics cookies are used.
The service uses browser local storage (localStorage) to remember your email address between sessions, avoiding re-entry. This data remains on your device and is not transmitted to third parties.
No third-party tracking services (Google Analytics, Facebook Pixel, etc.) are integrated into HelvetiCV.
HelvetiCV reserves the right to modify this Privacy Policy to reflect legal, regulatory or technical changes. In the event of material changes, you will be informed by email at least 30 days before new provisions take effect.
The current version is always available at helveticv.ch/confidentialite.html. The date of last update is shown in the document header.
If you believe that processing of your data violates the nFADP, you have the right to lodge a complaint with the competent supervisory authority :
However, we encourage you to contact us first at [email protected] to find a friendly resolution before approaching the FDPIC.
Legal References : Federal Data Protection Act (nFADP, SR 235.1, effective 01.09.2023) — Data Protection Ordinance (DPO, SR 235.11) — GDPR (EU 2016/679, for EU residents) — Swiss-US Data Privacy Framework (effective 15.09.2024) — Code of Obligations (CO, SR 220) — Value Added Tax Act (VAT, SR 641.20)