Ce que nous collectons, où c’est stocké, et ce que nous refusons délibérément de faire.

Quand vous chargez une page sur doctoralcompass.com, notre serveur enregistre : le chemin que vous avez consulté (par exemple /fr/framework), votre langue (FR ou EN), la page qui vous a référé (si votre navigateur l’a transmise), le pays d’où provient votre requête (code à 2 lettres dérivé par Vercel à partir de votre IP — nous ne stockons pas l’IP elle-même), un type d’appareil approximatif (mobile / tablette / desktop, dérivé de votre user-agent), et un identifiant de session aléatoire que nous plaçons dans un cookie de première partie nommé pia_sid. Le cookie expire au bout d’un an. Vous pouvez l’effacer à tout moment depuis les réglages de votre navigateur.

C’est toute la liste. Aucun nom, aucun email, aucune adresse IP stockée, aucun identifiant inter-sites, aucun fingerprinting au-delà de la chaîne user-agent utilisée pour classer grossièrement votre appareil.

Pour savoir quelles pages les gens lisent réellement, quelles langues ils utilisent, et grossièrement où ils se trouvent dans le monde. Cela nous indique où investir l’effort de contenu et quelles traductions méritent du travail. Ces données nous appartiennent, sont interrogées par nous, et ne sont jamais partagées avec quiconque.

Nous ne chargeons pas Google Analytics, Plausible, PostHog, Hotjar, Facebook Pixel, LinkedIn Insight, ni aucun script tiers d’analyse ou de publicité. Il n’y a zéro cookie tiers de pistage sur ce site.

Nous ne diffusons pas de publicité sur le site, donc aucun cookie de ciblage publicitaire ni script de syndication d’audience.

Nous ne vendons, ne louons et ne partageons aucune donnée avec des tiers à des fins de marketing.

Nous ne stockons pas votre adresse IP. Vercel la voit brièvement pour acheminer la requête et en dériver un code pays ; c’est tout.

Vous pouvez passer le diagnostic sans compte. Si vous choisissez d’en créer un — requis pour débloquer votre rapport complet personnalisé — nous collectons ce que vous nous donnez dans le formulaire de complétion de profil : prénom, nom, e-mail, niveau de doctorat (1ʳᵉ à 6ᵉ année, pas commencé, ou soutenu), domaine d’étude (texte libre), et pays (votre pays de résidence ou celui où vous étudiez principalement).

Nous stockons également, liés à votre compte : vos réponses au test (73 réponses numériques par tentative), votre archétype et vos scores dimensionnels résultants, les indicateurs de validité de chaque tentative (passage des contrôles d’attention, etc.), vos rapports générés, et les horodatages de passage du test et de dernière connexion.

Votre e-mail sert à un seul usage : l’envoi d’e-mails transactionnels — votre lien d’activation de compte, les liens de réinitialisation de mot de passe si vous en demandez un, et (semaine 4+) votre rapport lorsqu’il sera prêt. Nous ne vous inscrivons pas automatiquement sur une liste marketing. Si nous introduisons un jour des actualités de l’académie, ce sera un opt-in explicite, séparé.

Deux fournisseurs. (1) Google OAuth — lorsque vous cliquez sur « Continuer avec Google », vous êtes redirigé·e vers Google pour vous connecter ; Google nous renvoie votre e-mail, votre nom et l’URL de votre photo de profil. Nous stockons les trois ; vous pouvez les modifier plus tard. Nous ne voyons jamais votre mot de passe Google. (2) E-mail et mot de passe — vous créez votre compte avec un e-mail + un mot de passe et confirmez via un lien d’activation que nous vous envoyons. Nous hachons votre mot de passe avec bcrypt (12 rounds, plus un sel propre à chaque mot de passe) avant de le stocker ; nous ne stockons ni ne journalisons jamais le texte en clair. Si vous oubliez votre mot de passe, vous demandez un lien de réinitialisation par e-mail — les liens sont valables 1 heure et à usage unique.

Resend — le fournisseur d’e-mails transactionnels qui envoie vos liens d’activation et de réinitialisation — ne reçoit que votre adresse e-mail et le contenu de l’e-mail rendu. Resend opère selon les conditions contractuelles standard UE/US pour les e-mails transactionnels.

Lors de votre connexion, nous posons un second cookie de première partie contenant un JWT signé (la session). Il est HTTP-only, Secure, SameSite=Lax, et expire à votre déconnexion ou après 30 jours d’inactivité. Vous déconnecter l’efface.

Nous ne stockons aucun cookie d’authentification tiers ni cookie de connexion sociale. Le cookie analytique pia_sid continue son travail de comptage de sessions, indépendamment de votre état d’authentification.

Toutes les données — vues de pages aujourd’hui, données de compte plus tard — sont stockées dans une base Postgres hébergée par Neon dans eu-central-1 (Francfort, Allemagne). La base est chiffrée au repos. Les sauvegardes sont gérées par Neon selon leurs conditions standard. Le code applicatif qui lit et écrit dans la base est hébergé sur Vercel.

pia_sid — un identifiant de session aléatoire, de première partie, qui expire au bout d’un an. Sert à compter les sessions distinctes sur l’ensemble des pages vues sans vous identifier. Posé à chaque visite, connecté·e ou non.

authjs.session-token — posé lors de votre connexion. De première partie, HTTP-only, Secure, SameSite=Lax, expire après 30 jours d’inactivité ou à votre déconnexion. Contient un JWT signé identifiant votre compte.

Aucun cookie tiers n’est posé sur ce site.

Vous pouvez vous déconnecter à tout moment depuis votre tableau de bord, ce qui efface votre cookie de session. Effacer le cookie pia_sid depuis les réglages de votre navigateur rompt tout lien entre vos visites futures et vos visites passées dans nos analyses.

L’export et la suppression de vos données de compte sont en libre-service. Depuis votre tableau de bord, « Télécharger mes données » génère un fichier JSON avec tout ce que nous avons sur votre compte ; « Supprimer mon compte » retire votre compte et chaque réponse au test et chaque rapport associé en quelques secondes. Si pour une raison quelconque les pages en libre-service sont indisponibles, écrivez à tahar@doctoralcompass.com et nous traiterons la demande dans les 30 jours, comme l’exige le RGPD pour les utilisateur·rice·s de l’UE ; nous appliquons la même règle dans le monde entier par principe.

Pour toute question ou demande relative à la confidentialité : tahar@doctoralcompass.com.