Politique de confidentialité.
Dernière mise à jour : 12 mai 2026
Cette politique explique quelles données personnelles Cairn collecte, pourquoi, combien de temps elles sont conservées, qui peut y accéder, et comment exercer tes droits. Elle est rédigée pour être lisible sans formation juridique. Pour toute question : hello@cairntalent.com.
1. Responsable de traitement
Le responsable du traitement est C2 Innov8, SASU au capital social de 1 000 €, dont le siège est situé au 53 rue Truffaut, 75017 Paris (France), immatriculée au RCS de Paris sous le numéro 979 894 789. Tu peux nous joindre à hello@cairntalent.com pour toute question RGPD.
Cairn n'a pas désigné de Délégué à la Protection des Données (DPO) à ce stade : la nomination devient obligatoire à partir d'un certain seuil de traitement, que nous n'atteignons pas encore. Les demandes RGPD sont traitées directement par C2 Innov8 à l'adresse ci-dessus.
2. Données collectées
2.1 Données fournies par toi
- Identité : prénom, nom, email (via Clerk).
- Profil professionnel : parcours, formation, compétences, langues, certifications, secteur, fonction visée, séniorité, années d'expérience, postes visés, fourchette salariale, localisation, dealbreakers, mode de travail.
- CV uploadés : fichiers PDF, DOCX, images de CV. Stockés en R2 (UE) le temps du compte. Texte extrait pour alimenter le profil.
- Candidatures : offres ajoutées, statuts, entretiens, lettres de motivation générées, notes personnelles, feedback de pertinence sur les offres scorées.
- Conversations coach : messages texte avec le coach IA d'entretien. Si tu utilises le mode vocal, transcription audio (audio brut non conservé au-delà de la session).
2.2 Données collectées automatiquement
- Logs techniques : adresse IP, user-agent, timestamps de connexion, routes consultées. Conservés 12 mois max pour sécurité et debug.
- Erreurs applicatives (Sentry) : stacks de crash, scrubbés des PII (emails, tokens, IBAN, etc) avant envoi.
- Analytics produit (PostHog) : events d'usage anonymisés (pages visitées, fonctionnalités utilisées). Activé uniquement si tu acceptes via la bannière de consentement. Hébergé en UE.
2.3 Ce que Cairn ne collecte PAS
- Cookies tiers publicitaires.
- Tracking cross-site ou empreinte numérique.
- Données de localisation précise (au-delà de la ville auto-saisie par toi).
- Données sensibles au sens RGPD (santé, religion, opinions politiques, etc).
3. Finalités et base légale
| Finalité | Base légale |
|---|---|
| Fournir le service (compte, CV, matching offres, coach) | Exécution du contrat |
| Facturation des abonnements et achats ponctuels | Exécution du contrat + obligation légale (comptabilité) |
| Sécurité (logs, anti-fraude, monitoring erreurs Sentry) | Intérêt légitime |
| Amélioration du produit via apprentissage agrégé anonymisé (qualité du scoring, prompts coach) | Intérêt légitime |
| Analytics produit (PostHog) avec userId associé | Consentement (opt-in via bannière) |
| Communication transactionnelle (email de confirmation, alertes) | Exécution du contrat |
4. Durées de conservation
- Compte actif : tant que tu utilises le service.
- Compte inactif : données supprimées après 3 ans sans connexion (alignement recommandation CNIL).
- Compte supprimé sur ta demande : soft-delete immédiat (compte inaccessible), purge physique 30 jours plus tard. Tu peux annuler avant la purge depuis ton compte.
- Données de facturation : 10 ans (obligation comptable Code de commerce art. L123-22).
- Logs techniques et de sécurité : 12 mois max.
- Audio coach vocal : non conservé au-delà de la session. Seule la transcription texte est gardée selon la durée du compte.
- Conversations coach texte : durée du compte. Tu peux les supprimer ou exporter à tout moment.
5. Sous-traitants
Pour faire tourner Cairn, nous travaillons avec des prestataires sous DPA (Data Processing Agreement) conforme RGPD :
| Prestataire | Rôle | Hébergement |
|---|---|---|
| Cloudflare | Hébergement Workers + R2 + Browser Rendering | UE/USA (DPF + SCCs) |
| Neon | Base de données Postgres | Frankfurt, UE |
| Clerk | Authentification, gestion identités | USA (DPF + SCCs) |
| Stripe | Paiements abonnements et achats ponctuels | USA (DPF, certifié PCI DSS) |
| Google (Gemini API) | Modèles IA (parsing CV, scoring offres, lettres, coach, embeddings) | UE/USA (SCCs) |
| PostHog | Analytics produit (opt-in) | UE |
| Sentry | Monitoring erreurs (PII scrubbées) | UE possible (SCCs) |
Tes données ne sont JAMAIS revendues à des tiers et ne servent pas à entraîner des modèles tiers (Gemini API : Google s'engage à ne pas utiliser les inputs API pour entraîner ses modèles).
6. Transferts hors Union européenne
Certains sous-traitants (Cloudflare, Clerk, Stripe, Google) sont basés aux États-Unis. Les transferts sont encadrés par :
- Le Data Privacy Framework UE-US pour les prestataires certifiés.
- Les Clauses Contractuelles Types (SCCs) de la Commission européenne en complément.
- Choix de la région UE quand techniquement possible (Neon Frankfurt, PostHog UE, Cloudflare edge UE prioritaire).
7. Tes droits
Conformément au RGPD (articles 15 à 22), tu disposes des droits suivants. Pour les exercer, écris à hello@cairntalent.com (réponse sous 30 jours max) ou utilise les outils en libre service ci-dessous.
- Accès / portabilité (art. 15 et 20) : télécharge l'intégralité de tes données via
GET /api/users/me/export(auth requise, JSON structuré). - Rectification (art. 16) : modifie ton profil depuis ton compte à tout moment.
- Effacement (art. 17, "droit à l'oubli") : supprime ton compte depuis Mon Profil. Soft-delete immédiat, purge physique 30 j plus tard. Annulable avant purge.
- Limitation (art. 18) : contacte-nous pour geler le traitement le temps d'une vérification.
- Opposition (art. 21) : refuse les analytics produit via la bannière de cookies (révocable à tout moment via Préférences cookies en bas de page).
- Réclamation CNIL : si tu estimes que tes droits ne sont pas respectés, tu peux saisir la Commission Nationale de l'Informatique et des Libertés (cnil.fr/plaintes).
8. Cookies et traceurs
Cairn utilise un nombre minimal de cookies :
- Cookies fonctionnels : session Clerk (authentification), préférence d'UI (toggle paper/dark). Strictement nécessaires, exemptés de consentement.
- Cookie de consentement analytics :
cairn-analytics-consentmémorise ton choix "accepter" ou "refuser" la collecte PostHog. - Pas de cookies publicitaires. Pas de pixels de tracking. Pas d'intégration Google Analytics.
9. Sécurité
Nous appliquons les mesures techniques et organisationnelles suivantes :
- Chiffrement au repos (Neon Postgres, R2) et en transit (TLS 1.3).
- Authentification multi-facteurs disponible via Clerk.
- Headers de sécurité HTTP : CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy.
- Audit trail admin : toute action d'un super-admin sur un compte utilisateur est tracée et horodatée.
- Scrubbing PII automatique avant envoi à Sentry (emails, IBAN, tokens, JWT).
- Tests de sécurité réguliers (auth/authz, injection, RGPD, secrets, headers).
10. Extension Chrome
Cairn propose une extension officielle pour le navigateur Chrome (et navigateurs basés sur Chromium : Brave, Edge, Arc, Vivaldi). Elle te permet d'importer en 1 clic les offres que tu vois sur LinkedIn, Apec, Welcome to the Jungle, Indeed, Cadremploi et Hellowork directement vers ton compte Cairn. Cette section détaille comment elle traite tes données.
10.1 Permissions demandées
- storage : stockage local de ton token d'authentification Cairn (généré depuis
/dashboard/extension). Le token reste dans ton navigateur, jamais transmis à un tiers. - activeTab : lecture du contenu HTML de l'onglet actif uniquement au moment où tu cliques sur le bouton "Importer dans Cairn". Aucune lecture passive ni en background.
- Permissions site (linkedin.com, apec.fr, welcometothejungle.com, indeed.com, cadremploi.fr, hellowork.com) : nécessaires pour insérer le bouton d'import sur les pages d'offres et lire le DOM de l'offre quand tu le déclenches. L'extension ne collecte rien sur d'autres sites.
10.2 Données envoyées
Quand tu cliques "Importer dans Cairn", l'extension envoie à notre backend (/api/extension/ingest-offer) :
- L'URL publique de la page d'offre (ex:
linkedin.com/jobs/view/123). - Le contenu HTML extrait de la page (titre, description, entreprise, lieu, salaire si visible). Pas de données personnelles t'appartenant ou appartenant à un tiers, uniquement le texte de l'annonce publique.
- Le nom de la source (linkedin, apec, etc.) pour le tracking d'origine.
- Ton token d'authentification Bearer (header HTTP), pour qu'on sache à quel compte rattacher l'import.
L'extension ne collecte JAMAIS :
- Tes mots de passe ni cookies de session des sites visités.
- L'historique de navigation au-delà de la page courante.
- Données d'autres onglets ouverts en parallèle.
- Données analytics ou télémétrie. L'extension n'a aucun tracker tiers.
10.3 Traitement côté serveur
Une fois reçue, l'offre est traitée comme toute offre ajoutée manuellement (cf section 2 et 5) : extraction structurée par Gemini, embedding pour matching sémantique, stockage dans la base Cairn (Neon Frankfurt). Ton token sert à associer l'offre à ton compte uniquement.
Le pool d'offres est mutualisé entre utilisateurs : si quelqu'un a déjà importé la même URL, on réutilise la ligne existante (dédup) au lieu de créer un doublon. Cela n'expose pas tes données personnelles à d'autres users : seul le contenu PUBLIC de l'offre est mutualisé.
10.4 Conservation et droits
Les offres importées via l'extension suivent les mêmes règles de conservation que les offres ajoutées manuellement (durée du compte, suppression sur demande). Le token d'extension est révocable à tout moment depuis /dashboard/extension (régénération immédiate, l'ancien devient inopérant).
Désinstaller l'extension supprime le token stocké localement dans ton navigateur. Les offres déjà importées restent dans ton compte Cairn (à supprimer depuis /dashboard/offres ou via l'effacement de compte cf section 7).
11. Modifications
Nous pouvons mettre à jour cette politique en cas d'évolution du service ou de la réglementation. La date de dernière mise à jour figure en haut de page. En cas de changement substantiel (nouveau sous-traitant, nouvelle finalité, durée de conservation allongée), nous te notifierons par email avant l'entrée en vigueur.
12. Contact
Une question, une demande RGPD, un signalement : hello@cairntalent.com. On répond personnellement, pas de bot.