Politique de confidentialité.
Dernière mise à jour : 29 avril 2026
Cette politique explique quelles données personnelles Cairn collecte, pourquoi, combien de temps elles sont conservées, qui peut y accéder, et comment exercer tes droits. Elle est rédigée pour être lisible sans formation juridique. Pour toute question : hello@cairntalent.com.
1. Responsable de traitement
Le responsable du traitement est C2 Innov8, SASU au capital social de 1 000 €, dont le siège est situé au 53 rue Truffaut, 75017 Paris (France), immatriculée au RCS de Paris sous le numéro 979 894 789. Tu peux nous joindre à hello@cairntalent.com pour toute question RGPD.
Cairn n'a pas désigné de Délégué à la Protection des Données (DPO) à ce stade : la nomination devient obligatoire à partir d'un certain seuil de traitement, que nous n'atteignons pas encore. Les demandes RGPD sont traitées directement par C2 Innov8 à l'adresse ci-dessus.
2. Données collectées
2.1 Données fournies par toi
- Identité : prénom, nom, email (via Clerk).
- Profil professionnel : parcours, formation, compétences, langues, certifications, secteur, fonction visée, séniorité, années d'expérience, postes visés, fourchette salariale, localisation, dealbreakers, mode de travail.
- CV uploadés : fichiers PDF, DOCX, images de CV. Stockés en R2 (UE) le temps du compte. Texte extrait pour alimenter le profil.
- Candidatures : offres ajoutées, statuts, entretiens, lettres de motivation générées, notes personnelles, feedback de pertinence sur les offres scorées.
- Conversations coach : messages texte avec le coach IA d'entretien. Si tu utilises le mode vocal, transcription audio (audio brut non conservé au-delà de la session).
2.2 Données collectées automatiquement
- Logs techniques : adresse IP, user-agent, timestamps de connexion, routes consultées. Conservés 12 mois max pour sécurité et debug.
- Erreurs applicatives (Sentry) : stacks de crash, scrubbés des PII (emails, tokens, IBAN, etc) avant envoi.
- Analytics produit (PostHog) : events d'usage anonymisés (pages visitées, fonctionnalités utilisées). Activé uniquement si tu acceptes via la bannière de consentement. Hébergé en UE.
2.3 Ce que Cairn ne collecte PAS
- Cookies tiers publicitaires.
- Tracking cross-site ou empreinte numérique.
- Données de localisation précise (au-delà de la ville auto-saisie par toi).
- Données sensibles au sens RGPD (santé, religion, opinions politiques, etc).
3. Finalités et base légale
| Finalité | Base légale |
|---|---|
| Fournir le service (compte, CV, matching offres, coach) | Exécution du contrat |
| Facturation des abonnements et achats ponctuels | Exécution du contrat + obligation légale (comptabilité) |
| Sécurité (logs, anti-fraude, monitoring erreurs Sentry) | Intérêt légitime |
| Amélioration du produit via apprentissage agrégé anonymisé (qualité du scoring, prompts coach) | Intérêt légitime |
| Analytics produit (PostHog) avec userId associé | Consentement (opt-in via bannière) |
| Communication transactionnelle (email de confirmation, alertes) | Exécution du contrat |
4. Durées de conservation
- Compte actif : tant que tu utilises le service.
- Compte inactif : données supprimées après 3 ans sans connexion (alignement recommandation CNIL).
- Compte supprimé sur ta demande : soft-delete immédiat (compte inaccessible), purge physique 30 jours plus tard. Tu peux annuler avant la purge depuis ton compte.
- Données de facturation : 10 ans (obligation comptable Code de commerce art. L123-22).
- Logs techniques et de sécurité : 12 mois max.
- Audio coach vocal : non conservé au-delà de la session. Seule la transcription texte est gardée selon la durée du compte.
- Conversations coach texte : durée du compte. Tu peux les supprimer ou exporter à tout moment.
5. Sous-traitants
Pour faire tourner Cairn, nous travaillons avec des prestataires sous DPA (Data Processing Agreement) conforme RGPD :
| Prestataire | Rôle | Hébergement |
|---|---|---|
| Cloudflare | Hébergement Workers + R2 + Browser Rendering | UE/USA (DPF + SCCs) |
| Neon | Base de données Postgres | Frankfurt, UE |
| Clerk | Authentification, gestion identités | USA (DPF + SCCs) |
| Stripe | Paiements abonnements et achats ponctuels | USA (DPF, certifié PCI DSS) |
| Google (Gemini API) | Modèles IA (parsing CV, scoring offres, lettres, coach, embeddings) | UE/USA (SCCs) |
| PostHog | Analytics produit (opt-in) | UE |
| Sentry | Monitoring erreurs (PII scrubbées) | UE possible (SCCs) |
Tes données ne sont JAMAIS revendues à des tiers et ne servent pas à entraîner des modèles tiers (Gemini API : Google s'engage à ne pas utiliser les inputs API pour entraîner ses modèles).
6. Transferts hors Union européenne
Certains sous-traitants (Cloudflare, Clerk, Stripe, Google) sont basés aux États-Unis. Les transferts sont encadrés par :
- Le Data Privacy Framework UE-US pour les prestataires certifiés.
- Les Clauses Contractuelles Types (SCCs) de la Commission européenne en complément.
- Choix de la région UE quand techniquement possible (Neon Frankfurt, PostHog UE, Cloudflare edge UE prioritaire).
7. Tes droits
Conformément au RGPD (articles 15 à 22), tu disposes des droits suivants. Pour les exercer, écris à hello@cairntalent.com (réponse sous 30 jours max) ou utilise les outils en libre service ci-dessous.
- Accès / portabilité (art. 15 et 20) : télécharge l'intégralité de tes données via
GET /api/users/me/export(auth requise, JSON structuré). - Rectification (art. 16) : modifie ton profil depuis ton compte à tout moment.
- Effacement (art. 17, "droit à l'oubli") : supprime ton compte depuis Mon Profil. Soft-delete immédiat, purge physique 30 j plus tard. Annulable avant purge.
- Limitation (art. 18) : contacte-nous pour geler le traitement le temps d'une vérification.
- Opposition (art. 21) : refuse les analytics produit via la bannière de cookies (révocable à tout moment via Préférences cookies en bas de page).
- Réclamation CNIL : si tu estimes que tes droits ne sont pas respectés, tu peux saisir la Commission Nationale de l'Informatique et des Libertés (cnil.fr/plaintes).
8. Cookies et traceurs
Cairn utilise un nombre minimal de cookies :
- Cookies fonctionnels : session Clerk (authentification), préférence d'UI (toggle paper/dark). Strictement nécessaires, exemptés de consentement.
- Cookie de consentement analytics :
cairn-analytics-consentmémorise ton choix "accepter" ou "refuser" la collecte PostHog. - Pas de cookies publicitaires. Pas de pixels de tracking. Pas d'intégration Google Analytics.
9. Sécurité
Nous appliquons les mesures techniques et organisationnelles suivantes :
- Chiffrement au repos (Neon Postgres, R2) et en transit (TLS 1.3).
- Authentification multi-facteurs disponible via Clerk.
- Headers de sécurité HTTP : CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy.
- Audit trail admin : toute action d'un super-admin sur un compte utilisateur est tracée et horodatée.
- Scrubbing PII automatique avant envoi à Sentry (emails, IBAN, tokens, JWT).
- Tests de sécurité réguliers (auth/authz, injection, RGPD, secrets, headers).
10. Modifications
Nous pouvons mettre à jour cette politique en cas d'évolution du service ou de la réglementation. La date de dernière mise à jour figure en haut de page. En cas de changement substantiel (nouveau sous-traitant, nouvelle finalité, durée de conservation allongée), nous te notifierons par email avant l'entrée en vigueur.
11. Contact
Une question, une demande RGPD, un signalement : hello@cairntalent.com. On répond personnellement, pas de bot.