Politique de confidentialité
Politique de confidentialité de KairoProject — données traitées, bases légales, sous-traitants, droits des utilisateurs et mesures de sécurité.
Version 1.2 — juin 2026
1. Responsable du traitement
- Éditeur : Matthieu Guillon EI (auto-entrepreneur)
- SIRET : 990 721 490 00029
- Contact RGPD : support@kairoproject.com
2. Objet de la politique
La présente politique explique quelles données sont traitées par KairoProject, pour quelles finalités, sur quelles bases légales, avec quels sous-traitants, pendant combien de temps et avec quels droits pour les personnes concernées.
KairoProject est un service SaaS de pilotage de projets. Les données applicatives sont hébergées sur une infrastructure Firebase / Google Cloud, en particulier Firestore pour la base de données principale.
3. Finalités et bases légales
| Finalité | Description | Base légale |
|---|---|---|
| Gestion des comptes et authentification | Création de compte, connexion, gestion des droits et des espaces utilisateur / organisation | Exécution du contrat |
| Fourniture du service | Stockage des portfolios, projets, tâches, ressources, historiques, préférences et paramètres applicatifs | Exécution du contrat |
| Facturation et gestion des abonnements | Paiements, abonnements, justificatifs, état de souscription | Exécution du contrat / obligation légale |
| Support, maintenance et continuité de service | Assistance, résolution d'incidents, communications de service, corrections et opération du produit | Intérêt légitime / exécution du contrat |
| Sécurité et prévention des abus | Contrôle d'accès, rate limiting, traces techniques, supervision, journalisation des opérations sensibles | Intérêt légitime / obligation légale selon le cas |
| Export, portabilité et suppression RGPD | Traitement des demandes d'accès, d'export, d'effacement et conservation des preuves associées | Obligation légale |
| Fonctionnalités IA optionnelles | Consentement explicite ou activation volontaire dans l'espace concerné par l'administrateur | Consentement / choix explicite |
| Prédictions et modèles internes | Calculs prédictifs, modèles personnalisés liés à un espace, fonctionnement du service ML interne | Exécution du contrat |
| Contribution optionnelle au modèle global | Contribution d'un espace au modèle global lorsqu'une activation explicite a été effectuée par l'administrateur de l'espace concerné | Consentement / choix explicite de l'administrateur |
4. Catégories de données traitées
Selon les usages, KairoProject peut traiter les catégories suivantes :
- Données d'identification et de contact : nom, prénom, adresse e-mail, identifiants techniques de compte.
- Données d'accès et de droits : rôles, appartenance à un espace, statuts de membre, claims techniques, préférences de session.
- Données métier : portfolios, projets, tâches, ressources, équipes, calendriers, historiques, paramètres de projet, prompt parameters si utilisés.
- Données de facturation : plan souscrit, statut d'abonnement, références de paiement et informations de facturation gérées avec Stripe.
- Données d'export, de suppression et de preuve RGPD : identifiants de demandes, statuts de jobs, horodatages, identifiants de sujet, journaux DSAR.
- Données techniques et de sécurité : journaux d'erreur, journaux d'exploitation, événements de supervision, limitations de débit, identifiants techniques nécessaires à l'exploitation.
- Données IA et ML : contenu saisi par l'utilisateur lors d'une demande d'assistance IA, variables structurelles de prédiction, exports applicatifs reconstruits pour l'entraînement d'un modèle personnalisé, fichiers d'import d'entraînement fournis par le client, données d'un espace contribuant au modèle global si cette contribution a été explicitement activée.
5. Hébergement, accès et confidentialité
- Les données applicatives sont hébergées dans l'infrastructure Firebase / Google Cloud utilisée par KairoProject.
- Les accès entre espaces personnels et organisations sont séparés par des contrôles d'accès applicatifs et base de données.
- Les autres clients n'ont pas accès aux données d'une entreprise en dehors des droits qui leur sont explicitement attribués.
- L'éditeur conserve un accès administrateur technique encadré pour les besoins légitimes de support, maintenance, sécurité, prévention des abus et respect des obligations légales.
- Les opérations sensibles de type export, suppression et journalisation RGPD sont traitées côté serveur et non exposées en écriture directe depuis le client web.
6. Sous-traitants et destinataires
KairoProject s'appuie notamment sur les catégories de sous-traitants suivantes. Chaque sous-traitant est encadré par un accord de traitement des données (DPA). Les données applicatives (base de données, fichiers, fonctions backend) sont hébergées exclusivement en Europe via Google Cloud. Pour les sous-traitants impliquant un transfert hors Espace Économique Européen (Vercel, Stripe, Resend, OpenAI), des garanties adéquates sont mises en œuvre sous forme de clauses contractuelles types de la Commission européenne, accompagnées d'une évaluation d'impact sur le transfert (TIA) conformément aux recommandations de l'EDPB.
- Firebase / Google Cloud (Google Ireland Limited) : authentification des utilisateurs, base de données Firestore, stockage de fichiers et exécution des fonctions backend. Les données applicatives sont hébergées en Europe (région eur3, multi-région Belgique/Pays-Bas) ; les fonctions s'exécutent en europe-west1 (Belgique). Aucun transfert hors EEE pour ce sous-traitant.
- Vercel : hébergement et exécution de l'application web.
- Stripe : paiement et gestion des abonnements. Seules les références de transaction et les données de facturation sont transmises ; aucune donnée de carte bancaire n'est stockée par KairoProject.
- OpenAI : certaines fonctions d'assistance, de génération ou d'explication demandées par l'utilisateur. Transfert hors UE encadré par les clauses contractuelles types.
- Resend, Inc. : envoi des emails transactionnels (invitations, alertes de planification, notifications de facturation). Traitement du nom et de l'adresse email des destinataires.
- Autres prestataires techniques : le cas échéant, outillage de supervision.
La liste détaillée des sous-traitants peut être communiquée au client sur demande ou dans le cadre de la documentation contractuelle applicable.
7. Usage d'OpenAI et du service ML interne
7.1 OpenAI
Certaines fonctions d'assistance utilisent OpenAI via des routes serveur KairoProject. Selon la fonctionnalité utilisée, cela peut inclure un brief saisi par l'utilisateur, des informations de contexte projet, des noms de tâches ou de structures, ou pour certaines analyses un résumé structuré du projet et des indicateurs de prédiction.
Les appels ne sont pas émis directement depuis le navigateur vers OpenAI. Ils transitent par les routes serveur de KairoProject, avec contrôles d'entrée, vérification du scope et restrictions sur les modèles autorisés.
7.2 Service ML interne
KairoProject utilise également un service interne de prédiction et d'entraînement. Ce service peut recevoir des variables structurelles de prédiction, des exports reconstruits d'un espace donné pour entraîner un modèle personnalisé, des fichiers d'import d'entraînement fournis par le client, et pour le modèle global des données futures issues des espaces ayant activé explicitement la contribution globale.
Un modèle personnalisé reste rattaché au scope correspondant et n'est pas réutilisé pour un autre client.
7.3 Modèle global
Lorsque la contribution globale a été activée explicitement par l'administrateur de l'espace concerné, certaines données futures de cet espace peuvent alimenter le flux interne d'entraînement du modèle global.
Dans l'état actuel du service, cette contribution ne se limite pas à des statistiques purement numériques déjà anonymisées. Elle peut inclure des noms, descriptions, structures projet, variables métier et fichiers d'import utiles à l'entraînement, selon les données présentes dans l'espace concerné.
En revanche, les autres clients n'obtiennent pas accès à ces données en clair dans l'application, et les mots de passe, secrets d'authentification, données Stripe et journaux RGPD ne sont pas utilisés dans ce flux d'entraînement global.
8. Durées de conservation
| Donnée | Durée |
|---|---|
| Données actives de compte et de projet | Jusqu'à suppression du compte ou de l'organisation |
| Suppression volontaire du compte | Purge immédiate des données applicatives actives, indépendamment du statut d'abonnement. Journal de preuve DSAR conservé avec rétention limitée. |
| Données post-résiliation d'abonnement | 90 jours après la fin de l'abonnement, puis suppression définitive et automatique |
| Jobs d'export d'organisation | 7 jours |
| Liens signés de téléchargement d'export | 24 heures |
| Jobs de suppression d'organisation | 90 jours |
| Journaux DSAR | 12 mois |
| Journaux de suppression d'organisation | 12 mois |
| Documents comptables | 10 ans (obligations légales applicables) |
| Sauvegardes | Rotation ciblée à 30 jours maximum, restauration testée hors production |
9. Sauvegarde et restauration
La sauvegarde et la restauration de l'infrastructure de données reposent en premier lieu sur les capacités et services opérés sur Firebase / Google Cloud. KairoProject met en place des procédures d'exploitation et de restauration raisonnables au regard de son architecture. Lorsque des fonctions d'export sont disponibles, elles permettent au client de conserver ses propres copies de travail.
10. Sécurité
KairoProject met en œuvre des mesures raisonnables de sécurité adaptées à son architecture : chiffrement en transit et au repos, contrôles d'accès et séparation des espaces, limitation de débit sur certaines routes exposées, journalisation des opérations sensibles, supervision technique et accès administrateur restreint à des comptes nominatifs encadrés.
10bis. Violations de données personnelles
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, KairoProject s'engage à notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.
- Si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, celles-ci en seront informées dans les meilleurs délais, conformément à l'article 34 du RGPD.
- Toute suspicion de violation de données peut être signalée à support@kairoproject.com.
- KairoProject tient un registre interne des violations de données, même lorsque la notification à la CNIL n'est pas requise.
11. Droits des personnes
Conformément au RGPD, vous pouvez exercer les droits suivants :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement
- Droit à la limitation
- Droit à la portabilité
- Droit d'opposition, lorsque ce droit est applicable
Demandes à adresser à : support@kairoproject.com
Une réclamation peut également être adressée à la CNIL : cnil.fr
12. Cookies et traceurs
KairoProject n'active pas par défaut de traceur non essentiel dans l'état actuel du service. Les cookies strictement nécessaires au fonctionnement, à la session et aux préférences d'interface peuvent être utilisés sans consentement préalable. Si des traceurs de mesure d'audience ou marketing devaient être ajoutés, un mécanisme de consentement adapté serait activé avant leur chargement.
Voir la Politique cookies pour le détail.
13. Mise à jour
La présente politique peut être modifiée en cas d'évolution légale, contractuelle, technique ou opérationnelle. La date de mise à jour figure en tête du document.