Ce que nous collectons, et pourquoi.

klair est une société B2B de logiciels — une société par actions simplifiée (SAS) immatriculée en France. Nous vendons des services logiciels sur mesure et trois produits — Hermes (intake de propositions), Apollo (plateforme de développement IA) et Moon (hébergement post-lancement et astreinte). Nous agissons comme responsable du traitement pour notre site web, marketing, vente, facturation et données de compte, et comme sous-traitant lorsque nous traitons le contenu que nos clients et leurs utilisateurs finaux placent dans nos produits. Nous hébergeons principalement dans l'Union européenne (Francfort). Nous utilisons un ensemble restreint et nommé de sous-traitants. Nous ne vendons ni ne partageons de données personnelles à des fins de publicité comportementale inter-contextuelle. Tout ce qui suit explique comment cela fonctionne en pratique.

klair.dev (« klair », « nous ») est une société par actions simplifiée (SAS) immatriculée en France et est le responsable du traitement des données personnelles collectées via klair.dev, notre site marketing, notre portail et nos produits lorsqu'ils sont utilisés directement par vous. Pour les clients qui déploient nos produits auprès de leurs propres utilisateurs finaux (par exemple, un cabinet d'avocats intégrant Hermes sur son site), klair agit comme sous-traitant pour le compte du client concernant le contenu soumis par ces utilisateurs — le client est responsable du traitement de ce contenu. Notre Délégué à la protection des données est joignable à dpo@klair.dev. Les questions générales sur la vie privée vont à privacy@klair.dev. Notre autorité de contrôle est la CNIL (Commission Nationale de l'Informatique et des Libertés).

Cette politique s'applique aux : visiteurs de klair.dev ; prospects qui interagissent avec un intake Hermes sur des sites tiers ayant intégré Hermes (auquel cas l'entreprise intégratrice est également responsable du traitement de cette conversation) ; clients klair et utilisateurs individuels que nous authentifions dans le portail ; participants à la bêta d'Apollo et Moon ; personnes qui nous écrivent, planifient ou nous contactent autrement ; et résidents californiens, de l'EEE, du Royaume-Uni et d'autres juridictions dont nous traitons les données à l'occasion de ce qui précède.

Au moment de la collecte de données personnelles d'un résident californien, ou avant, cette section indique ce que nous collectons, pourquoi et pour combien de temps. Nous collectons les catégories décrites à la section 05 (« Ce que nous collectons ») pour les finalités commerciales décrites à la section 06 (« Pourquoi nous l'utilisons »), conservons les données selon les durées de la section 09 (« Combien de temps nous les conservons »), et ne divulguons qu'aux destinataires listés à la section 07 (« Avec qui nous les partageons »). Nous ne vendons pas de données personnelles. Nous ne partageons pas de données personnelles à des fins de publicité comportementale inter-contextuelle. Nous n'utilisons ni ne divulguons d'informations personnelles sensibles à des fins qui ouvriraient le droit de limitation prévu par le CPRA.

Données de compte. Nom, e-mail professionnel, organisation, rôle, fuseau horaire, langue et identifiants d'authentification. Nous utilisons les liens magiques et OAuth — nous ne stockons jamais de mots de passe.

Contenu client et projet. Propositions, messages, validations de jalons, pièces jointes, et tout ce que vous produisez dans le portail. Pour les participants à la bêta Apollo, également : métadonnées de tickets, plans préliminaires, journaux d'exécution et références de pull requests. Le code source est lu en mémoire pendant une tâche active et n'est pas conservé au-delà de cette fenêtre.

Contenu d'intake Hermes. Lorsque vous interagissez avec un intake Hermes intégré sur le site d'un client (lettre de mission d'avocat, RFP design, cadrage comptable, brief marketing, intake logiciel, etc.), nous traitons le texte que vous soumettez et le brouillon généré par l'IA pour le compte du client. Le client intégrateur contrôle ce contenu ; klair le traite.

Données de facturation. Adresses de facturation, numéros de TVA ou autres identifiants fiscaux, références de bons de commande et coordonnées bancaires nécessaires à un remboursement. Les numéros de cartes ne touchent jamais les serveurs de klair — ils sont collectés et stockés par Stripe, notre prestataire de paiement.

Communications. Contenu des e-mails, tickets de support, appels planifiés et tout retour que vous nous envoyez. Inclut les divulgations responsables soumises à security@klair.dev.

Données techniques. Adresse IP (hachée avec un sel par processus pour la limitation de débit), user-agent, métadonnées d'appareil et de navigateur, locale, horodatages, journaux de requêtes et d'erreurs, identifiants de session. Utilisées pour exécuter le service de manière sécurisée et déboguer — pas pour construire des profils comportementaux.

Cookies et stockage similaire. Un petit ensemble de cookies strictement nécessaires (session, CSRF, état de consentement) et un cookie d'analytics anonyme et optionnel. La liste complète se trouve sur notre page cookies.

Informations personnelles sensibles. Nous ne cherchons pas à collecter de catégories particulières au sens du RGPD (santé, biométrie, origine, religion, orientation sexuelle, opinions politiques, appartenance syndicale), ni d'« informations personnelles sensibles » au sens du CPRA (géolocalisation précise, pièce d'identité, identifiants permettant l'accès à un compte, contenu de communications privées non adressées à klair, origine raciale ou ethnique, etc.). Si de telles données apparaissent dans le contenu que vous téléversez ou soumettez via Hermes, nous ne les traitons que pour exécuter le service et n'en tirons aucune inférence sur vous.

Enfants. klair est un service B2B non destiné aux enfants. Nous ne collectons pas sciemment de données personnelles de personnes de moins de seize ans. Si vous pensez qu'un enfant nous a fourni des données, contactez privacy@klair.dev et nous les supprimerons.

Nous traitons les données personnelles pour : (a) fournir les services et produits klair contractés par vous ou votre organisation — base légale : exécution d'un contrat ; (b) faire fonctionner notre site, répondre aux demandes et préparer des propositions — intérêt légitime à exploiter une fonction commerciale B2B et, lorsque requis, votre consentement ; (c) émettre des factures, encaisser les paiements et respecter nos obligations comptables et fiscales — obligation légale ; (d) sécuriser le service, prévenir la fraude, surveiller la disponibilité, enquêter sur les incidents et sauvegarder les données — intérêt légitime à maintenir un service de confiance ; (e) envoyer des e-mails transactionnels (liens de connexion, factures, notifications de jalons, mises à jour d'incidents) — exécution d'un contrat ; (f) envoyer des mises à jour produit peu fréquentes et des nouvelles de bêta aux contacts clients — intérêt légitime, avec un lien de désabonnement sur chaque message ; (g) améliorer nos produits à partir de modèles d'usage agrégés et dé-identifiés — intérêt légitime ; et (h) répondre aux demandes légales et défendre nos droits — obligation légale et intérêt légitime. Lorsque nous nous fondons sur l'intérêt légitime, nous avons mis en balance cet intérêt et vos droits, et vous pouvez vous y opposer à tout moment.

Nous ne partageons des données personnelles qu'avec : (1) des sous-traitants nécessaires à l'exécution du service, encadrés par un contrat de traitement écrit — aujourd'hui, Supabase (base Postgres et authentification hébergées dans l'UE), Stripe (paiements), Resend (e-mails transactionnels) et Anthropic (inférence LLM pour le chat d'intake Hermes et Apollo) ; (2) des conseils professionnels (comptables, auditeurs, avocats) tenus à la confidentialité, lorsque strictement nécessaire ; (3) les autorités compétentes lorsque la loi nous y oblige ; et (4) un successeur en cas de fusion, acquisition ou cession d'actifs — auquel cas nous vous informerons à l'avance et vos droits au titre de cette politique seront maintenus. Nous ne vendons pas de données personnelles, nous ne louons pas de listes de contacts et nous ne partageons pas de données personnelles à des fins de publicité comportementale inter-contextuelle.

Le stockage primaire est situé dans l'Union européenne (Francfort). Les sauvegardes chiffrées sont répliquées vers une seconde région de l'UE. Certains sous-traitants sont établis hors EEE et Royaume-Uni — Stripe et Anthropic opèrent depuis les États-Unis. Les transferts vers ces destinataires reposent sur les Clauses contractuelles types (CCT) de la Commission européenne, complétées par l'IDTA britannique lorsque des données relevant du Royaume-Uni sont concernées, et avec les mesures additionnelles que ces clauses exigent (chiffrement en transit et au repos, confidentialité contractuelle, droits d'audit, et évaluations du droit du pays destinataire). Vous pouvez demander une copie des mesures applicables à privacy@klair.dev.

Données de compte — tant que votre compte est actif, plus douze mois après sa clôture. Contenu de projet et de proposition — durée de l'engagement plus dix ans, pour satisfaire aux obligations comptables et fiscales françaises (le Code de commerce français impose en règle générale la conservation des documents commerciaux pendant dix ans). Enregistrements d'intake Hermes — conservés pour le compte du client intégrateur selon son propre calendrier ; klair ne les conserve que selon les instructions de ce client. Données de tâche Apollo — plan, journaux d'exécution et références PR conservés quatre-vingt-dix jours après la fin de la tâche ; le code source n'est pas conservé au-delà de la fenêtre de tâche active. Journaux serveur, applicatifs et de sécurité — quatre-vingt-dix jours. Contacts marketing — jusqu'à désinscription, puis suppression conservée le temps nécessaire pour honorer la désinscription. Les sauvegardes sortent du système sous trente-cinq jours. Vous pouvez demander une suppression anticipée à tout moment ; nous nous exécuterons sauf obligation légale de conservation (par exemple, une facture émise).

Si vous êtes dans l'EEE, au Royaume-Uni ou dans une juridiction à droit comparable, vous avez le droit : d'accéder à vos données personnelles et d'en obtenir une copie ; de faire rectifier des données inexactes ; de faire effacer des données ; de restreindre ou de vous opposer à certains traitements (y compris la prospection directe) ; de recevoir vos données dans un format portable ; de retirer votre consentement à tout moment lorsque le traitement repose sur le consentement ; et de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs sans garanties appropriées. Adressez votre demande écrite à privacy@klair.dev et nous répondrons sous trente jours. Nous pouvons prolonger ce délai de deux mois pour les demandes complexes, en vous en informant dans les trente premiers jours. Vous pouvez également déposer une réclamation auprès de la CNIL ou de votre autorité locale — mais nous préférerions avoir la chance d'y remédier d'abord.

Si vous êtes résident californien, vous avez le droit : de savoir quelles informations personnelles nous collectons, utilisons, divulguons et (le cas échéant) vendons ou partageons ; d'accéder à une copie des éléments précis que nous détenons ; de corriger des informations inexactes ; de supprimer des informations personnelles, sous réserve d'exceptions limitées (par exemple, finaliser une transaction ou se conformer à une obligation légale) ; de refuser la vente ou le partage — bien que nous ne vendions ni ne partagions au sens du CPRA ; de limiter l'utilisation ou la divulgation d'informations personnelles sensibles — nous n'utilisons pas d'informations personnelles sensibles à des fins ouvrant un droit de limitation ; et de ne pas subir de discrimination pour l'exercice de l'un de ces droits. Pour exercer un droit, écrivez à privacy@klair.dev depuis l'adresse associée à votre compte, ou utilisez les coordonnées ci-dessous. Nous vérifions votre demande en comparant les informations fournies à celles que nous détenons ; pour les demandes sensibles, nous pouvons demander des informations supplémentaires. Vous pouvez recourir à un mandataire autorisé muni d'une autorisation écrite et d'une preuve d'identité. Nous répondons sous quarante-cinq jours, prolongeables une fois de quarante-cinq jours supplémentaires si raisonnablement nécessaire, avec préavis.

klair ne vend pas de données personnelles contre de l'argent ou une autre contrepartie de valeur, et ne partage pas de données personnelles à des fins de publicité comportementale inter-contextuelle. Il n'y a donc pas d'opt-out « Do Not Sell or Share » à activer, faute d'activité sous-jacente. Si vous envoyez un signal Global Privacy Control (GPC) depuis votre navigateur, nous continuerons à l'honorer comme une expression renforcée de votre préférence et nous n'engagerons aucune activité de vente ou de partage à l'avenir sans obtenir au préalable le consentement requis par la loi.

Les résidents des États dotés de lois générales sur la vie privée — notamment la Virginie, le Colorado, le Connecticut, l'Utah, le Texas, l'Oregon, le Montana et d'autres — disposent de droits comparables à ceux de la section 11 (accès, correction, suppression, opposition à la publicité ciblée, opposition à certains profilages, et appel d'une demande refusée). Nous honorons ces droits via le même point d'entrée : écrivez à privacy@klair.dev. Si nous refusons une demande, en tout ou en partie, vous pouvez faire appel en répondant à cette décision ; nous répondons dans le délai requis par la loi de votre État.

Hermes utilise un grand modèle de langage (actuellement Anthropic Claude) pour rédiger du contenu de proposition et d'intake avec le prospect. Le résultat est un brouillon soumis à revue humaine des deux côtés — ce n'est pas une offre liante et il ne produit pas, en lui-même, d'effets juridiques. Apollo utilise le même fournisseur pour lire le contexte du dépôt, rédiger un plan et proposer des changements via une pull request. Chaque changement Apollo est conditionné à une revue et à un merge humains par votre équipe ; rien n'est livré automatiquement sur vos branches de production. Nous n'utilisons pas l'IA pour prendre des décisions uniquement automatisées produisant des effets juridiques ou significatifs sur vous (par exemple, crédit, emploi ou accès). Nous n'entraînons pas les modèles d'Anthropic, ni aucun autre modèle, sur votre code, vos propositions, vos messages ou votre contenu d'intake Hermes. Les entrées et sorties sont traitées selon des conditions contractuelles qui interdisent un tel entraînement et exigent la suppression après inférence.

Nous utilisons un petit nombre de cookies strictement nécessaires pour la session et le CSRF, et nous stockons une préférence de consentement anonyme pour ne pas vous redemander. L'analytics optionnel est anonyme et agrégé, et n'est activé qu'après votre acceptation. Le détail complet, y compris le nom, la durée et la finalité de chaque cookie, est dans notre politique cookies.

Nous envoyons des mises à jour produit peu fréquentes, des annonces de bêta et des notifications de changements de politique à nos contacts clients et aux personnes qui ont demandé à recevoir nos communications. Chaque message inclut une désinscription en un clic. Si vous vous désinscrivez, nous supprimons l'adresse des envois marketing mais conservons l'enregistrement de la suppression pour continuer à honorer votre choix.

TLS en transit. Chiffrement au repos des bases de données et des sauvegardes. Authentification par lien magique et OAuth (aucun mot de passe stocké). Accès du personnel sur la base du moindre privilège, audité via la sécurité au niveau ligne de Supabase. Gestion chiffrée des secrets. Journalisation et alertes sur les activités suspectes. Test d'intrusion annuel par un cabinet externe. Processus documenté de réponse à incident et de notification de violation — lorsqu'une violation est susceptible de présenter un risque pour vos droits, nous notifierons l'autorité de contrôle compétente sous soixante-douze heures et les personnes concernées sans retard injustifié lorsque le risque est élevé. Les divulgations responsables vont à security@klair.dev et nous répondons sous un jour ouvré.

Avant d'ajouter ou de remplacer un sous-traitant traitant des données personnelles pour notre compte, nous mettrons à jour la liste de la section 07 et informerons les clients ayant un compte ou un engagement actif au moins trente jours à l'avance. Si vous vous opposez raisonnablement à un nouveau sous-traitant pour des motifs de protection des données, contactez-nous pendant ce délai et nous chercherons avec vous une alternative ou, à défaut, une sortie ordonnée du service concerné.

Si nous modifions cette politique d'une manière qui vous affecte matériellement, nous vous informerons par e-mail au moins trente jours avant l'entrée en vigueur. Les modifications non matérielles sont consignées sur cette page avec une nouvelle date d'effet.

Délégué à la protection des données — dpo@klair.dev. Vie privée générale — privacy@klair.dev. Sécurité et divulgation responsable — security@klair.dev. Notifications juridiques et correspondances contractuelles — legal@klair.dev. Abus, spam ou usage détourné d'un service klair — abuse@klair.dev. Reste — hello@klair.dev. Notre autorité de contrôle est la CNIL (cnil.fr) ; les résidents californiens peuvent aussi contacter la California Privacy Protection Agency (cppa.ca.gov). Nous nous efforçons de répondre à toute demande sous un jour ouvré.