Sécurité & confidentialité

Tes données vivent en Europe.
Chiffrées. Privées.

Voici exactement où vont tes données quand tu utilises Kairo, comment elles sont protégées, et comment tu peux les retirer en un email.

Les 3 promesses qu'on tient

Hébergement Europe

Supabase Frankfurt 🇩🇪 pour ta base de données. Stripe Irlande 🇮🇪 pour les paiements. Hors UE, on s'appuie sur des accords RGPD validés.

Chiffrement de bout en bout

HTTPS en transit (TLS 1.3). AES-256 au repos chez tous les hébergeurs. Tes mots de passe ne sont jamais stockés en clair.

Pas d'entraînement IA

Anthropic, qui rédige ton programme, n'utilise PAS tes réponses pour entraîner Claude. C'est leur politique par défaut depuis 2023.

Le vrai sujet

La sécurité commence dans notre code

Les fournisseurs qu'on utilise (Supabase, Stripe, Anthropic…) sont déjà certifiés au plus haut niveau de sécurité. Le vrai risque, c'est notre code à nous. Voici comment on s'y prend.

Aucun secret dans le code

Toutes les clés API (Stripe, Anthropic, Resend, Supabase) vivent dans des variables d'environnement isolées du code source. Si quelqu'un volait le code, il n'aurait aucune clé pour accéder à tes données.

Verrouillage au niveau base de données

Row Level Security (RLS) sur toutes les tables Supabase. Un utilisateur ne peut techniquement pas lire ou modifier les données d'un autre — la base le refuse, même si une faille dans le code ouvrait la porte.

Validation stricte des entrées

Chaque donnée envoyée à nos API est vérifiée avant traitement (schéma Zod). Pas d'injection SQL, pas de XSS, pas de payload monstrueux qui plante le serveur.

Webhook Stripe vérifié cryptographiquement

Impossible de fabriquer un faux paiement. Chaque notification Stripe est signée avec un secret, et nous vérifions cette signature avant de provisionner ton compte.

Audit régulier du code par IA spécialisée

Le code est passé au peigne fin par des outils d'audit de sécurité automatisés (ultrareview de Claude Code) avant chaque déploiement majeur. Les bugs et failles potentielles sont détectés et corrigés.

Pas de données utilisateur dans les logs

Nos logs serveur enregistrent juste les codes de retour HTTP et la durée des requêtes — jamais le contenu de tes réponses au questionnaire ni de ton journal. Vercel purge automatiquement après 30 jours.

Honnêteté : aucun système n'est invulnérable. Si on découvrait demain une faille critique, on suivrait le protocole RGPD : notification à la CNIL sous 72 h, alerte individuelle aux clients impactés, fix immédiat, transparence sur ce qui s'est passé. Pas de dissimulation.

Les services qu'on utilise

Pas de boîte noire. Voici précisément qui touche tes données et pour quoi faire.

Supabase 🇩🇪 Frankfurt

Base de données

Stocke ton profil, tes réponses au questionnaire, ton programme généré, ton journal hebdomadaire et tes ajustements. La sécurité est au niveau de la base : un utilisateur ne peut techniquement lire que ses propres données (Row Level Security).

Chiffrement TLS 1.3 + AES-256
Conformité RGPD · SOC 2 · ISO 27001

Stripe 🇮🇪 Irlande

Paiements

Gère intégralement tes paiements. Nous ne voyons jamais ton numéro de carte — uniquement un identifiant de transaction. Stripe est certifié au plus haut niveau de sécurité bancaire (PCI DSS Level 1).

Chiffrement TLS 1.2+ + Tokenization
Conformité PCI DSS Level 1 · RGPD · SOC 2

Anthropic (Claude) 🇺🇸 États-Unis

IA qui rédige ton programme

Reçoit tes réponses au questionnaire pour générer ton programme personnel. Ne stocke ces données que 30 jours maximum (détection d'abus), puis suppression. N'utilise PAS tes prompts pour entraîner Claude — c'est la politique par défaut depuis août 2023.

Chiffrement TLS 1.3 + AES-256
Conformité RGPD · DPF · SOC 2

Resend 🇺🇸 États-Unis

Envoi d'emails

Délivre ton programme PDF, ton coach hebdomadaire et les confirmations. Ton email est utilisé exclusivement pour ces envois — jamais revendu, jamais utilisé pour du marketing tiers.

Chiffrement TLS 1.3 + DKIM/SPF/DMARC
Conformité RGPD · DPF · SOC 2

Vercel 🌍 Edge mondial / 🇩🇪 Frankfurt pour l'UE

Hébergement du site

Héberge le site et exécute les API. Aucune donnée client n'y est stockée — Vercel ne fait qu'exécuter le code. Les logs des requêtes (IP, URL, code retour) sont automatiquement purgés sous 30 jours.

Chiffrement TLS 1.3 forcé
Conformité RGPD · ISO 27001 · DPF

Tes droits RGPD

Six droits que la loi européenne te garantit. Tous activés chez Kairo.

Accès
Demande email — on t'envoie l'export complet
30 jours max
Rectification
Édition directe dans ton tableau de bord (à venir : édition profil)
Immédiat
Effacement (« droit à l'oubli »)
Bouton « Supprimer mon compte » dans /dashboard/settings, ou email
1-3 jours en pratique, 30 jours max
Portabilité
Demande email — export JSON de toutes tes données
30 jours max
Opposition
Lien de désabonnement dans chaque email coach hebdo
Immédiat
Limitation
Demande email — gel temporaire sans suppression
30 jours max

Quand tu supprimes ton compte, on efface en cascade : ton profil, tes programmes, ton journal, tes ajustements et tes paiements liés. Aucune copie n'est conservée.

Questions fréquentes

Où sont stockées mes données ?
Tes données vivent en Europe (Supabase à Frankfurt et Stripe en Irlande). Anthropic et Resend sont basés aux États-Unis mais couverts par les accords RGPD-US (Data Privacy Framework + clauses contractuelles standard).
Anthropic utilise-t-elle mes réponses pour entraîner Claude ?
Non. Depuis août 2023, Anthropic n'utilise pas par défaut les prompts envoyés via l'API pour entraîner ses modèles. C'est leur politique standard, et nous n'avons rien activé qui contredise cela.
Comment puis-je supprimer toutes mes données ?
Deux options. Soit tu utilises le bouton « Supprimer mon compte » dans ton tableau de bord (effet immédiat). Soit tu envoies un email à bonjour@kairoeditions.com et nous procédons à la suppression cascade sous 30 jours maximum (généralement 1 à 3 jours en pratique).
Mes informations bancaires sont-elles stockées chez Kairo ?
Non. Stripe gère intégralement les paiements. Nous ne voyons jamais ton numéro de carte — uniquement un identifiant de transaction anonymisé. Stripe est certifié PCI DSS Level 1, le plus haut niveau de sécurité bancaire.
Que se passe-t-il en cas de faille ?
Nous notifions la CNIL sous 72 heures, comme l'impose le RGPD. Tous les clients impactés sont prévenus individuellement par email. Comme tes données sont chiffrées au repos et en transit, l'impact reste limité même en cas de compromission.
Mes échanges avec le coach IA quotidien sont-ils privés ?
Oui. Mêmes garanties que pour la génération de ton programme : stockage Supabase Europe, chiffrement au repos, et Anthropic n'utilise pas ces conversations pour entraîner ses modèles. Tu peux supprimer l'historique à tout moment depuis ton tableau de bord.

Une question, une demande ?

Pour toute question sur tes données, ou pour exercer un droit RGPD, écris-nous directement.

bonjour@kairoeditions.comPolitique complète

Pour toute réclamation non résolue, tu peux contacter la CNIL, l'autorité française de protection des données.

Dernière mise à jour : 9 mai 2026 · Site : kairoeditions.com