La société KAIRN (ci-après « Kairn », « nous ») accorde une importance particulière à la protection des données personnelles de ses utilisateurs. La présente Politique de confidentialité décrit la manière dont Kairn collecte, utilise, conserve et protège les données personnelles des personnes physiques utilisant le site kairn.pro (ci-après « le Site »), conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée.
1. Responsable de traitement
Le responsable de traitement des données personnelles est :
- KAIRN
- SASU au capital de 1 euro
- RCS Fort-de-France 999 359 003
- Siège social : 10 LOT CITRONNELLES, 97222 CASE-PILOTE (Martinique, France)
- Contact : contact@kairn.pro
2. Délégué à la protection des données
En l'absence d'obligation légale de désignation d'un Délégué à la Protection des Données (DPO), Kairn assure la conformité au RGPD en interne. Toute question, réclamation ou demande d'exercice des droits relatifs aux données personnelles peut être adressée à :
- Adresse électronique : contact@kairn.pro
- Adresse postale : KAIRN — Délégué à la protection des données, 10 LOT CITRONNELLES, 97222 CASE-PILOTE
3. Données personnelles collectées
Kairn collecte les catégories de données suivantes selon le type d'utilisateur.
3.1 Données communes à tous les utilisateurs
- Données d'identification : nom, prénom, adresse électronique, mot de passe (sous forme hachée et non consultable par Kairn)
- Données de connexion et techniques : adresse IP, identifiants de session, données de journalisation (logs), informations sur le navigateur et le système d'exploitation
- Données d'utilisation du Site : pages consultées, actions effectuées, fréquence et durée des connexions
3.2 Données spécifiques aux utilisateurs « Client » (entreprises assujetties à l'OETH)
- Données professionnelles : raison sociale de l'entreprise, numéro SIRET, secteur d'activité, fonction de l'utilisateur dans l'entreprise
- Données métier OETH : effectif total de l'entreprise, nombre de travailleurs handicapés employés (RQTH), nombre de contrats sous-traitance avec des Entreprises Adaptées, territoires d'implantation
- Données contractuelles : budget cible alloué au sous-traitement protégé, historique des missions confiées via le Site, évaluations des partenaires
- Coordonnées du gestionnaire OETH (le cas échéant) : nom, fonction, adresse électronique, téléphone
3.3 Données spécifiques aux utilisateurs « Partenaire » (EA, EATT, ESAT)
- Données professionnelles : raison sociale de l'établissement, type d'établissement (EA, EATT, ESAT), numéro SIRET, territoires d'intervention, capacités opérationnelles (piliers d'activité, secteurs couverts)
- Documents d'agrément : copies numérisées des agréments en vigueur (DREETS, CPOM, URSSAF ou équivalents), dates d'expiration associées
- Données commerciales : tarif horaire moyen, description du personnel RQTH, exemples de prestations, capacité d'accueil
- Données contractuelles : historique des missions exécutées via le Site, évaluations des clients
3.4 Données sensibles
Kairn ne collecte ni ne traite directement de données dites « sensibles » au sens de l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, etc.). Les données agrégées relatives au nombre de travailleurs handicapés employés par un client (RQTH) sont collectées sous forme de données chiffrées non nominatives, à seule fin du calcul de l'obligation OETH et du dimensionnement des missions.
Aucune donnée nominative ou identifiante de travailleurs handicapés n'est collectée par Kairn.
4. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6-1-b) |
| Mise en relation client-partenaire et exécution des missions | Exécution du contrat (art. 6-1-b) |
| Calcul de l'obligation OETH et simulation des économies | Exécution du contrat (art. 6-1-b) |
| Validation administrative des partenaires (vérification des agréments) | Obligation légale + intérêt légitime (art. 6-1-c et 6-1-f) |
| Facturation, gestion comptable et recouvrement | Obligation légale (art. 6-1-c — Code de commerce, Code général des impôts) |
| Envoi d'emails transactionnels (notifications, confirmations) | Exécution du contrat (art. 6-1-b) |
| Mesure d'audience anonymisée et amélioration de la plateforme | Intérêt légitime (art. 6-1-f) |
| Prévention et lutte contre la fraude | Intérêt légitime (art. 6-1-f) |
| Envoi de communications commerciales (newsletters, actualités) | Consentement explicite (art. 6-1-a), révocable à tout moment |
4.1 Mesure d'audience
Kairn utilise Vercel Web Analytics, un outil de mesure d'audience fourni par son hébergeur Vercel Inc., pour comprendre la fréquentation du site. Cet outil est sans cookie et ne collecte que des statistiques agrégées et anonymes (nombre de pages vues, pages consultées, source de provenance, type d'appareil, pays ou région), sans constituer de profil individuel ni traiter de donnée permettant de vous identifier.
Bien que cette mesure soit sans cookie et anonyme, votre consentement est recueilli au préalable via un bandeau affiché lors de votre première visite : la mesure d'audience n'est activée que si vous l'acceptez, et vous pouvez la refuser sans conséquence sur votre navigation. Votre choix est conservé localement sur votre appareil pour ne pas vous le redemander. Les données éventuellement collectées sont traitées par Vercel Inc. en qualité de sous-traitant (cf. article 5 « Destinataires des données »).
5. Destinataires des données
Les données personnelles collectées sont accessibles, dans la limite de leurs missions respectives, aux :
- Personnels habilités de Kairn (administration de la plateforme, support utilisateur, équipe métier)
- Autres utilisateurs du Site, dans les limites strictes nécessaires à la mise en relation :
- Les informations professionnelles d'un partenaire (raison sociale, agréments, capacités, territoires, tarif horaire) sont visibles des clients dans le cadre du matching
- Les informations professionnelles d'un client (raison sociale, secteur, territoires, besoin exprimé) sont visibles d'un partenaire uniquement après acceptation explicite d'une mission par le client
- Après validation d'un devis, les coordonnées nécessaires à l'exécution de la mission sont échangées entre le client et le partenaire concernés : raison sociale, SIRET, nom et qualité du représentant légal, adresse, téléphone et nom du contact référent. Cet échange est strictement limité aux deux parties d'une même mission et conditionné à la validation du devis (il n'a pas lieu au simple stade du matching).
- Sous-traitants techniques intervenant pour le compte de Kairn, listés à la section 6
Aucune donnée personnelle n'est cédée, louée ou vendue à des tiers à des fins commerciales.
6. Sous-traitants et hébergement
Kairn fait appel aux sous-traitants suivants pour le fonctionnement du Site. Chacun est encadré par un contrat conforme à l'article 28 du RGPD.
| Sous-traitant | Finalité | Localisation | Encadrement transferts hors UE |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification, stockage de fichiers | Union européenne | Sans objet (UE) |
| Vercel Inc. | Hébergement de l'application web, diffusion réseau | États-Unis (avec edge nodes UE) | EU-US Data Privacy Framework |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | EU-US Data Privacy Framework + clauses contractuelles types |
| Functional Software Inc. (Sentry) | Monitoring applicatif et détection d'erreurs | États-Unis | EU-US Data Privacy Framework + clauses contractuelles types |
La liste des sous-traitants peut évoluer. Toute modification substantielle fait l'objet d'une mise à jour de la présente Politique.
7. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif (utilisateur connecté au moins une fois dans l'année) | Pendant toute la durée de la relation contractuelle |
| Données de compte inactif (aucune connexion depuis 2 ans) | Les comptes inactifs font l'objet d'une revue ; suppression à la demande de l'utilisateur ou lors de la clôture du compte |
| Données contractuelles et commerciales (missions, notations, échanges) | 3 ans à compter de la fin de la relation contractuelle |
| Pièces comptables et factures | 10 ans à compter de la clôture de l'exercice (art. L. 123-22 du Code de commerce), applicable dès le déploiement de la facturation sur la plateforme |
| Logs techniques et données de connexion | Selon la configuration de nos sous-traitants techniques (12 mois maximum) |
| Données traitées suite à une demande d'effacement (offboarding RGPD) | Demande traitée par notre équipe ; suppression définitive sous 30 jours maximum après confirmation, à l'exception des données soumises à une obligation légale de conservation (pièces comptables anonymisées) |
À l'issue de la durée de conservation, les données sont soit supprimées de manière sécurisée et irréversible, soit anonymisées de manière à ce qu'elles ne permettent plus l'identification de la personne concernée.
8. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants :
- Droit d'accès : obtenir confirmation que des données le concernant sont traitées et accéder à ces données
- Droit de rectification : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de ses données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement : demander le gel temporaire du traitement de ses données dans certaines situations
- Droit à la portabilité : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement
- Droit d'opposition : s'opposer au traitement de ses données pour des motifs tenant à sa situation particulière, notamment en cas de traitement fondé sur l'intérêt légitime
- Droit de retrait du consentement à tout moment, lorsque le traitement est fondé sur le consentement
- Droit de définir des directives relatives au sort de ses données après son décès
Ces droits peuvent être exercés à tout moment en écrivant à contact@kairn.pro. Pour des raisons de sécurité, Kairn pourra être amenée à vérifier l'identité du demandeur. Une réponse sera apportée dans un délai maximal d'un mois à compter de la réception de la demande, conformément à l'article 12 du RGPD.
L'utilisateur dispose également d'un droit de réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — ou via le site www.cnil.fr.
8.1 Offboarding et droit à l'effacement opérationnel
Le Site met à disposition, depuis l'espace utilisateur (rubrique « Clôture » des réglages), un parcours d'offboarding permettant de demander la clôture du compte et l'effacement des données personnelles associées. Votre demande est traitée par notre équipe et la suppression effective intervient dans un délai maximum de 30 jours à compter de la confirmation, à l'exception des données soumises à une obligation légale de conservation (notamment pièces comptables anonymisées). Vous pouvez par ailleurs télécharger à tout moment une copie de vos données depuis cette même rubrique (« Télécharger mes données »).
9. Cookies et traceurs
Le Site utilise uniquement des cookies strictement nécessaires à son fonctionnement, ne nécessitant pas de consentement préalable selon les recommandations de la CNIL :
| Type de cookie | Finalité | Durée |
|---|---|---|
| Cookie de session d'authentification | Maintien de la session utilisateur connecté | Session ou jusqu'à déconnexion |
| Cookie de sécurité (CSRF) | Protection contre les attaques par falsification de requête | Session |
| Cookie de préférences techniques | Mémorisation de choix de configuration de l'interface | Maximum 13 mois |
9.1 Cookies tiers
Le Site n'utilise actuellement aucun cookie tiers (analytique, publicitaire, de profilage ou de réseaux sociaux).
Si Kairn venait à déployer à l'avenir des outils d'analyse d'audience ou de mesure de la performance utilisant des cookies tiers, un bandeau de consentement conforme aux exigences de la CNIL serait mis en place préalablement à tout dépôt, et la présente Politique serait mise à jour en conséquence.
10. Sécurité
Kairn met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- Chiffrement des communications via TLS 1.3 (HTTPS obligatoire)
- Chiffrement des mots de passe par hachage cryptographique non réversible
- Exigence d'une longueur minimale de mot de passe (au moins 8 caractères)
- Cloisonnement strict des accès par rôle (Row-Level Security côté base de données)
- Supervision technique des erreurs et des opérations critiques
- Sauvegardes régulières des données
- Procédures de notification en cas de violation de données conformément aux articles 33 et 34 du RGPD (notification à la CNIL sous 72 heures et information des personnes concernées en cas de risque élevé)
11. Modifications de la Politique
Kairn se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment en cas d'évolution du contexte réglementaire ou des fonctionnalités du Site. Toute modification substantielle fait l'objet d'une information préalable des utilisateurs, par voie de notification dans l'espace utilisateur ou par courrier électronique, au moins 15 jours avant son entrée en vigueur.
La version applicable est celle en vigueur à la date de consultation du Site. La date de dernière mise à jour figure en tête du présent document.
12. Contact
Pour toute question relative à la présente Politique de confidentialité ou au traitement de ses données personnelles, l'utilisateur peut écrire à contact@kairn.pro ou par voie postale à l'adresse du siège social de Kairn.