Politique de confidentialité – Rakoono

Date d'entrée en vigueur : 3 novembre 2025

Vos données vous appartiennent, nous ne les vendrons donc jamais.

Les informations que nous collectons (votre profil, vos conversations avec l'IA) servent uniquement à personnaliser votre parcours de formation et à améliorer notre service. Votre employeur est le responsable de traitement de vos données. Vous disposez de droits sur celles-ci, dont les modalités d'exercice sont détaillées à l'article 8. La sécurité de vos informations est notre priorité absolue.

Préambule : Notre rôle et celui de votre employeur

Cette politique de confidentialité s'adresse à nos Clients (les entreprises qui souscrivent à nos services) et à leurs collaborateurs, nos Utilisateurs.

Dans le cadre de la fourniture de nos services, il est essentiel de distinguer les rôles de chaque partie au sens du RGPD :

Votre employeur est le Responsable de Traitement : C'est lui qui décide des finalités et des moyens du traitement de vos données (votre formation professionnelle). Il est votre principal point de contact pour la gestion de votre compte et l'exercice de vos droits.
Rakoono agit en tant que Sous-Traitant : Nous traitons vos données personnelles au nom et selon les instructions documentées de votre employeur, conformément à l'article 28 du RGPD et au contrat qui nous lie.

Exception pour l'amélioration de notre service :

Pour la finalité spécifique et limitée d'amélioration de la performance, de la sécurité et des fonctionnalités de notre agent conversationnel, Rakoono agit en tant que Responsable de Traitement. Ce traitement, détaillé à l'Article 3, se base sur notre intérêt légitime et est réalisé exclusivement sur des données pseudonymisées et agrégées.

Article 1 : Identité et contact

Nous contacter

Pour toute question relative à cette politique de confidentialité ou pour exercer vos droits, vous pouvez contacter notre référent à la protection des données :

À l'attention de : M. Hermès Dezautière, Responsable de la protection des données
Par e-mail : privacy@rakoono.com

Informations sur l'éditeur

La plateforme Rakoono est un service édité et opéré par la société Dataed Technologies, immatriculée en France sous le numéro SIRET 984 056 366 00011.

Siège social : 58 Rue de Monceau, CS 48756, 75008 Paris, France.

Article 2 : Les données que nous traitons

Nous collectons et traitons les catégories de données suivantes, strictement nécessaires à la personnalisation de votre expérience pédagogique :

Données d'identification :
- Informations fournies lors de la création du compte : Prénom, adresse e-mail professionnelle.
- Informations générées par le système : Identifiant unique d'utilisateur (UUID), rôle.
Données de personnalisation professionnelle :
- Informations sur votre profil : Poste, secteur d'activité, ancienneté.
- Informations sur vos objectifs et préférences : Maturité sur l'IA, objectifs de formation, préférences d'apprentissage (ton, fréquence, etc.).
Données d'apprentissage et de progression :
- Données relatives à votre activité : Modules suivis, scores, temps passé, réponses aux exercices, niveau de maîtrise des compétences, points d'expérience (XP).
Données de conversation avec notre agent IA :
- Contenu des messages que vous échangez avec notre agent conversationnel, ainsi que vos feedbacks (mentions "j'aime" ou "je n'aime pas").
Données optionnelles (avec votre consentement explicite) :
- Si vous choisissez cette option, l'URL de votre profil LinkedIn pour pré-remplir automatiquement votre profil professionnel.

Important : Nous vous demandons de ne jamais communiquer de données sensibles (données de santé, opinions politiques, secrets d'affaires, mots de passe, etc.) dans vos conversations. Des filtres techniques sont en place pour détecter et limiter le traitement de telles informations, mais votre vigilance reste essentielle.

Article 3 : Pourquoi traitons-nous vos données ? (Finalités et bases légales)

Nous traitons vos données pour les finalités suivantes, sur la base des fondements juridiques prévus par le RGPD :

Finalité	Données concernées	Base légale	Qui est le Responsable de Traitement ?
Fournir et gérer votre accès à la plateforme	Données d'identification.	Exécution du contrat	Votre employeur (Client)
Personnaliser votre parcours de formation	Données de personnalisation, d'apprentissage et de conversation.	Exécution du contrat	Votre employeur (Client)
Suivre votre progression et vous engager	Données d'apprentissage et d'identification.	Exécution du contrat	Votre employeur (Client)
Améliorer la pertinence de notre service	Données de conversation et d'apprentissage (pseudonymisées et agrégées).	Notre intérêt légitime*	Rakoono
Pré-remplir votre profil via LinkedIn	Données optionnelles (URL du profil LinkedIn).	Votre consentement	Votre employeur (Client)
Analyser l'usage de la plateforme (statistiques)	Données techniques et d'usage (via PostHog).	Votre consentement (via le bandeau cookies)	Votre employeur (Client)

Notre intérêt légitime consiste à améliorer la qualité et la performance de notre agent IA. Nous effectuons une mise en balance pour nous assurer que cet intérêt ne prévaut pas sur les droits et libertés des Utilisateurs, notamment via des techniques de pseudonymisation avancées. Vous pouvez vous opposer à ce traitement comme décrit à l'Article 8.

Article 4 : Qui a accès à vos données ? (Destinataires et sous-traitants)

Nous ne vendons ni ne louons jamais vos données personnelles. Elles sont partagées uniquement avec les sous-traitants (dits "sous-traitants ultérieurs") indispensables à la fourniture de notre service :

Sous-traitant	Finalité	Lieu de stockage
Vercel	Hébergement de l'application	Europe (infrastructure AWS)
Supabase	Base de données, authentification	Europe (infrastructure AWS)
Brevo	Envoi d'emails transactionnels	Europe
PostHog	Analyse de l'usage du produit	Europe
Google	Agent conversationnel (API Gemini)	Multi-région
OpenAI	Agent conversationnel (API GPT)	États-Unis

Article 5 : Transferts de données hors de l'Union Européenne

La majorité de vos données sont hébergées et traitées au sein de l'Union Européenne. Cependant, le fonctionnement de notre agent conversationnel requiert de faire appel à des fournisseurs basés aux États-Unis. Ces transferts sont encadrés par des garanties juridiques et techniques strictes :

Google (États-Unis) : Le transfert est couvert par la certification de Google au EU-US Data Privacy Framework, dont nous vérifions périodiquement la validité.
OpenAI (États-Unis) : Le transfert est encadré par la signature de Clauses Contractuelles Types (CCT) de la Commission Européenne. Conformément aux exigences du RGPD, nous avons complété ces CCT par des mesures supplémentaires, incluant une pseudonymisation renforcée et un chiffrement des données transmises.

Dans les deux cas, seules les données de conversation et de profil professionnel pseudonymisées sont transmises, sans identifiant direct comme votre nom ou votre email.

Article 6 : Durée de conservation

Nous ne conservons vos données que pour la durée strictement nécessaire aux finalités pour lesquelles elles sont collectées :

Données liées à votre compte utilisateur : Elles sont conservées tant que votre compte est actif. En cas de suppression de votre compte, ces données sont immédiatement supprimées de nos bases de données de production.
Logs techniques et de sécurité : Les journaux de connexion et d'événements, utilisés pour assurer la sécurité de la plateforme, sont conservés sur une durée glissante de 12 mois.
Sauvegardes (backups) : Nos bases de données sont sauvegardées quotidiennement. Ces sauvegardes sont conservées pour une durée de 30 jours à des fins de reprise après sinistre. Par conséquent, suite à un effacement, vos données seront définitivement purgées de tous nos systèmes à l'issue de ce délai.

Article 7 : Sécurité de vos données

La sécurité de vos données est notre priorité. Nous mettons en œuvre des mesures techniques et organisationnelles robustes, notamment :

Chiffrement des données en transit (HTTPS/TLS 1.3) et au repos (AES-256).
Isolation des données grâce à une architecture de sécurité (Row Level Security) garantissant qu'un utilisateur n'accède qu'à ses propres données.
Authentification forte et gestion sécurisée des mots de passe.
Accès restreints aux données pour notre personnel, basé sur le principe du moindre privilège.

En complément, nous nous engageons à réaliser des audits de sécurité internes réguliers et à maintenir notre conformité aux standards reconnus, comme notre certification SOC 2. En cas de violation de données, nous notifierons notre Client (le responsable de traitement) dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance.

Article 8 : Vos droits sur vos données

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Art. 15) : Le droit d'obtenir la confirmation que vos données sont traitées et d'en recevoir une copie.
Droit de rectification (Art. 16) : Le droit de corriger toute information inexacte vous concernant.
Droit à l'effacement ("droit à l'oubli") (Art. 17) : Le droit de demander la suppression de vos données, sous certaines conditions.
Droit à la limitation du traitement (Art. 18) : Le droit de demander le "gel" de l'utilisation de vos données dans certaines situations, par exemple si vous contestez leur exactitude ou si vous vous opposez à leur traitement.
Droit à la portabilité (Art. 20) : Le droit de recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV).
Droit d'opposition (Art. 21) : Le droit de vous opposer à tout moment au traitement de vos données fondé sur notre intérêt légitime.

Comment exercer vos droits ?

Votre premier interlocuteur est votre employeur (le Client), qui est le responsable de traitement. Toutefois, Rakoono vous facilite l'exercice direct de certains de ces droits :

Pour consulter et rectifier vos données :
- Vous pouvez modifier vos données de personnalisation (objectifs, préférences) directement depuis les paramètres de votre profil.
- Pour toute modification de vos données d'identification (prénom, email), nous vous invitons à contacter votre employeur.
Pour demander l'effacement, la limitation ou la portabilité de vos données :
- Adressez votre demande par e-mail à privacy@rakoono.com. Nous vérifierons votre identité via un lien de confirmation envoyé sur votre email professionnel.
- Procédure d'effacement/limitation : Conformément à nos obligations de sous-traitant, nous informerons votre employeur de votre demande et agirons sur ses instructions.
- Nous traiterons votre demande dans un délai maximal d'un mois.
Pour exercer votre droit d'opposition :
- Le traitement visant à améliorer notre service est fondé sur notre intérêt légitime (voir Article 3). Vous avez le droit de vous y opposer à tout moment.
- Pour ce faire, contactez-nous à privacy@rakoono.com. Suite à votre demande, nous cesserons ce traitement spécifique pour vos données, à moins que nous ne démontrions qu'il existe des motifs légitimes et impérieux qui prévalent sur vos droits et libertés. Dans notre cas, cela se traduira par l'exclusion de vos futures contributions de nos processus d'analyse.

Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle compétente, telle que la CNIL en France.

Article 9 : Gestion des cookies et traceurs

Nous utilisons un traceur (PostHog) pour mesurer l'audience et comprendre l'utilisation des fonctionnalités, afin d'améliorer notre service. Le dépôt de ce traceur est soumis à votre consentement, recueilli via un bandeau d'information lors de votre première visite. Votre choix est valable pour une durée de 13 mois maximum.

Article 10 : Modification de la politique

Nous pouvons être amenés à modifier cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification sur la plateforme et, si nécessaire, nous solliciterons à nouveau votre consentement.