Politique de Confidentialité
Dernière mise à jour : Mars 2026
Cobalt, exploité par SKILLFORGE APP, SAS au capital de 1 000 euros, immatriculée au RCS de Versailles sous le numéro 993 554 203, dont le siège social est situé à Coignières (78310), France (ci-après « Cobalt », « nous », « notre » ou « nos »), s'engage à protéger la vie privée des utilisateurs de sa plateforme et de son site web www.cobalt-ia.com (ci-après le « Service »).
La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable du traitement et contact
Responsable du traitement :
- SKILLFORGE APP
- Coignières (78310)
- France
Contact pour les questions relatives aux données personnelles : Gregory Hissiger, Président & CEO Email : privacy@cobalt-ia.com
2. Données personnelles collectées
2.1 Données que vous nous fournissez directement
| Catégorie | Données collectées | Finalité |
|---|---|---|
| Données d'identification | Nom, prénom, adresse email, numéro de téléphone | Création et gestion de votre compte |
| Données professionnelles | Nom de l'entreprise, fonction, secteur d'activité | Personnalisation du Service |
| Données de facturation | Adresse de facturation, informations de paiement (traitées par Stripe) | Gestion des abonnements et facturation |
| Contenu utilisateur | Données de candidats/prospects importées, notes, documents générés | Fourniture du Service |
2.2 Données collectées automatiquement
| Catégorie | Données collectées | Finalité |
|---|---|---|
| Données techniques | Adresse IP, type de navigateur, système d'exploitation, identifiants d'appareil | Sécurité et fonctionnement du Service |
| Données d'usage | Pages consultées, fonctionnalités utilisées, horodatages, durée des sessions | Amélioration du Service et analytics |
| Cookies | Voir section 8 ci-dessous | Fonctionnement et analyse |
2.3 Données obtenues via des tiers
Dans le cadre de nos fonctionnalités d'enrichissement de données, nous pouvons obtenir des informations professionnelles publiques (emails professionnels, numéros de téléphone) via nos partenaires FullEnrich et Clado. Ces données sont collectées à partir de sources publiquement accessibles.
2.4 Données obtenues via les APIs Google Workspace
Lorsque vous connectez votre compte Google à Cobalt, notre application peut accéder aux données suivantes via les APIs Google Workspace, uniquement avec votre consentement explicite via un flux OAuth :
| Scope Google | Données accessibles | Utilisation dans Cobalt |
|---|---|---|
| gmail.send | Envoi d'emails depuis votre compte Gmail | Permettre aux recruteurs d'envoyer des emails d'outreach et des messages personnalisés aux candidats directement depuis leur adresse email professionnelle Gmail. Cobalt n'accède pas au contenu de votre boîte de réception. |
| auth/calendar | Événements de votre Google Agenda | Créer des événements d'entretien avec les participants et génération automatique de liens Google Meet, consulter les disponibilités pour éviter les conflits d'agenda, modifier les événements lorsque les détails changent, et supprimer les événements lorsque les entretiens sont annulés. |
| userinfo.email | Adresse email de votre compte Google | Identifier votre compte lors de la connexion OAuth |
| userinfo.profile | Nom et informations de profil public | Afficher votre identité dans l'interface Cobalt |
| openid | Authentification | Établir une connexion sécurisée avec votre compte Google |
Engagements spécifiques concernant les données Google
L'utilisation par Cobalt des données reçues via les APIs Google Workspace est conforme à la Google API Services User Data Policy, y compris les exigences de Limited Use (utilisation limitée). À ce titre, Cobalt s'engage à ce que les données Google : • Ne soient utilisées que pour fournir et améliorer les fonctionnalités visibles par l'utilisateur au sein de la plateforme Cobalt. • Ne soient jamais transférées à des tiers, sauf si cela est nécessaire pour fournir ou améliorer les fonctionnalités de l'application, pour se conformer à une obligation légale, ou dans le cadre d'une transaction d'entreprise (fusion, acquisition) avec le consentement explicite de l'utilisateur. • Ne soient jamais utilisées pour de la publicité ciblée, personnalisée ou basée sur les centres d'intérêt. • Ne soient jamais vendues à des courtiers en données (data brokers) ou à des revendeurs d'informations. • Ne soient jamais utilisées pour déterminer la solvabilité, à des fins de prêt, ni pour constituer des bases de données indépendantes. • Ne soient jamais utilisées pour entraîner ou améliorer des modèles d'intelligence artificielle ou de machine learning généralisés. Les fonctionnalités d'IA de Cobalt (Mistral AI) ne reçoivent ni ne traitent les données brutes obtenues via les APIs Google. • Ne fassent l'objet d'un accès humain que dans les cas strictement nécessaires : sécurité, conformité légale, ou sur demande explicite de l'utilisateur pour le support technique.
3. Bases légales et finalités du traitement
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Exécution du Service (gestion de compte, fonctionnalités) | Exécution du contrat |
| Facturation et gestion des abonnements | Exécution du contrat |
| Support client | Exécution du contrat |
| Amélioration et optimisation du Service | Intérêt légitime |
| Analytics et statistiques d'usage | Intérêt légitime |
| Communications marketing (newsletters, mises à jour) | Consentement |
| Conformité légale et fiscale | Obligation légale |
| Sécurité et prévention de la fraude | Intérêt légitime |
4. Traitement des données pour le compte de nos clients (sous-traitance)
Lorsque vous utilisez Cobalt pour gérer des données de candidats ou de prospects, vous êtes le responsable du traitement de ces données et Cobalt agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
À ce titre, nous nous engageons à :
- Traiter les données uniquement sur vos instructions documentées
- Garantir la confidentialité des données traitées
- Mettre en œuvre les mesures de sécurité appropriées
- Vous assister dans le respect de vos obligations RGPD
- Supprimer ou restituer les données à la fin du contrat
- Mettre à disposition les informations nécessaires pour démontrer le respect de nos obligations
Un accord de traitement des données (DPA) est disponible sur demande pour les clients qui le souhaitent. Contactez-nous à privacy@cobalt-ia.com.
5. Destinataires et sous-traitants
Nous partageons vos données uniquement avec les catégories de destinataires suivantes, dans le strict respect de nos obligations de confidentialité :
5.1 Nos sous-traitants techniques
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Scaleway | Hébergement base de données | Paris, France (EU) |
| Vercel | Hébergement serveurs et CDN | Paris, France (EU) |
| Stripe | Traitement des paiements | EU / US (certifié DPF) |
| Mistral AI | Fonctionnalités d'intelligence artificielle | France (EU) |
| Resend | Envoi d'emails transactionnels | États-Unis (SCCs + certifié DPF) |
| PostHog | Analytics produit | Frankfurt, Allemagne (EU) |
| Dash0 | Monitoring et observabilité | AWS EU (eu-west-1) |
| FullEnrich | Enrichissement de données | États-Unis (SCCs) |
| Clado | Enrichissement de données | États-Unis (SCCs) |
| Gladia | Transcription audio | France (EU) |
| MeetingBaas | Enregistrement et bots de réunion | France (EU) |
| ZeroEntropy | Indexation et recherche vectorielle | États-Unis (SCCs) |
5.2 Autres destinataires
- Autorités compétentes : en cas d'obligation légale
- Conseils professionnels : avocats, comptables (sous obligation de confidentialité)
Nous ne vendons jamais vos données personnelles à des tiers. Conformité Google API Services User Data Policy : L'utilisation par Cobalt des informations reçues via les APIs Google Workspace respecte la Google API Services User Data Policy, y compris les exigences de Limited Use. Les données obtenues via les APIs Google ne sont partagées avec aucun des sous-traitants listés ci-dessus à l'exception de ceux strictement nécessaires à la fourniture du Service (Scaleway pour l'hébergement sécurisé des données).
6. Transferts de données hors Union Européenne
Nos données principales sont hébergées en France et dans l'Union Européenne (Scaleway, Vercel, Mistral AI, PostHog EU, Dash0 EU).
Certains de nos sous-traitants sont basés aux États-Unis. Pour ces transferts, nous nous appuyons sur :
- Le Data Privacy Framework (DPF) : Resend et Stripe sont certifiés sous le EU-US Data Privacy Framework, reconnu par la Commission européenne comme offrant un niveau de protection adéquat
- Les Clauses Contractuelles Types (SCCs) : Pour FullEnrich et Clado, nous utilisons les clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914)
Ces mécanismes garantissent que vos données bénéficient d'un niveau de protection équivalent à celui offert par le RGPD.
7. Durées de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte actif | Pendant toute la durée de votre abonnement |
| Données après suppression du compte | 30 jours (période de récupération), puis suppression définitive |
| Données de facturation | 10 ans (obligation légale française) |
| Données de candidats/prospects | Supprimées à votre demande ou à la suppression de votre compte |
| Logs techniques et sécurité | 12 mois |
| Données analytics (anonymisées) | 24 mois |
| Cookies | Voir section 8 |
À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
8. Cookies et technologies similaires
8.1 Types de cookies utilisés
| Type | Finalité | Durée | Base légale |
|---|---|---|---|
| Cookies strictement nécessaires | Authentification, sécurité, fonctionnement | Session | Intérêt légitime |
| Cookies de performance | Analytics (PostHog) | 12 mois | Consentement |
| Cookies fonctionnels | Préférences utilisateur | 12 mois | Consentement |
8.2 Gestion de vos préférences
Vous pouvez à tout moment gérer vos préférences de cookies via le bandeau de consentement présent sur notre site ou dans les paramètres de votre navigateur.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Comment exercer vos droits
| Droit | Description |
|---|---|
| Accès | Obtenir une copie de vos données personnelles |
| Rectification | Corriger des données inexactes ou incomplètes |
| Effacement | Demander la suppression de vos données |
| Limitation | Restreindre temporairement le traitement |
| Portabilité | Recevoir vos données dans un format structuré |
| Opposition | Vous opposer au traitement basé sur l'intérêt légitime |
| Retrait du consentement | Retirer votre consentement à tout moment |
Réclamation auprès de l'autorité de contrôle
- Par email : privacy@cobalt-ia.com
- Dans l'application : Paramètres > Confidentialité > Exporter/Supprimer mes données
Nous répondrons à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas nous vous en informerons. Révocation de l'accès Google Vous pouvez à tout moment révoquer l'accès de Cobalt à vos données Google de deux manières : • Depuis Cobalt : Paramètres > Intégrations > Déconnecter votre compte Google • Depuis votre compte Google : Rendez-vous sur myaccount.google.com/permissions et supprimez l'accès accordé à Cobalt La révocation entraîne la cessation immédiate de toute interaction de Cobalt avec vos données Google. Les emails déjà envoyés via Gmail et les événements déjà créés dans Google Calendar ne sont pas supprimés, mais Cobalt ne pourra plus en envoyer ou en créer de nouveaux. Les tokens d'authentification OAuth sont supprimés de nos serveurs dès la déconnexion.
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL : Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy, TSA 80715 75334 Paris Cedex 07 www.cnil.fr
10. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement : Données chiffrées en transit (TLS 1.3) et au repos
- Contrôle d'accès : Authentification forte, principe du moindre privilège
- Infrastructure sécurisée : Hébergement certifié ISO 27001 (Scaleway)
- Surveillance : Monitoring continu et détection d'anomalies
- Sauvegardes : Sauvegardes régulières avec tests de restauration
- Formation : Sensibilisation de notre équipe à la protection des données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à nos obligations légales.
11. Utilisation de l'intelligence artificielle
Cobalt utilise des technologies d'intelligence artificielle (Mistral AI) pour certaines fonctionnalités :
- Recherche et matching de candidats
- Génération de documents
- Transcription et analyse de réunions
Important : - Aucune décision entièrement automatisée n'est prise sans intervention humaine - Les données traitées par l'IA ne sont pas utilisées pour entraîner des modèles tiers - Vous conservez le contrôle sur l'utilisation de ces fonctionnalités - Les données obtenues via les APIs Google Workspace (Gmail, Google Calendar) ne sont ni transmises aux modèles d'IA, ni utilisées pour entraîner, améliorer ou alimenter un quelconque modèle de machine learning ou d'intelligence artificielle, qu'il soit généralisé ou personnalisé.
12. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, techniques ou organisationnelles.
En cas de modification substantielle :
- Nous vous en informerons par email ou via une notification dans l'application
- La nouvelle version sera publiée sur cette page avec sa date de mise à jour
Votre utilisation continue du Service après modification vaut acceptation de la politique mise à jour.
13. Contact
Pour toute question concernant cette politique de confidentialité ou le traitement de vos données :
- Email : privacy@cobalt-ia.com
- Adresse : SKILLFORGE APP, Coignières (78310), France
Nous nous efforçons de répondre à toutes les demandes dans un délai de 5 jours ouvrés.
Cette politique de confidentialité est rédigée en français. En cas de traduction, la version française prévaut.
Pour toute question concernant cette politique, contactez-nous à : privacy@cobalt-ia.com