Confidentialité et Conformité
Caiioo est un logiciel à exécution locale. Nous ne traitons pas, ne stockons pas et n'accédons pas à vos données. Tout le traitement se fait sur votre appareil, dans votre navigateur, sous votre contrôle.
Certifié Sécurité ESOFFonctionnement
Caiioo est une application logicielle locale et un système multiplateforme qui s'exécute entièrement sur des appareils locaux. Contrairement aux plateformes SaaS, l'entreprise ne possède aucun serveur qui reçoit, traite ou stocke vos conversations, requêtes, paramètres, résultats ou pièces jointes. Toutes les connexions aux services d'IA tiers sont établies directement depuis votre appareil à l'aide de vos identifiants. Nous sommes un éditeur de logiciels, nos seuls services cloud servant à la licence et au relais privé chiffré.
Traitement des données et vie privée
Statut de non-sous-traitant
Caiioo est une application logicielle à exécution locale. Contrairement aux plateformes SaaS, l'entreprise Caiioo ne traite pas, ne stocke pas et n'a pas accès aux données manipulées par l'extension. Tout le traitement des données se produit dans l'environnement local du navigateur de l'utilisateur.
En vertu du RGPD, Caiioo est un éditeur de logiciels, et non un sous-traitant de données, car nous ne manipulons pas de données personnelles pour le compte du client.
Zéro exportation de données
L'extension est conçue pour fonctionner comme une enveloppe sécurisée. Aucune information confidentielle, requête ou donnée personnelle n'est jamais envoyée aux serveurs de caiioo.
Les seules données exportées vers nos systèmes se limitent aux métadonnées non sensibles de facturation et de gestion de compte : e-mail, nom d'affichage et avatar.
HIPAA et conformité réglementaire
Pas d'entité associée (Business Associate)
Caiioo ne crée, ne reçoit, ne conserve ni ne transmet d'informations de santé protégées (PHI) telles que définies par la loi HIPAA. L'extension fonctionne comme un outil local, similaire à un éditeur de texte local ou à un navigateur.
Parce que Caiioo (l'entreprise) n'a jamais d'accès habituel aux données traitées par l'utilisateur, elle ne se qualifie pas comme associé commercial ou sous-traitant.
Connectivité contrôlée par l'utilisateur
Toute connexion à des LLM tiers est établie directement depuis l'appareil de l'utilisateur. Caiioo n'agit pas comme un proxy ou un intermédiaire pour ces flux de données. Vos clés API, vos identifiants, votre connexion directe.
Architecture de sécurité
Applicabilité SOC 2
Caiioo n'héberge, ne stocke ni ne gère les données des clients. À ce titre, un audit SOC 2 Type II — qui se concentre sur les contrôles des services cloud — n'est pas applicable à notre modèle d'affaires. Notre priorité sécuritaire porte sur :
- L'intégrité du code — versions signées cryptographiquement et piste d'audit ouverte
- Sandbox sécurisée — l'architecture de l'extension de navigateur impose une isolation stricte
Conformité RGPD
Nous sommes entièrement conformes au RGPD grâce à la minimisation des données et à la protection de la vie privée dès la conception (Privacy by Design). En garantissant que nous ne recevons jamais de données à caractère personnel, nous éliminons les risques liés à la résidence des données et aux transferts internationaux.
- Minimisation des données — nous collectons uniquement l'e-mail, le nom et l'avatar pour l'identification du compte
- Privacy by Design — l'architecture rend impossible l'accès à vos données par nos services
Caiioo est une application client à point d'entrée zéro. En s'exécutant entièrement dans le bac à sable sécurisé du navigateur et en n'initiant que des connexions sortantes autorisées par l'utilisateur vers des fournisseurs SaaS existants, Caiioo offre des capacités d'IA sans étendre la surface d'attaque externe de l'organisation.
Principes de sécurité architecturale
L'architecture de Caiioo élimine par conception des catégories entières de risques.
Aucune augmentation de la surface d'attaque
Caiioo n'agit pas comme un serveur — c'est un agent côté client. L'extension n'ouvre aucun port sur l'appareil de l'utilisateur ou sur le pare-feu de l'entreprise. Les connexions à Google Workspace ou aux Cloud LLM sont initiées en sortie du navigateur, en utilisant les mêmes protocoles HTTPS/TLS déjà approuvés par l'organisation. Comme il n'y a pas de « Cloud Caiioo » agissant comme proxy, un attaquant ne peut pas compromettre l'infrastructure de Caiioo pour accéder au réseau interne du client.
L'enveloppe sécurisée
Caiioo fonctionne dans le bac à sable des extensions Chrome/Edge. Cela assure une isolation des processus — le logiciel ne peut pas accéder au système de fichiers de l'utilisateur ou à d'autres applications en dehors du navigateur — et une délimitation des permissions, où l'extension n'interagit qu'avec les pages web et les API spécifiquement autorisées par l'utilisateur.
Flux de données non-custodial
Caiioo (l'entreprise) n'est jamais partie prenante de l'échange de données. Dans le modèle standard, les données circulent directement du navigateur vers le fournisseur de LLM. Dans le modèle local, les données ne quittent jamais l'appareil de l'utilisateur. Dans les deux scénarios, les serveurs de Caiioo ne gèrent que les métadonnées liées au statut de l'abonnement — jamais le contenu des requêtes ou des documents.
Modèles de déploiement
Standard (Cloud Hybride)
Le navigateur se connecte directement aux fournisseurs d'IA cloud et à Google Workspace. L'authentification Caiioo ne reçoit que les métadonnées de facturation.
Air-Gapped (Entièrement local)
Tout le traitement d'IA s'effectue via un serveur Ollama local. La seule connexion sortante est la validation de la licence. Aucune exportation de données.
Vérifiez par vous-même
Les affirmations de confidentialité sur cette page sont structurelles — elles tiennent grâce à la manière dont le code est écrit, et non par simple promesse. Nous avons publié les fichiers critiques pour la sécurité dans un dépôt public afin que chacun puisse les lire, les auditer ou s'y référer.
Lire le code critique pour la sécurité sur GitHubCe qui se trouve dans le dépôt public
- Le module de connexion OAuth — prouve que les jetons OAuth Google Workspace sont stockés chiffrés sur votre appareil, et non sur nos serveurs.
- Le WebSocket Durable Object du relais — prouve que le bus de messages est chiffré de bout en bout ; nous acheminons le texte chiffré mais ne pouvons pas le lire.
- Le gestionnaire d'échange de code OAuth — prouve qu'il s'agit d'un proxy sans état qui ne conserve pas les jetons.
- Le schéma complet de la base de données et les migrations — prouve quelles colonnes nous possédons et, plus important encore, celles que nous n'avons pas.
- Un récit ARCHITECTURE.md — relie chaque affirmation de confidentialité à un fichier et une ligne spécifiques.
Ce qui n'est pas dans le dépôt public
L'orchestrateur agentique, l'interface utilisateur du panneau latéral, les modes et prompts, les outils d'administration internes et les scripts de déploiement restent propriétaires. Ils ne sont pas porteurs des garanties de confidentialité, et leur passage en open-source est une décision distincte.
Surveillez le trafic réseau réel
Si la lecture de code n'est pas votre méthode de vérification préférée, lancez un moniteur réseau (Little Snitch sur macOS, GlassWire sur Windows, Wireshark partout ailleurs) tout en utilisant caiioo. Vos données Google Workspace vont de votre appareil à Google, un point c'est tout. Le trafic vers notre infrastructure couvre une petite liste énumérable d'opérations : échange de code OAuth, validation de licence, récupération de contenu, le bus de messages chiffrés de dispositif à dispositif et les webhooks de messagerie facultatifs. Aucun d'entre eux ne transporte votre contenu Workspace.
Consulter le tableau complet du trafic dans notre article de blog →Vous avez trouvé un problème de sécurité ?
Nous traitons les chercheurs en sécurité comme des collaborateurs. Envoyez un e-mail à [email protected], ou lisez la politique de divulgation complète dans SECURITY.md dans le dépôt de transparence. Nous nous engageons à accuser réception sous deux jours ouvrables.
Architecture des flux de données
Comprendre où vivent vos données et qui peut y accéder.
Votre appareil
- Conversations et historique
- Clés API et identifiants
- Paramètres et préférences
- Fichiers et pièces jointes
Connexion directe
Votre appareil se connecte directement aux fournisseurs d'IA (OpenRouter, Ollama, Google, etc.) en utilisant vos identifiants. Caiioo n'est jamais au milieu de cette connexion.
Serveurs Caiioo
- Aucune donnée de conversation
- Aucune information personnelle
- Uniquement les métadonnées de facturation
Caiioo c. Services Cloud d'IA
Moins d'étapes, aucune copie externe permanente, et un stockage local prioritaire signifient moins de surfaces d'attaque.
Vous
Plateforme SaaS (Centralisée)
Intermédiaire d'intégration
Pipeline d'IA interne (caché)
Chaque étape = une autre copie de vos données hors de votre contrôle
sur des serveurs que vous ne contrôlez pas
- Leur base de données centrale
- Leur pipeline d'entraînement
- Leurs systèmes d'analyse
- Les journaux de leurs sous-traitants
- Les systèmes de leurs partenaires
- Services en aval inconnus
Vous
Votre appareil (Local-First)
Option A : Local (Ollama)
Reste dans les limites de l'appareil
Option B : OpenRouter (ZDR)
Prompt entrant → Réponse sortante → Rien n'est conservé.
Seul le prompt actuel est envoyé (sans état). Garanti par contrat.
Externe — franchit les limites de l'appareil
BYOA — Apportez votre propre compte
sur les serveurs de tiers
- Votre appareil
Pas de journaux. Pas de stockage. Pas d'entraînement.
Appliqué contractuellement par OpenRouter.
Le filtre ZDR de Caiioo garantit que seuls
les modèles conformes ZDR sont affichés.
Comparaison concrète des risques : surface d'attaque par scénario
| Scénario de risque | SaaS traditionnel | Caiioo | Surface d'attaque |
|---|---|---|---|
| Violation de données centralisée Un attaquant compromet l'infrastructure du serveur | ✘ Des millions de chats, fichiers et données personnelles d'utilisateurs exposés en un seul événement. Base de données centralisée = cible idéale. | ✔ Aucun stockage centralisé n'existe à compromettre. Les données de chaque utilisateur résident uniquement sur leur appareil. Le risque individuel demeure, mais pas d'exposition massive. | ● ÉLEVÉEvs● MINIMALE |
| Rétention des données du pipeline IA Vos prompts stockés dans les journaux du fournisseur | ✘ Le SaaS conserve les prompts 30 à 90+ jours pour « l'amélioration du service ». Les sous-traitants peuvent également les conserver. | ✔ OpenRouter impose la ZDR — pas de rétention de journaux, pas de stockage. Les modèles locaux ne conservent rien.* | ● ÉLEVÉEvs● MINIMALE |
| Fuite de la chaîne d'approvisionnement / sous-traitant Données transmises à une IA tierce sans consentement | ✘ Le SaaS peut acheminer les données via des sous-traitants inconnus. Aucune garantie ZDR en aval. | ✔ La ZDR d'OpenRouter couvre tous les fournisseurs affichés lorsque le filtrage ZDR est activé. Les modèles locaux n'ont aucune exposition réseau. | ● ÉLEVÉEvs● MINIMALE |
| Entraînement de modèles sur vos données Conversations privées utilisées pour entraîner l'IA | ✘ Option de désactivation enfouie dans les paramètres, souvent activée par défaut pour les comptes gratuits. Les sous-traitants peuvent s'entraîner sur les données conservées. | ✔ Les fournisseurs ZDR n'ont aucune donnée pour s'entraîner. Le trafic API est contractuellement exclu. Les modèles locaux ne quittent jamais l'appareil. | ● ÉLEVÉEvs● MINIMALE |
| Spearphishing / Attaques d'identité Les conversations IA fuitées alimentent des attaques ciblées | ✘ Les chats piratés révèlent intérêts, emplois du temps, contacts, style d'écriture — idéal pour le phishing ciblé. | ✔ Pas de stockage côté serveur = pas de données en vrac pour les attaquants. Un traitement bref en transit existe, mais aucune donnée persistante à exfiltrer. | ● ÉLEVÉEvs● MINIMALE |
| Profilage comportemental et d'utilisation Données d'utilisation agrégées en profils | ✘ Les politiques de confidentialité permettent généralement l'analyse de l'utilisation, le partage de données avec des partenaires et le profilage comportemental. | ✔ Pas de pipeline d'analyse. Pas d'accès partenaire. Pas de journaux conservés. Caiioo traite localement ; OpenRouter ne stocke pas les conversations. | ● ÉLEVÉEvs● MINIMALE |
| Requêtes gouvernementales / judiciaires Assignations, mandats et ordonnances de données massives | ✘ L'entreprise doit se conformer. Les journaux conservés et les dossiers des sous-traitants peuvent tous être exigés. | ✔ Aucune donnée côté serveur à assigner — les fournisseurs ZDR ne conservent rien. Private Sync est chiffré de bout en bout. | ● ÉLEVÉEvs● MINIMALE |
| Changements unilatéraux de politique / CGU L'entreprise élargit rétroactivement l'utilisation des données | ✘ Ils détiennent vos données. Des CGU rétroactives peuvent étendre l'utilisation à l'entraînement, la publicité ou le partage. | ✔ Caiioo ne détient aucune donnée à monétiser. Les fournisseurs ZDR ne conservent rien. Les changements de politique ne peuvent pas affecter ce qui n'a jamais été stocké. | ● ÉLEVÉEvs● MINIMALE |
* Ce tableau suppose que le filtre ZDR de Caiioo est activé. Lorsque le mode ZDR est activé, Caiioo n'affiche que les modèles d'IA pour lesquels OpenRouter impose contractuellement une rétention de données nulle — les fournisseurs qui n'offrent pas de ZDR sont automatiquement exclus de la liste des modèles.
LA DIFFÉRENCE FONDAMENTALE
Le SaaS traditionnel crée un pote de miel centralisé de données intimes, puis les transmet via une chaîne opaque de sous-traitants sans aucune garantie de rétention de données nulle.
Caiioo garde les données sur votre appareil, exécute l'IA localement via Ollama ou achemine les appels via la passerelle ZDR d'OpenRouter, et se connecte aux outils directement avec vos propres identifiants (BYOA) — garantissant que zéro copie permanente de vos données n'existe sur aucun serveur.
Comment Caiioo protège-t-il ma vie privée ?
Caiioo a été conçu dès le départ comme une plateforme d'agents privilégiant la confidentialité. Voici les protections concrètes intégrées à chaque couche du produit.
Caiioo a été architecturé par des Fellows of Information Privacy (FIP), des experts en sécurité certifiés CISSP, des professionnels de la confidentialité certifiés CIPP et des professionnels de la gouvernance de l'IA certifiés AIGP, en consultation avec des conseillers en protection des données — ce qui en fait la première plateforme agentique véritablement « privacy-by-design » construite dès le départ.
| N° | Principe de confidentialité | Notre solution | Fonctionnement |
|---|---|---|---|
| 1 | Minimisation des données | Minimisation radicale des données | Nous collectons uniquement votre adresse e-mail et votre nom d'affichage pour la facturation du compte. Aucune donnée d'utilisation, aucun historique de navigation, aucun contenu de conversation, aucune analyse — rien d'autre. Jamais. |
| 2 | Information et consentement | Consentement d'action juste-à-temps | Avant que l'IA n'effectue une action importante ou ne se connecte à un tiers externe, Caiioo affiche une notification claire indiquant l'intention, les détails de l'action et le niveau de risque — nécessitant votre approbation explicite. |
| 3 | Portabilité des données | Portabilité totale des données | Vos données vous appartiennent et peuvent être exportées à tout moment via le système de sauvegarde et de restauration intégré. Vous n'êtes jamais prisonnier — emportez vos conversations, vos paramètres et vos configurations avec vous. |
| 4 | Confidentialité et intégrité | Synchronisation privée chiffrée à connaissance nulle (Zero-Knowledge) | Chiffrement AES-256-GCM avec dérivation de clé PBKDF2 (100 000 itérations). Données stockées dans votre Google Drive, encapsulées dans un chiffrement que même Google ne peut lire. Si vous perdez votre phrase secrète, même nous ne pourrons pas les récupérer. |
| 5 | Limitation des finalités | Zéro analyse et télémétrie | Aucun service d'analyse, aucun pixel de suivi, aucune collecte d'événements, aucun rapport d'erreur sortant. Nous n'avons aucune visibilité sur la façon dont vous utilisez le produit. |
| 6 | Consentement et transparence | Demandes de permissions incrémentales | Les accès OAuth ne sont demandés que lors de la première utilisation d'une fonctionnalité spécifique — pas au préalable. Une explication claire de ce qui est demandé et pourquoi est fournie à chaque fois. |
| 7 | Droit à l'effacement (Art. 17) | Droit à l'effacement | Outils complets de suppression des données, de la précision chirurgicale à la purge totale. Effacez des conversations individuelles, videz les caches ou supprimez l'intégralité des données — vous gardez le contrôle. |
| 8 | Limitation de la conservation | Gardez l'essentiel, jetez le reste | Contrairement aux plateformes qui imposent une suppression de type tout ou rien, Caiioo vous permet de marquer ce qu'il faut garder et de rejeter automatiquement le reste. Des politiques de rétention configurables nettoient les données accumulées au fil du temps. |
| 9 | Confidentialité dès la conception et par défaut | Architecture Local-First | Exécutez des modèles d'IA localement avec Ollama, utilisez la reconnaissance vocale (Whisper) et la synthèse vocale (Kokoro) sur l'appareil, et stockez tout localement. Fonctionne entièrement hors ligne — aucune donnée n'a besoin de quitter votre machine. |
| 10 | Limitation du stockage | Sélection de modèles avec Zero Data Retention | Filtrez et sélectionnez des modèles d'IA avec des politiques ZDR — le fournisseur traite votre requête et la supprime immédiatement. Pas de journaux, pas d'entraînement, pas de rétention. |
| 11 | Droits des personnes concernées | Contrôles de localisation granulaires | Choisissez entre l'absence de partage de position, la précision au niveau de la ville ou l'adresse complète. Désactivez l'option en un clic — toutes les données de localisation en cache sont immédiatement et définitivement effacées. |
| 12 | Transparence | Actions d'IA transparentes | Chaque outil capable d'écrire, modifier, envoyer ou supprimer des données nécessite votre approbation explicite. Les outils en lecture seule (recherche, navigation, résumé) s'exécutent sans interruption. Vous visualisez l'intention, les détails de l'action et le niveau de risque avant toute exécution ayant des effets secondaires. Rien de conséquent n'est caché ou automatique. |
Des questions sur notre posture de sécurité ?
Lisez notre politique de confidentialité complète pour des informations détaillées sur la circulation des données via l'extension, ou commencez avec Caiioo dès aujourd'hui.