Cleo IA.
Politique de confidentialité générale
Cleo for Browser — Politique de Confidentialité

Extension navigateur (Chrome / Edge) · Dernière mise à jour : 16 juin 2026

Cleo for Browser prolonge votre compte Cleo IA dans Chrome et Edge. Elle ne collecte aucune donnée de navigation passive: toute extraction de contenu d'une page web est déclenchée par une action explicite de votre part(clic sur un bouton, raccourci, ou demande dans le chat). L'infrastructure backend est intégralement hébergée en Union Européenne.

1. En résumé

L'extension est une surface d'agent IA contextuelle. Elle lit le contenu de la page ou de l'onglet que vous lui pointez, et effectue les actions que vous demandez (résumer, sauvegarder dans votre RAG, rédiger un email, créer une tâche…). Toutes ces actions passent par votre compte Cleo IA et sont initiées par vous.

2. Données collectées

Uniquement sur action utilisateur explicite :

  • Contenu de page capturé : quand vous cliquez « Capturer » / un raccourci / demandez une action dans le chat, le contenu de la page courante (texte visible + métadonnées : titre, URL, OpenGraph) est envoyé à votre compte Cleo. Les champs sensibles (mots de passe, cartes bancaires, codes de sécurité) sont automatiquement exclus.
  • Sélection de texte: transmise uniquement quand vous l'activez explicitement.
  • Conversations du side panel: vos questions + réponses de l'agent, persistées dans votre workspace Cleo, comme une conversation chat classique.
  • Métadonnées de runs: statut, durée, modèle, tokens, crédits débités — pour la facturation et l'audit.
  • URL de la page courante: lorsque vous activez « Inclure le contexte de la page » et envoyez une demande, l'URL complète de l'onglet actif (y compris query string et fragment) est transmise au backend Cleo et incluse dans le contexte fourni au modèle (Anthropic) pour ce tour. En revanche, la copie stockée à des fins d'auditest anonymisée (scheme + host + hash SHA-256 du path tronqué) : aucun query string ni fragment n'est persisté dans les journaux d'audit. Si une page contient des informations sensibles dans son URL, désactivez « Inclure le contexte » avant d'envoyer.
3. Données NON collectées
  • Aucun tracking de navigation passive — l'extension n'enregistre ni ne transmet la liste des pages que vous visitez.
  • Aucune analytics produit (pas de Google Analytics, Mixpanel, etc.).
  • Aucun stockage de mots de passeni d'identifiants de sites tiers.
4. Content scripts & accès aux pages

Par transparence : l'extension installe un petit nombre de content scripts légers qui se chargent sur toutes les pages (détection d'article lisible, assistance à la rédaction dans les champs de texte, lecture de PDF). Ces scripts n'extraient et ne transmettent aucune donnée tant que vous ne déclenchez pas une action explicite (clic, raccourci, ou demande dans le chat). Ils servent uniquement à savoir si une fonctionnalité est proposable sur la page courante.

Les ~34 surcouches spécifiques par site(LinkedIn, HubSpot, Salesforce, Gmail, Notion, GitHub, etc.) ne se chargent que sur leurs domaines respectifs et restent inertes jusqu'à une action de votre part.

Aucune navigation n'est journalisée. Le contenu d'une page ne quitte votre navigateur que lorsque vousdemandez à Cleo d'agir dessus.

5. Authentification

L'authentification utilise OAuth via votre compte Cleo IA. Les tokens d'accès sont stockés localement dans chrome.storage.local(chiffré au repos par le système d'exploitation sur les OS modernes), jamais exposés à des tiers. Le token est rafraîchi automatiquement. Vous déconnecter depuis l'icône de l'extension purge immédiatement toutes les données locales.

6. Permissions par-site

Pour lire ou agirsur le contenu d'un site, l'extension demande l'autorisation d'accès au moment où vous le demandez, domaine par domaine, via le mécanisme natif de permissions de Chrome/Edge. Sans cet accord, Cleo ne peut pas lire le contenu du site. Vous pouvez révoquer l'accès d'un domaine à tout moment depuis l'interface de l'extension → Permissions, ou depuis les réglages du navigateur.

7. Localisation des données
  • Backend : Vercel + Supabase, région UE (Francfort).
  • Modèles LLM (conversations agent) : Anthropic, sous DPA conforme UE.
  • Stockage RAG : S3 UE (Francfort).
  • Dictée vocale: si vous utilisez le micro du composer, l'audio enregistré est transmis à OpenAI (États-Unis) pour la transcription (modèle gpt-4o-mini-transcribe). C'est le seul flux qui sort de l'UE, et il n'a lieu que sur votre action explicite (clic micro / Maj+Espace). L'audio n'est pas conservé après transcription.
  • Hors dictée vocale, aucun transfert hors UE dans le flux normal.
8. Partage avec des tiers

Les seuls tiers qui reçoivent des données :

  • Anthropic — traitement LLM des conversations (le prompt inclut votre demande, le contenu que vous fournissez explicitement et les résultats des outils).
  • OpenAI (États-Unis) — transcription de la dictée vocale uniquement, sur votre action explicite (cf. section 7).
  • Supabase — base de données + auth.
  • Vercel — hébergement compute.

Aucun partage publicitaire, aucune revente de données.

9. Rétention
  • Conversations side panel : conservées tant que votre compte Cleo est actif, supprimables à la demande.
  • Captures RAG : conservées dans votre workspace, supprimables individuellement ou en bulk.
  • Métadonnées de runs (audit) : conservées pour la facturation.
10. Vos droits (RGPD)
  • Droit d'accès / portabilité : export depuis votre espace Cleo IA.
  • Droit de rectification / suppression : depuis votre espace Cleo IA ou par email à privacy@cleoia.com.
  • Droit d'opposition : la désinstallation de l'extension supprime immédiatement tout le contenu local.
11. Sécurité
  • TLS 1.3 obligatoire pour tous les échanges réseau.
  • Tokens d'authentification jamais persistés en clair côté serveur.
  • Chiffrement client-side des captures RAG (clé dérivée du mot de passe du workspace).
  • Audits de sécurité réguliers.
12. Modifications

Cette politique peut être mise à jour. Toute modification matérielle sera notifiée via votre espace Cleo IA et reflétée sur cette page.

Pour toute question relative à la confidentialité de l'extension : privacy@cleoia.com.