Politique de Confidentialité & RGPD

Le responsable du traitement des données personnelles collectées via le Service KRYVA est :

• Raison sociale : Sacha RUER (nom commercial : KRYVA)
• Siège social : 59 rue des Muscats, 11510 Caves
• SIRET : 10241278000011
• E-mail du DPO (Délégué à la Protection des Données) : dpo@kryva.fr
• E-mail de contact général : contact@kryva.fr

Le responsable du traitement détermine les finalités et les moyens du traitement des données personnelles dans le cadre de la fourniture du Service.

Dans le cadre de l'utilisation du Service, les catégories de données personnelles suivantes sont collectées :

2.1. Données d'identification et de compte 2.2. Données professionnelles de l'Organisation 2.3. Données de facturation 2.4. Données techniques 2.5. Données de paiement

Les données de paiement (numéro de carte bancaire, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par Stripe Inc., prestataire de paiement certifié PCI-DSS niveau 1. L'éditeur n'a jamais accès aux données de carte bancaire complètes.

Les données personnelles sont traitées pour les finalités suivantes :

1. Fourniture du Service : Création et gestion du compte, accès aux fonctionnalités, génération de documents commerciaux, utilisation de l'IA ARC ;
2. Gestion de la relation commerciale : Facturation de l'abonnement, support client, communication relative au Service ;
3. Conformité légale : Respect des obligations fiscales et comptables (conservation des factures), vérification d'identité (KYB), lutte contre la fraude ;
4. Sécurité : Protection des comptes, prévention des accès non autorisés, détection des comportements anormaux ;
5. Amélioration du Service : Analyse agrégée et anonymisée des métriques d'utilisation pour l'optimisation des fonctionnalités.

Aucun traitement n'est effectué à des fins de prospection commerciale par des tiers, de profilage publicitaire ou de revente de données.

4.1. Localisation des données

L'ensemble des données personnelles et professionnelles des Utilisateurs est hébergé au sein de l'Union Européenne :

• Base de données et authentification : Supabase (infrastructure AWS, région eu-west-1 — Irlande et/ou eu-central-1 — Francfort, Allemagne)
• Fichiers et documents : Supabase Storage (même infrastructure européenne)
• Application front-end : Vercel (CDN mondial avec edge functions, données applicatives non stockées)

Aucune donnée personnelle n'est transférée hors de l'Espace Économique Européen (EEE) pour le stockage ou le traitement principal. 4.2. Sous-traitants et transferts ponctuels

Certains sous-traitants techniques peuvent être situés hors de l'EEE :

Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision d'exécution 2021/914) et/ou le Data Privacy Framework UE-US.

Les données transmises à notre fournisseur d'IA (Anthropic) sont traitées de manière transactionnelle (requête-réponse) et ne sont pas conservées ni utilisées pour l'entraînement des modèles.

4.3. Mesures de sécurité

L'éditeur met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement en transit : TLS 1.3 pour toutes les communications ;
• Chiffrement au repos : AES-256 pour les données stockées (base de données et fichiers) ;
• Authentification sécurisée : Hachage bcrypt des mots de passe, tokens JWT signés, sessions avec expiration ;
• Row Level Security (RLS) : Isolation des données entre Organisations au niveau de la base de données ;
• Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention de 7 jours ;
• Monitoring : Surveillance continue des accès et alertes en cas d'activité suspecte ;
• Principe du moindre privilège : Accès aux données limité au strict nécessaire pour chaque fonction.

Les données personnelles sont conservées pendant les durées suivantes :

À l'issue de ces durées, les données sont supprimées de manière définitive et irréversible, ou anonymisées de sorte qu'aucune identification ne soit possible.

En cas de résiliation de l'abonnement, l'Utilisateur dispose d'un délai de trente (30) jours pour exporter ses données. Passé ce délai, les données non soumises à obligation légale de conservation sont supprimées.

Conformément au RGPD, l'Utilisateur dispose des droits suivants sur ses données personnelles :

6.1. Droit d'accès (art. 15 RGPD) L'Utilisateur peut obtenir la confirmation que des données le concernant sont traitées et en recevoir une copie. 6.2. Droit de rectification (art. 16 RGPD) L'Utilisateur peut demander la correction de données inexactes ou incomplètes. La plupart des données peuvent être modifiées directement depuis les paramètres du compte. 6.3. Droit à l'effacement (art. 17 RGPD) L'Utilisateur peut demander la suppression de ses données personnelles, sous réserve des obligations légales de conservation (notamment les factures — 10 ans). 6.4. Droit à la limitation du traitement (art. 18 RGPD) L'Utilisateur peut demander la limitation du traitement de ses données dans les cas prévus par le RGPD. 6.5. Droit à la portabilité (art. 20 RGPD) L'Utilisateur peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON). Les fonctionnalités d'export du Service permettent d'exercer ce droit directement. 6.6. Droit d'opposition (art. 21 RGPD) L'Utilisateur peut s'opposer au traitement de ses données fondé sur l'intérêt légitime, pour des raisons tenant à sa situation particulière. 6.7. Droit de retirer son consentement (art. 7.3 RGPD) Lorsque le traitement est fondé sur le consentement, l'Utilisateur peut le retirer à tout moment, sans que cela ne remette en cause la licéité du traitement fondé sur le consentement donné avant le retrait. 6.8. Exercice des droits

Toute demande relative à l'exercice de ces droits peut être adressée à :

• E-mail : dpo@kryva.fr
• Courrier : 59 rue des Muscats, 11510 Caves, à l'attention du Délégué à la Protection des Données

L'éditeur s'engage à répondre à toute demande dans un délai maximum de trente (30) jours à compter de la réception. Ce délai peut être prolongé de deux (2) mois en cas de complexité de la demande.

Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.

6.9. Réclamation auprès de la CNIL

Si l'Utilisateur estime que ses droits ne sont pas respectés, il peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site web : https://www.cnil.fr
• Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22

7.1. Traitement des données par l'IA

Lorsque l'Utilisateur interagit avec l'assistant ARC, les données nécessaires au traitement de la requête (textes, descriptions, données de chiffrage) sont transmises de manière sécurisée à Anthropic (Claude) via des API chiffrées.

7.2. Engagements des fournisseurs d'IA

• Aucune rétention de données : Les données transmises sont traitées en temps réel et ne sont pas stockées par les fournisseurs au-delà de la durée de traitement de la requête (politique « zero data retention ») ;
• Aucun entraînement : Les données de l'Utilisateur ne sont jamais utilisées pour entraîner, affiner ou améliorer les modèles d'IA des fournisseurs ;
• Chiffrement : Toutes les communications avec les API d'IA sont chiffrées en TLS 1.3.

7.3. Minimisation des données

L'éditeur applique le principe de minimisation des données : seules les informations strictement nécessaires au traitement de la requête sont transmises à l'IA. Les données personnelles des clients de l'Utilisateur (noms, adresses) ne sont transmises que lorsqu'elles sont indispensables à la fonctionnalité demandée (par exemple, la génération d'un devis nominatif).

7.4. Décision automatisée

Le Service n'effectue aucune décision entièrement automatisée produisant des effets juridiques ou significatifs au sens de l'article 22 du RGPD. L'IA fournit des suggestions qui sont systématiquement soumises à la validation de l'Utilisateur avant toute action.

Conformément à l'article 28 du RGPD, l'éditeur fait appel aux sous-traitants suivants pour le traitement des données personnelles :

L'éditeur veille à ce que chaque sous-traitant présente des garanties suffisantes en matière de protection des données personnelles et signe un accord de traitement des données (DPA — Data Processing Agreement) conforme à l'article 28 du RGPD.

L'Utilisateur sera informé de tout changement de sous-traitant impliquant un traitement de données personnelles.

Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, l'éditeur s'engage à :

1. Notifier la CNIL dans un délai maximum de 72 heures après en avoir pris connaissance ;
2. Informer les Utilisateurs concernés dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD) ;
3. Documenter l'incident, son étendue, ses conséquences et les mesures correctives prises ;
4. Mettre en œuvre les mesures techniques et organisationnelles nécessaires pour remédier à la violation et prévenir sa récurrence.

L'éditeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de l'adapter aux évolutions légales, réglementaires ou techniques.

Toute modification substantielle sera notifiée à l'Utilisateur par e-mail ou par notification au sein du Service au minimum quinze (15) jours avant son entrée en vigueur.

La date de dernière mise à jour est indiquée en tête de la présente politique.

La poursuite de l'utilisation du Service après notification de la modification vaut acceptation de la nouvelle politique.

Pour toute question relative à la protection de vos données personnelles ou à la présente politique, vous pouvez contacter :

• Délégué à la Protection des Données (DPO) : dpo@kryva.fr
• Support général : contact@kryva.fr
• Adresse postale : 59 rue des Muscats, 11510 Caves, à l'attention du DPO

L'éditeur s'engage à traiter toute demande avec diligence et dans le respect des délais légaux.