Politique de Confidentialité
Dernière mise à jour : 25 janvier 2025 | Version 1.0
KYOVALT SAS s'engage à protéger la vie privée de ses utilisateurs et des personnes dont les documents sont collectés via notre plateforme. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable du traitement
Raison sociale : KYOVALT SAS
Numéro RCS : RCS Paris B 123 456 789
Numéro TVA : FR12345678901
Siège social : 123 rue Example, 75001 Paris
Capital social : 10 000 €
Dirigeant : Nom du Dirigeant
Délégué à la Protection des Données (DPO) :
Email : dpo@kyofiles.fr
Adresse : KYOVALT SAS - DPO, 123 rue Example, 75001 Paris
2. Données personnelles collectées
2.1 Utilisateurs de la plateforme (Clients B2B)
- Données d'identification : nom, prénom, adresse email professionnelle
- Données professionnelles : nom de l'entreprise, secteur d'activité, fonction
- Données de connexion : adresse IP, logs d'accès, données de session
- Données de facturation : coordonnées de facturation, historique des paiements
2.2 Personnes dont les documents sont collectés (Tiers)
- Documents uploadés : pièces d'identité, justificatifs de domicile, documents professionnels
- Données extraites par l'IA : identités, adresses, informations d'entreprise (SIRET/SIREN)
- Données techniques : adresse IP (pour filigrane de sécurité), empreinte du navigateur
- Données de consentement : signature électronique, horodatage, preuve de consentement
2.3 Visiteurs du site
- Données de navigation : pages visitées, durée de visite (si consentement analytics)
- Données techniques : type de navigateur, système d'exploitation, résolution d'écran
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service de collecte documentaire | Article 6(1)(b) - Exécution du contrat |
| Analyse anti-fraude par IA (RITA) | Article 6(1)(a) - Consentement explicite |
| Vérification d'identité (KYC/KYB) | Article 6(1)(c) - Obligation légale (LCB-FT) |
| Sécurité et prévention des fraudes | Article 6(1)(f) - Intérêt légitime |
| Facturation et comptabilité | Article 6(1)(c) - Obligation légale |
| Analytics et amélioration du service | Article 6(1)(a) - Consentement |
4. Décisions automatisées et Intelligence Artificielle
Notre système RITA (Risk Intelligence for Threat Analysis) utilise des technologies d'intelligence artificielle pour analyser les documents soumis. Cette analyse peut conduire à des décisions automatisées concernant le niveau de risque d'un dossier.
Garanties de protection des données :
- Traitement par un fournisseur disposant d'une entité européenne, conformément au RGPD
- Data Processing Agreement (DPA) avec EU SCCs en place
- Suppression automatique des données après 30 jours maximum
- Vos données ne sont PAS utilisées pour entraîner les modèles IA
Conformément à l'Article 22 du RGPD, vous avez le droit :
- D'obtenir une intervention humaine
- D'exprimer votre point de vue
- De contester la décision automatisée
5. Durées de conservation
La conservation est principalement déterminée par la date d'expiration du dossier configurée par l'utilisateur qui initie la demande (par défaut 30 jours, ajustable selon le besoin). Une purge automatique supprime les données lorsque le dossier expire.
| Type de données | Durée de conservation |
|---|---|
| Documents collectés | Jusqu'à la date d'expiration du dossier, puis suppression automatique |
| Analyses RITA | Conservées avec le dossier et supprimées lors de sa purge |
| Scores de risque | Conservés uniquement pour le traitement et la traçabilité du dossier |
| Logs de sécurité | Conservés le temps nécessaire à la sécurité et aux obligations légales |
| Données de facturation | 10 ans (obligation légale comptable) |
| Preuves de consentement | Conservées tant que le dossier est actif, puis supprimées avec le dossier |
La suppression intervient à l'expiration du dossier via une purge automatique planifiée.
6. Destinataires et sous-traitants
Vos données peuvent être transmises aux catégories de destinataires suivantes, dans le strict respect du RGPD et sur la base d'accords de traitement de données (DPA) :
| Sous-traitant | Finalité | Localisation / Garanties |
|---|---|---|
| Supabase | Hébergement, base de données, stockage | Paris, France (UE) |
| Fournisseur IA | Analyse automatisée des documents (RITA) - Rétention max 30 jours | Entité européenne (UE) - DPA avec EU SCCs |
| Stripe | Paiements et facturation | Irlande (UE) + EU SCCs |
| Resend | Envoi d'emails transactionnels | EU SCCs |
| Yousign | Signature électronique | France (UE) |
| Service d'analytics | Mesure d'audience (si consentement) | Union Européenne |
EU SCCs = Clauses Contractuelles Types adoptées par la Commission Européenne (juin 2021). Un Data Processing Agreement (DPA) est en place avec chaque sous-traitant.
7. Transferts de données hors Union Européenne
Nos principaux sous-traitants disposent d'entités européennes ou de garanties appropriées :
- Hébergement et base de données : Francfort, Allemagne (UE)
- Services d'intelligence artificielle : entité européenne avec DPA et EU SCCs
- Paiements : entité européenne (Irlande) avec garanties RGPD
- Signature électronique : France (UE)
Lorsque des transferts hors UE sont nécessaires, ils sont encadrés par :
- Les Clauses Contractuelles Types (EU SCCs) adoptées par la Commission Européenne (juin 2021)
- Des mesures de sécurité supplémentaires (chiffrement de bout en bout, pseudonymisation)
- L'évaluation des risques liés à la législation du pays tiers (Transfer Impact Assessment)
Note : Les données traitées par nos services d'IA sont supprimées automatiquement après un maximum de 30 jours et ne sont pas utilisées pour l'entraînement des modèles conformément à nos accords de traitement de données.
8. Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos
- Authentification : Authentification forte, sessions sécurisées
- Contrôle d'accès : Principe du moindre privilège, RLS (Row Level Security)
- Surveillance : Monitoring 24/7, détection d'intrusion
- Audits : Tests de pénétration réguliers, revues de sécurité
- Formation : Sensibilisation du personnel à la protection des données
En cas de violation de données, nous vous informerons dans les 72 heures conformément à l'Article 33 du RGPD et notifierons la CNIL si nécessaire.
9. Vos droits
Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données personnelles
Droit de rectification
Corriger des données inexactes ou incomplètes
Droit à l'effacement
Demander la suppression de vos données
Droit à la limitation
Restreindre certains traitements
Droit à la portabilité
Récupérer vos données dans un format structuré
Droit d'opposition
Vous opposer à certains traitements
Pour exercer vos droits :
- Email : dpo@kyofiles.fr
- Courrier : KYOVALT SAS - DPO, 123 rue Example, 75001 Paris
Nous répondrons dans un délai d'un mois (extensible de deux mois en cas de demande complexe). Une pièce d'identité pourra vous être demandée pour vérifier votre identité.
10. Cookies
Notre plateforme utilise les cookies suivants :
| Type | Finalité | Consentement |
|---|---|---|
| Cookies essentiels | Authentification, sécurité, session | Non requis (intérêt légitime) |
| Cookies de consentement | Mémorisation des choix de consentement | Non requis |
| Cookies analytics | Mesure d'audience anonyme | Requis (consentement via bannière) |
Aucun cookie publicitaire ou de tracking marketing n'est utilisé sur notre plateforme.
11. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Site web : www.cnil.fr
Téléphone : +33 1 53 73 22 22
12. Modifications de cette politique
Cette politique de confidentialité peut être mise à jour pour refléter les évolutions réglementaires ou les changements dans nos pratiques. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur la plateforme.
Nous vous invitons à consulter régulièrement cette page pour rester informé.