Konstat

Version de travail

Ce document est une version préliminaire rédigée à partir des engagements produits de Konstat. La version finale sera validée par un expert juridique avant le go-live commercial. Pour toute question, contactez clement@konstat.fr.

· Politique de confidentialité ·

Politique de confidentialité

Dernière mise à jour : 2026-05-10

1. Préambule

La présente politique de confidentialité décrit la manière dont Konstat Bot (ci-après « le Service ») collecte, utilise et protège les données personnelles des utilisateurs et des organisations clientes, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.

Le responsable de traitement est l'entreprise individuelle Orcyn, représentée par M. Clément Rizzotto, éditrice du Service Konstat Bot. Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez nous écrire à clement@konstat.fr.

2. Données collectées

Konstat traite les catégories de données suivantes :

2.1 Données de compte

  • Nom, prénom, adresse email professionnelle
  • Mot de passe (haché et salé, jamais stocké en clair)
  • Identifiants de connexion fédérée (Google OAuth) le cas échéant
  • Nom de l'organisation, rôle (administrateur ou membre)

2.2 Données de paiement

  • Données de facturation (raison sociale, adresse, SIRET, identifiant TVA intracommunautaire)
  • Historique des transactions (montants, dates, statuts) — gérées par notre prestataire Stripe. Konstat n'a jamais accès aux données complètes de carte bancaire (seuls les 4 derniers chiffres et la date d'expiration sont affichés à titre indicatif).

2.3 Données d'usage du Service

  • Conversations avec le chatbot (questions, réponses, sources citées)
  • Calculs CEE effectués (paramètres saisis, résultats)
  • Volume de tokens consommés, requêtes API, plafonds atteints
  • Préférences utilisateur (langue, organisation par défaut)

2.4 Contenus utilisateurs

  • Vérités d'entreprise (interprétations validées, cas précédents, process internes ajoutés volontairement par le Client) — chiffrées au niveau applicatif (cf. §8)
  • Documents éventuellement uploadés (PDF, attestations, fiches)

2.5 Données techniques

  • Adresse IP, user-agent, type d'appareil, navigateur
  • Logs applicatifs (requêtes, erreurs, latences)
  • Logs de sécurité (tentatives d'authentification, événements administratifs)

3. Finalités du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

  • Fournir le Service : création et gestion des comptes, accès au chatbot, calculs CEE, API, vérités d'entreprise
  • Facturation et gestion comptable : émission des factures, paiements, recouvrement, conservation comptable
  • Sécurité : prévention de la fraude, détection d'abus, journalisation des accès sensibles, sauvegardes
  • Support utilisateur : réponse aux demandes, assistance technique, résolution d'incidents
  • Amélioration produit : analyse statistique agrégée et anonymisée de l'usage pour améliorer la pertinence des réponses, jamais sur des données privées identifiables (cf. §9)
  • Communication transactionnelle : emails de confirmation, factures, notifications de plafonds, alertes de sécurité
  • Communication marketing : newsletters produit et nouveautés CEE uniquement avec consentement explicite et opt-in (désinscription en 1 clic)

4. Bases légales

Chaque traitement repose sur l'une des bases légales suivantes :

  • Exécution du contrat (art. 6.1.b RGPD) : création de compte, accès au Service, facturation, support
  • Obligation légale (art. 6.1.c RGPD) : conservation des factures (10 ans), réponse aux réquisitions judiciaires
  • Intérêt légitime (art. 6.1.f RGPD) : sécurité, prévention de la fraude, amélioration produit (statistiques agrégées)
  • Consentement (art. 6.1.a RGPD) : communications marketing, cookies analytics non essentiels — révocable à tout moment

5. Sous-traitants

Konstat fait appel à des sous-traitants pour fournir le Service. Tous sont liés par un accord de traitement des données (DPA) imposant des obligations équivalentes aux nôtres en matière de sécurité et de confidentialité.

  • Anthropic PBC (États-Unis) — fourniture du modèle Claude pour la génération des réponses. Configuration zero data retention activée : aucune donnée n'est conservée par Anthropic au-delà du temps strict nécessaire au traitement.
  • Voyage AI (États-Unis) — calcul des embeddings vectoriels. Traitement éphémère, aucune persistance.
  • Mistral AI (France) — extraction OCR des PDFs. Traitement éphémère, aucune persistance.
  • Supabase Inc. — base de données PostgreSQL et stockage de fichiers, région eu-west-1 (Irlande).
  • Vercel Inc. — hébergement applicatif, région eu-central-1 (Francfort) pour le compute européen.
  • Stripe Payments Europe Ltd. — traitement des paiements, certifié PCI-DSS.
  • Resend — envoi des emails transactionnels.

La liste à jour des sous-traitants est tenue dans l'annexe du DPA (Data Processing Agreement). Konstat informera ses clients de tout changement de sous-traitant avec un préavis raisonnable, leur permettant de s'y opposer.

6. Hébergement et localisation des données

Le stockage primaire des données de Konstat (compte, conversations, vérités d'entreprise, fichiers) est localisé dans l'Union européenne :

  • Base de données et fichiers : Supabase, région Irlande (eu-west-1)
  • Compute applicatif : Vercel, région Francfort (eu-central-1)
  • Emails transactionnels : Resend (infrastructure UE)

Certains traitements légitimes nécessitent l'intervention de prestataires établis hors UE : Anthropic et Voyage AI (États-Unis) pour le LLM et les embeddings, Stripe (transferts internationaux US encadrés). Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et, pour Stripe, par sa certification au Data Privacy Framework (DPF). Voir §13.

7. Durées de conservation

  • Compte utilisateur : durée de la souscription + 30 jours après résiliation (délai de récupération sur demande), puis suppression définitive.
  • Conversations chat : durée de la souscription + 30 jours, suppressibles à tout moment par l'utilisateur depuis /account/data.
  • Vérités d'entreprise : durée de la souscription, supprimées ou exportées sur demande à la fin du contrat (cf. CGV §8).
  • Factures et données comptables : 10 ans conformément à l'article L.123-22 du Code de commerce.
  • Logs de sécurité : 12 mois maximum, conformément aux recommandations de la CNIL et au cadre LCEN.
  • Logs applicatifs : 30 jours pour les logs courants, puis purge automatique.
  • Données de prospection (si consentement explicite) : 3 ans à compter du dernier contact actif.

8. Sécurité

Konstat met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement at-rest de l'ensemble de la base PostgreSQL via TDE Supabase
  • Chiffrement applicatif par envelope encryption en AES-256-GCM sur les vérités d'entreprise (org_private_entries) : une clé de chiffrement (DEK) dédiée par organisation, elle-même chiffrée par une clé maître (CMK) stockée hors base
  • Chiffrement in-transit : TLS 1.2+ sur l'ensemble des communications (HTTPS)
  • Isolation multi-tenant stricte par Row Level Security PostgreSQL sur toutes les tables contenant des données d'organisation
  • Authentification multi-facteur (MFA) disponible sur tous les comptes
  • Hébergement UE exclusivement pour les données primaires (cf. §6)
  • Journalisation des accès sensibles (super-admin, exports, modifications de permissions)
  • Sauvegardes chiffrées, redondantes, avec point de restauration de 24h maximum
  • Politique d'accès interne basée sur le principe du moindre privilège
  • Sensibilisation et engagement de confidentialité de toute personne autorisée

9. Engagement de non-réutilisation des données privées

L'éditeur de Konstat (M. Clément Rizzotto) exerce également une activité indépendante dans le secteur des Certificats d'Économies d'Énergie. Konstat prend un engagement explicite et écrit à cet égard :

  • Konstat n'utilise jamais les vérités d'entreprise, les conversations ou tout contenu privé d'une organisation cliente pour l'activité indépendante de M. Rizzotto, sous quelque forme que ce soit (lecture humaine, extraction agrégée, statistiques internes, alertes business).
  • Konstat n'utilise jamais ces données pour entraîner ou affiner un modèle d'IA (interne ou tiers).
  • Cet engagement est techniquement garanti par : chiffrement applicatif par organisation (envelope encryption), isolation logique stricte par RLS PostgreSQL, journalisation des accès super-admin, et engagement contractuel opposable.
  • Konstat s'engage à informer le Client sous 72 heures de tout accès anormal détecté à ses données privées.
  • Un audit indépendant est possible sur demande pour les comptes Enterprise.

10. Pas d'entraînement IA tiers

Les fournisseurs LLM utilisés par Konstat sont configurés en mode zero data retention :

  • Anthropic (Claude) : aucune conservation des prompts ni des réponses, aucune utilisation pour l'entraînement.
  • Voyage AI (embeddings) : traitement éphémère, aucune persistance.
  • Mistral AI (OCR) : traitement éphémère, aucune persistance.

Vos données ne nourrissent donc jamais les modèles d'IA tiers, ni ceux de Konstat.

11. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
  • Droit de rectification (art. 16) : corriger les données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) : « droit à l'oubli », sous réserve des obligations légales (factures notamment).
  • Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré (JSON, CSV) — disponible directement depuis votre espace client ou sur demande sous 7 jours ouvrés.
  • Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit à la limitation (art. 18) : suspendre temporairement le traitement.
  • Retrait du consentement : à tout moment, sans affecter la licéité des traitements antérieurs (cookies, marketing).
  • Définition de directives post-mortem (loi française Informatique et Libertés).

Pour exercer ces droits, écrivez à clement@konstat.fr. Nous répondons sous 1 mois, prolongeable de 2 mois en cas de demande complexe (art. 12.3 RGPD).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr), autorité de contrôle française.

12. Cookies et traceurs

Le Service utilise les catégories de cookies suivantes :

  • Cookies essentiels (sans consentement, base légale exécution du contrat) : authentification, gestion de session, préférences de sécurité, jeton CSRF.
  • Cookies de parrainage (essentiels, durée 30 jours) : stockent le code parrain à l'arrivée d'un visiteur référé pour attribuer la récompense après inscription.
  • Cookies analytics (avec opt-in explicite uniquement) : mesure d'audience anonymisée pour améliorer le produit. Désactivés par défaut.

Le bandeau de gestion des cookies vous permet d'accepter, refuser ou paramétrer finement vos préférences à tout moment.

13. Transferts hors Union européenne

Le stockage primaire des données est intégralement réalisé en UE. Toutefois, l'exécution du Service implique certains traitements par des prestataires établis hors UE :

  • Anthropic et Voyage AI (États-Unis) : encadrés par les Clauses contractuelles types (CCT) de la Commission européenne, en mode zero data retention.
  • Stripe (transferts US) : encadrés par la certification au Data Privacy Framework (DPF) UE-US.

Tous les autres prestataires (Supabase, Vercel pour le compute, Resend, Mistral AI) opèrent depuis l'Union européenne pour le traitement des données Konstat.

14. Modifications de la politique

Konstat peut faire évoluer la présente politique pour refléter une évolution du Service, de la réglementation ou des bonnes pratiques. Toute modification substantielle est notifiée par email aux utilisateurs au minimum 30 jours avant son entrée en vigueur. La version applicable est toujours datée en haut de page.

15. Contact

Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits, ou pour signaler un incident :

Konstat n'est pas légalement tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 RGPD. Les demandes RGPD sont traitées directement par M. Rizzotto, qui agit comme point de contact unique.