Politique de protection des données

1. Responsable du traitement

Le responsable du traitement est Orcyn, micro-entreprise représentée par Clément Rizzotto. Pour toute question relative à vos données, vous pouvez écrire à clement@konstat.fr.

2. Données collectées

Données de compte : adresse email, mot de passe (haché), nom de l'organisation, nom et prénom de l'utilisateur.

Données d'usage : questions posées au Service, historique des conversations, contenus ajoutés à la Mémoire d'entreprise (interprétations internes), date et heure des connexions.

Données de paiement : traitées exclusivement par notre prestataire Stripe — Orcyn ne stocke ni numéro de carte bancaire, ni cryptogramme.

Données techniques : adresse IP, type de navigateur, pages consultées (via Vercel Analytics, en mode anonymisé sans cookie persistant).

3. Finalités du traitement

Fourniture du Service : traitement des questions, génération de réponses, persistance de l'historique, support utilisateur.

Facturation : émission de factures, gestion des abonnements et des paiements.

Communication : envoi d'emails transactionnels (confirmation, rappel d'essai, notification produit) et, sur consentement explicite, de la newsletter.

Amélioration du Service : analyses statistiques anonymisées, détection d'usages anormaux ou frauduleux.

4. Base légale

Exécution du contrat (Service souscrit) pour les données de compte, d'usage et de paiement.

Intérêt légitime pour les données techniques anonymisées et les analyses statistiques.

Consentement explicite pour la newsletter (double opt-in via email de confirmation) et pour les éventuels cookies non essentiels.

Obligation légale pour la conservation des factures et la coopération avec les autorités compétentes.

5. Durée de conservation

Données de compte : pendant toute la durée de l'abonnement, puis pendant 3 ans après la dernière connexion (pour permettre la réactivation), puis suppression.

Historique des conversations : pendant toute la durée de l'abonnement. À la résiliation, l'historique est conservé 30 jours puis effacé définitivement, sauf demande explicite de suppression immédiate.

Données de paiement et factures : 10 ans (obligation comptable et fiscale française).

Newsletter : jusqu'à désinscription, sans limite de durée. La désinscription supprime l'adresse email de notre base de diffusion.

6. Sous-traitants et destinataires

Supabase Inc. (États-Unis, données stockées dans la région eu-west-1, Irlande) : hébergement de la base de données, isolation par Row Level Security au niveau de chaque organisation.

Stripe Inc. (États-Unis, certifié PCI DSS niveau 1) : traitement des paiements et facturation. Garanties contractuelles RGPD.

Resend Inc. (États-Unis) : envoi des emails transactionnels et de la newsletter.

Anthropic PBC (États-Unis) : modèle d'intelligence artificielle Claude, utilisé pour la génération et la vérification des réponses. Les contenus envoyés à Claude ne sont pas réutilisés pour entraîner les modèles (clause d'opt-out activée par défaut).

Vercel Inc. (États-Unis) : hébergement du site web et des routes API.

Tout transfert de données hors UE s'effectue dans le cadre des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne.

7. Vos droits

Vous disposez à tout moment des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité, et retrait du consentement.

Pour exercer ces droits, écrivez à clement@konstat.fr depuis l'adresse email associée à votre compte. Une réponse vous sera apportée dans un délai maximum d'un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07.

8. Sécurité

Les mots de passe sont hachés via bcrypt avec un coût adapté. Les communications sont chiffrées en TLS 1.3. Les données utilisateurs sont isolées par organisation au niveau de la base via Row Level Security Supabase. Les sauvegardes automatiques sont effectuées quotidiennement.

Une certification SOC2 est en cours d'obtention.

9. Modifications de la présente politique

Orcyn se réserve le droit de modifier la présente politique. Toute modification substantielle sera notifiée par email aux utilisateurs au moins 30 jours avant son entrée en vigueur.