Politique de confidentialité

Responsable du traitement

Komplio SAS est responsable du traitement des données personnelles collectées via le site komplio.fr et ses services associés.

Données collectées

Nous collectons les catégories de données suivantes :

Diagnostic : vos réponses aux 6 questions du quiz et les scores de conformité calculés (RGPD, AI Act, facture électronique). Lorsque vous êtes connecté, ces résultats sont rattachés à votre compte (table diagnostics) afin de personnaliser votre tableau de bord.

Création de compte et profil entreprise :email, mot de passe (haché), nom de l'entreprise, forme juridique, SIRET, RCS, capital social, secteur d'activité, taille, adresse complète, code postal, ville, email de contact, téléphone, site web, nom du DPO, nom du directeur, hébergeur, outil de facturation, avatar (stocké dans Supabase Storage).

Documents générés : le contenu des documents de conformité produits pour votre compte (politique de confidentialité, registre des traitements, charte IA, etc.), qui reprennent les informations de votre profil entreprise.

Paiement :les données bancaires sont traitées directement par Stripe. Komplio ne stocke aucune donnée de carte bancaire ; nous ne conservons que l'identifiant client Stripe et le statut d'abonnement.

Assistant IA : les questions posées à l'assistant sont transmises à l'API Claude d'Anthropic. Les quotas d'usage sont stockés pour limiter les abus (tables chat_usage, chat_rate_limit). Anthropic s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles.

Sous-traitants et destinataires

Komplio s'appuie sur les sous-traitants suivants, chacun encadré par un accord de traitement des données (DPA) et les garanties appropriées de transfert international (clauses contractuelles types de la Commission européenne, Data Privacy Framework le cas échéant) :

• Supabase (hébergement base de données, authentification, stockage avatars) — région France (Paris, eu-west-3).
• Vercel Inc. (hébergement frontend et fonctions serverless) — États-Unis, sous DPF + CCT.
• Anthropic PBC (API Claude pour l'assistant IA et la génération de documents) — États-Unis, sous CCT.
• Stripe Inc. / Stripe Payments Europe (traitement des paiements) — Irlande et États-Unis, sous DPF + CCT.
• Resend (envoi d'emails transactionnels) — États-Unis, sous CCT.

La liste actualisée de nos sous-traitants, avec le détail de leur finalité, localisation, garanties de transfert et durées de conservation, est publiée sur notre page dédiée : komplio.fr/sous-traitants. Toute modification vous est notifiée préalablement (art. 28.2 RGPD).

Finalités du traitement

Vos données sont utilisées pour : fournir les services de diagnostic et génération de documents, gérer votre compte et votre abonnement, vous envoyer des alertes réglementaires (si vous y avez consenti), et améliorer nos services.

Base légale

Les traitements reposent sur : l'exécution du contrat (fourniture du service), le consentement (alertes email, cookies), et l'intérêt légitime (amélioration du service, sécurité).

Durée de conservation

Données de compte : conservées pendant la durée de l'abonnement, puis 3 ans après la clôture. Données de facturation : 10 ans (obligation légale comptable). Conversations IA : 30 jours, puis supprimées automatiquement.

Hébergement et transferts hors UE

La base de données principale (profils, diagnostics, documents) est hébergée chez Supabase en France, région Paris (eu-west-3). En revanche, certains traitements impliquent un transfert hors UE vers les sous-traitants listés ci-dessus (Vercel, Anthropic, Stripe), situés aux États-Unis. Ces transferts sont encadrés par les garanties suivantes :

• Clauses contractuelles types (CCT) de la Commission européenne du 4 juin 2021.
• Adhésion au Data Privacy Framework (DPF) lorsque le sous-traitant est certifié.
• Mesures techniques supplémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, minimisation des données transmises.

Vous pouvez nous demander une copie de ces garanties en écrivant à contact@komplio.fr.

Décision automatisée et profilage

Le score de conformité affiché dans votre tableau de bord est calculé automatiquement à partir de vos réponses au diagnostic et des documents générés. Il s'agit d'un profilage au sens de l'art. 22 RGPD, à visée purement informative : il n'est utilisé ni pour refuser l'accès au service, ni pour vous opposer une décision produisant des effets juridiques. Vous pouvez demander une explication du calcul ou contester un score à contact@komplio.fr.

Transparence IA (AI Act)

Conformément à l'article 50 du Règlement européen sur l'intelligence artificielle, nous vous informons que :

• L'assistant du chat est un système d'IA (API Claude d'Anthropic). Ses réponses sont générées automatiquement.
• Les documents de conformité générés par Komplio sont produits par un système d'IA et portent une mention le précisant, en en-tête et en pied de page.
• Ces contenus doivent être relus et validés par un professionnel avant toute utilisation juridique.

Vos droits

Conformément au RGPD, vous disposez des droits suivants : accès à vos données, rectification, suppression (« droit à l'oubli »), limitation du traitement, portabilité, et opposition. Pour exercer ces droits, contactez-nous à contact@komplio.fr. Nous répondons sous 30 jours. Vous pouvez également introduire une réclamation auprès de la CNIL.

Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des données en transit (TLS) et au repos, authentification sécurisée, accès restreint aux données, sauvegardes régulières, et audits de sécurité périodiques.