Politique de confidentialité
En vigueur au 17 mars 2026 — conforme RGPD (UE) 2016/679
1. Responsable du traitement
Simon Benay, entrepreneur individuel, éditeur de KAPT CHECK
Email unique (données personnelles & contact DPD) : contact@agence-kapt.fr
En l'absence de DPO désigné (obligation non applicable en deçà des seuils légaux), toute demande relative à vos données personnelles peut être adressée à l'adresse ci-dessus. Réponse garantie sous 30 jours calendaires.
2. Données collectées
Dans le cadre de l'utilisation de KAPT CHECK, nous collectons les données suivantes :
| Catégorie | Données | Finalité |
|---|---|---|
| Compte utilisateur | Adresse email, mot de passe haché (bcrypt), nom complet, horodatage d'acceptation des CGU | Authentification, gestion du compte, preuve contractuelle |
| Organisation | Nom de l'agence, rôle utilisateur (agent / admin) | Gestion des accès, quotas et rapports |
| Documents importés | Fichiers PDF de diagnostics immobiliers (DPE, CREP, ERP, assainissement…) | Analyse automatisée, génération de rapport de vérification |
| Données du bien immobilier | Adresse, type de bien, surface, année de construction | Contextualisation de l'analyse réglementaire |
| Résultats d'analyse | Champs extraits, scores de confiance, alertes réglementaires | Rapport de vérification, amélioration agrégée du service |
| Facturation | Identifiants Stripe (customer_id, subscription_id) — aucune donnée de carte bancaire n'est stockée par KAPT CHECK | Gestion de l'abonnement et des paiements |
| Journaux techniques | Logs d'accès horodatés, actions significatives (upload, export, validation) | Sécurité, audit interne, débogage |
Ce que nous ne collectons pas : nous ne collectons pas de cookies publicitaires, de données de navigation à des fins de profilage commercial, ni de données biométriques.
3. Bases légales des traitements
- Exécution du contrat (art. 6.1.b RGPD) : traitement du compte, des documents importés et des analyses, nécessaire à la fourniture du service souscrit.
- Consentement (art. 6.1.a RGPD) : acceptation des CGU horodatée à l'inscription, couvrant le traitement des documents à des fins d'analyse.
- Intérêt légitime (art. 6.1.f RGPD) : journaux de sécurité, amélioration du moteur d'extraction sur la base de métriques agrégées et anonymisées (aucune donnée de contenu de document n'est utilisée à des fins d'entraînement).
- Obligation légale (art. 6.1.c RGPD) : conservation des données de facturation (art. L123-22 C.com., 10 ans).
4. Durées de conservation
- Documents PDF importés : chiffrés au repos (Fernet AES-128-CBC) — supprimés automatiquement après 365 jours d'inactivité sur le dossier correspondant (job de rétention automatique). L'utilisateur peut demander la suppression immédiate par email.
- Données de compte et d'organisation : conservées pendant la durée de la relation contractuelle, puis 3 ans après résiliation (prescription civile française).
- Données de facturation : 10 ans (obligation comptable légale, art. L123-22 C.com.).
- Journaux d'accès techniques : 12 mois maximum.
5. Destinataires des données
Vos données sont accessibles uniquement :
- Aux membres de votre organisation ayant un compte KAPT CHECK, selon les rôles définis (agent : accès à ses dossiers ; admin : accès à tous les dossiers de l'organisation) ;
- À l'éditeur du service (Simon Benay) pour les opérations de maintenance, de support et de sécurité ;
- Aux sous-traitants techniques listés ci-dessous, dans la stricte limite de leur mission et sous accord de traitement des données conforme au RGPD.
| Sous-traitant | Pays / Zone | Rôle | Garanties RGPD |
|---|---|---|---|
| Scaleway SAS | France (UE) | Hébergement infrastructure (calcul, stockage, réseau) | ISO 27001 — données en France |
| Stripe, Inc. | États-Unis | Traitement des paiements | Clauses contractuelles types UE — PCI-DSS |
Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.
6. Sécurité des données
Les mesures techniques et organisationnelles mises en œuvre incluent :
- Chiffrement des fichiers au repos (Fernet AES-128-CBC avec clé de service dédiée) ;
- Transmission sécurisée via HTTPS / TLS 1.2+ sur l'ensemble des endpoints ;
- Authentification par JWT (HS256), mots de passe hachés bcrypt (coût 12) ;
- Contrôle d'accès par rôle (viewer / agent / admin) avec isolation stricte par organisation — un utilisateur ne peut accéder qu'aux dossiers de sa propre organisation ;
- Journalisation de toutes les actions sensibles (upload, export, modifications admin) ;
- Aucune donnée personnelle brute (texte OCR, adresses, noms) dans les logs serveur.
7. Vos droits RGPD
Conformément au RGPD (articles 15 à 21), vous disposez des droits suivants sur vos données personnelles :
- Accès (art. 15) : obtenir une copie de l'ensemble des données vous concernant ;
- Rectification (art. 16) : corriger des données inexactes ou incomplètes ;
- Effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
- Limitation (art. 18) : restreindre temporairement un traitement en cours de contestation ;
- Portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
Pour exercer vos droits : contact@agence-kapt.fr.
Réponse sous 30 jours calendaires. En cas de litige non résolu, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).
8. Cookies et stockage local
KAPT CHECK n'utilise aucun cookie de traçage publicitaire ou de profilage.
Le service utilise le sessionStorage du navigateur pour stocker le token d'authentification JWT et les informations de session (rôle, type de compte). Ces données sont strictement cantonnées à la session en cours : elles sont automatiquement supprimées à la fermeture de l'onglet ou du navigateur, et ne sont jamais partagées avec d'autres sessions ou d'autres utilisateurs du même navigateur.
L'outil d'analyse d'audience Plausible Analytics peut être utilisé sur les pages publiques. Plausible est conforme RGPD par conception : il ne dépose aucun cookie et ne collecte aucune donnée personnelle identifiable.
9. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter l'évolution du service ou des obligations légales. En cas de modification substantielle affectant vos droits, les utilisateurs seront informés par email avec un préavis de 15 jours. La date de mise à jour est indiquée en haut de cette page.