← Retour à l'accueil

Politique de Confidentialité — www.krineo.fr

Dernière mise à jour : 2026-05-16

Version : 1.0 (Sprint A.6 Platform Readiness)

---

1. Identité du responsable de traitement

TransiCIO SAS

Adresse : [À COMPLÉTER par TransiCIO]

Email contact RGPD : pa.mas@transicio.fr

SIRET : [À COMPLÉTER]

DPO (Délégué à la Protection des Données) : Pierre-Alexandre Mas (pa.mas@transicio.fr)

---

2. Données collectées

2.1 Données collectées automatiquement

Lorsque vous utilisez www.krineo.fr, nous collectons :

• Données techniques : adresse IP, type de navigateur, système d'exploitation, pages visitées, durée de connexion (à des fins de sécurité et d'amélioration du service).
• Cookies essentiels : session d'authentification (PHPSESSID), préférences UI (theme, language).

2.2 Données fournies par l'utilisateur

Lors de la création d'un compte ou de l'utilisation du service :

• Identité : nom, prénom, email professionnel.
• Contexte professionnel : entreprise, fonction (DSI, CEO, consultant).
• Sites web gérés : domaines, credentials WordPress (chiffrés via vault Fernet — cf. SECRETS_ROTATION.md).
• Contenu utilisateur : briefs SEO, plans d'action, analyses produites par l'IA.

2.3 Données NON collectées

Nous ne collectons PAS :

• Données de localisation précise (GPS)
• Données biométriques
• Données de santé
• Données bancaires (le paiement est traité par Stripe — cf. politique Stripe)

---

3. Finalités du traitement

Les données collectées sont utilisées exclusivement pour :

1. Fourniture du service : accès au cockpit SEO, exécution des analyses, génération de plans.

2. Sécurité : détection de fraude, audit accès, prévention abus.

3. Communication : notifications transactionnelles (résultats analyses, alertes).

4. Amélioration produit : statistiques d'usage anonymisées (uniquement avec votre consentement explicite — cf. cookie analytics).

5. Conformité légale : conservation des logs d'audit obligatoires (RGPD article 30).

---

4. Base légale du traitement (RGPD article 6)

| Donnée | Base légale | Finalité |

|--------|-------------|----------|

| Compte utilisateur, sites gérés | Exécution du contrat | Fourniture du service |

| Logs accès (IP, user_agent) | Intérêt légitime + obligation légale | Sécurité, traçabilité |

| Cookies analytics | Consentement explicite | Statistiques usage |

| Données de facturation | Obligation légale | Comptabilité |

---

5. Durée de conservation

| Type de donnée | Durée | Justification |

|---------------|-------|---------------|

| Compte utilisateur | Durée du contrat + 1 an post-cancellation | Réactivation possible |

| Logs accès / audit | 12 mois | Sécurité + obligation légale |

| Backups DB | 30 jours rolling | Récupération incident |

| Données business (briefs, plans) | Durée du contrat + 30 jours | Période de grâce |

| Données comptables (facturation) | 10 ans | Code de commerce art. L.123-22 |

---

6. Vos droits (RGPD article 15-22)

Vous disposez à tout moment des droits suivants :

6.1 Droit d'accès (art. 15)

Vous pouvez consulter l'ensemble de vos données via :

• Self-serve : GET https://www.krineo.fr/account/gdpr-access (authentification requise) — retourne JSON exhaustif
• Email : pa.mas@transicio.fr avec objet « RGPD - Droit d'accès » — réponse sous 30 jours

6.2 Droit à la portabilité (art. 20)

Export complet de vos données en format machine-readable :

• Self-serve : GET https://www.krineo.fr/account/gdpr-export (authentification requise) — retourne JSON téléchargeable
• Email : idem ci-dessus

6.3 Droit à l'effacement (art. 17 — droit à l'oubli)

Suppression définitive de toutes vos données :

• Self-serve : POST https://www.krineo.fr/account/gdpr-erase (authentification + confirmation par email)
• Email : pa.mas@transicio.fr avec objet « RGPD - Effacement »
• Délai : suppression effective sous 30 jours, confirmée par email.
• Exceptions : données comptables conservées 10 ans (obligation légale), logs d'audit anonymisés mais conservés 12 mois.

6.4 Droit de rectification (art. 16)

Modifier vos données inexactes via votre interface compte ou par email.

6.5 Droit d'opposition (art. 21)

Vous opposer au traitement de vos données pour motif légitime, notamment refuser le profilage.

6.6 Droit à la limitation (art. 18)

Demander la limitation temporaire du traitement de vos données (litige en cours, contestation d'exactitude).

6.7 Droit de retirer son consentement

Retirer à tout moment votre consentement aux cookies analytics via le bandeau cookies en bas de page.

---

7. Sous-traitants (RGPD article 28)

Nous faisons appel à des sous-traitants pour la fourniture du service. Tous sont liés par un Data Processing Agreement (DPA — cf. DPA_TEMPLATE.md) et hébergent les données dans l'UE ou disposent du Cadre transatlantique de protection des données EU-US (DPF).

| Sous-traitant | Service | Localisation | DPA |

|---------------|---------|--------------|-----|

| OVHcloud SAS | Hébergement VPS | France (Roubaix) | Standard contractual clauses |

| Anthropic PBC | API LLM (Claude) | États-Unis (EU-US DPF) | Anthropic DPA |

| OpenAI LLC | API embeddings | États-Unis (EU-US DPF) | OpenAI DPA |

| Stripe Inc. | Paiement | Irlande (siège EU) | Stripe DPA |

| Mailjet (Sinch France) | Email transactionnel | France | Sinch DPA |

| Google LLC | Search Console API | États-Unis (EU-US DPF) | Google Data Processing Terms |

---

8. Transferts hors UE

Certaines données transitent par des sous-traitants situés aux États-Unis (Anthropic, OpenAI, Google). Ces transferts sont encadrés par :

• EU-US Data Privacy Framework (juillet 2023) — décision d'adéquation Commission européenne
• Standard Contractual Clauses (SCC) — pour les sous-traitants non-DPF
• Mesures techniques : minimisation des données envoyées, anonymisation quand possible

---

9. Sécurité

Mesures techniques en place (cf. SECRETS_ROTATION.md et PLATFORM_READINESS.md pour détails) :

• Chiffrement HTTPS obligatoire (HSTS 1 an, includeSubDomains)
• Chiffrement des secrets en vault Fernet (AES-128 CBC + HMAC-SHA256)
• Foreign keys multi-tenant pour empêcher cross-tenant leak
• Headers de sécurité (CSP, X-Frame-Options, etc.)
• Backups quotidiens mydumper + rétention 30 jours
• Audit log de tous les accès et actions destructives
• Authentification cookie HttpOnly + Secure + SameSite=Lax

---

10. Cookies

Voir documentation/legal/COOKIE_POLICY.md pour la liste exhaustive.

Catégories :

• Essentiels (toujours actifs) : authentification (PHPSESSID), CSRF token
• Préférences (toujours actifs) : thème UI, langue
• Analytics (consentement requis) : statistiques d'usage anonymisées

Bandeau de consentement affiché au premier visit (cf. cookie banner JS).

---

11. Réclamation auprès de la CNIL

En cas de litige non résolu, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 Place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07

https://www.cnil.fr/fr/plaintes

---

12. Modifications

Cette politique peut être modifiée à tout moment. Les changements majeurs seront notifiés par email aux utilisateurs actifs au moins 30 jours avant entrée en vigueur.

Historique des versions :

• v1.0 — 2026-05-16 : version initiale (Sprint A.6 Platform Readiness)