Politique de confidentialité
Dernière mise à jour : 5 avril 2026
La présente politique décrit la manière dont [ENTITÉ_LÉGALE] (ci-après « nous ») traite les données personnelles dans le cadre du Service ai.krp.lu, conformément au Règlement (UE) 2016/679 (« RGPD »).
1. Responsable de traitement
[ENTITÉ_LÉGALE], [ADRESSE], privacy@krp.lu.
Pour les données traitées pour le compte de nos clients entreprises (questions posées par leurs utilisateurs, documents analysés), nous agissons en qualité de sous-traitant au sens de l'article 28 RGPD. Un accord de sous-traitance (DPA) est disponible sur demande.
2. Données collectées
| Catégorie | Données | Base légale | Conservation |
|---|---|---|---|
| Compte utilisateur | Email, mot de passe haché (Argon2id), secret 2FA chiffré, rôle, langue | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans |
| Authentification | IP, user-agent, horodatage des sessions, JTI | Intérêt légitime — sécurité (art. 6.1.f) | 13 mois |
| Facturation | Raison sociale, adresse, TVA, transactions Stripe | Obligation légale (art. 6.1.c) | 10 ans (obligations comptables) |
| Usage | Nombre de requêtes, tokens, coût, horodatage | Exécution du contrat (art. 6.1.b) | 24 mois |
| Questions posées | Contenu des messages envoyés à l'IA | Exécution du contrat (art. 6.1.b) | Non stockées durablement — log technique 7 jours |
| Documents uploadés | Fichiers PDF/images pour OCR | Exécution du contrat (art. 6.1.b) | Jamais stockés — analysés en mémoire puis supprimés |
| Journal d'audit | Actions administratives (chaîne HMAC-SHA256) | Obligation légale / intérêt légitime | 5 ans |
| Formulaire de contact | Email, entreprise, message | Mesures précontractuelles (art. 6.1.b) | 24 mois |
3. Destinataires et sous-traitants
Nous recourons aux sous-traitants suivants, tous situés dans l'UE :
- Hetzner Online GmbH (Allemagne) — hébergement infrastructure
- Mistral AI SAS (France) — modèles de langage et OCR ; les données transmises ne sont pas utilisées pour entraîner les modèles (zero-retention mode)
- Stripe Payments Europe, Ltd. (Irlande) — traitement des paiements
Aucun transfert hors UE n'est effectué dans le cadre du Service.
4. Cookies
Nous utilisons uniquement des cookies strictement nécessaires (session d'authentification, préférence de langue). Aucun cookie publicitaire ou de suivi tiers n'est posé.
5. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès, de rectification et d'effacement
- Droit à la limitation et à l'opposition
- Droit à la portabilité de vos données
- Droit de définir des directives post-mortem
- Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (CNPD Luxembourg / CNIL France)
Pour exercer ces droits : privacy@krp.lu. Nous répondons sous un délai d'un mois.
6. Sécurité
- Chiffrement en transit : TLS 1.2/1.3, HSTS préchargé
- Chiffrement au repos : AES-256-GCM pour les secrets applicatifs
- Mots de passe : hachage Argon2id
- Authentification à deux facteurs (TOTP)
- Journal d'audit signé en chaîne HMAC-SHA256
- Sauvegardes chiffrées (Restic) avec rétention de 30 jours
7. Notification de violation
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les personnes concernées, nous notifierons l'autorité de contrôle dans les 72 heures (art. 33 RGPD) et, le cas échéant, les personnes concernées (art. 34 RGPD).
8. Modifications
Toute modification substantielle de la présente politique sera notifiée aux utilisateurs inscrits par email avec un préavis de 30 jours.