🔒 RGPD

Politique de Confidentialité

Dernière mise à jour : 28 mars 2026 · Conforme au RGPD (UE) 2016/679 et à la loi Informatique & Libertés modifiée

✓

Hébergement 100 % souverain : Toutes vos données sont hébergées en France chez OVHcloud (datacenters de Strasbourg et Gravelines). Vos données ne quittent jamais le territoire français ni l'Union Européenne sans votre consentement explicite.

// Table des matières

Responsable du traitement
Délégué à la Protection des Données (DPO)
Données collectées
Finalités et bases légales
Durées de conservation
Destinataires des données
Transferts hors UE
Vos droits RGPD
Sécurité des données
Mineurs
Cookies
Modifications de la politique
Contact et réclamation

1. Responsable du traitement

ResponsableKapelgy SAS

Siège socialParis, France

Emailcontact@kapelgy.fr

Téléphone+33 1 80 00 00 00

2. Délégué à la Protection des Données (DPO)

Conformément à l'article 37 du RGPD, Kapelgy SAS a désigné un Délégué à la Protection des Données :

DPO[Nom du DPO — interne ou externe]

Email DPOcontact@kapelgy.fr

AdresseKapelgy SAS — À l'attention du DPO, Paris, France

Vous pouvez contacter notre DPO pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits.

3. Données collectées

3.1 Données que vous nous fournissez directement

Formulaire de contact / demande de démo : nom, prénom, email professionnel, nom d'entreprise, téléphone (facultatif), message ;
Création de compte : email, mot de passe (stocké sous forme hachée bcrypt), nom, prénom, entreprise, rôle ;
Abonnement / paiement : informations de facturation (nom, adresse, pays), données de paiement traitées exclusivement par notre prestataire de paiement sécurisé (Stripe) — Kapelgy SAS ne stocke jamais vos données bancaires ;
Support : contenus de vos échanges avec notre équipe support.

3.2 Données collectées automatiquement

Adresse IP (anonymisée après 30 jours) ;
Type et version du navigateur, système d'exploitation ;
Pages visitées, durée de visite, source de trafic (via Matomo Analytics, hébergé sur nos serveurs OVH — aucun transfert vers des tiers) ;
Logs d'accès serveur (conservés 12 mois pour des raisons de sécurité) ;
Cookies fonctionnels et analytiques (voir section 11).

3.3 Données collectées dans le cadre de l'utilisation du service Kapelgy

Noms de domaine, adresses IP et URL de vos actifs numériques soumis à l'audit (données techniques nécessaires à la prestation) ;
Résultats des scans OWASP et audits de sécurité ;
Logs d'événements de sécurité ;
Données de configuration des agents (stockées chiffrées avec AES-256-GCM).

4. Finalités et bases légales des traitements

FINALITÉ	BASE LÉGALE (RGPD)
Création et gestion des comptes utilisateurs	Exécution du contrat (Art. 6.1.b)
Fourniture du service d'audit et de cybersécurité	Exécution du contrat (Art. 6.1.b)
Facturation et gestion des abonnements	Exécution du contrat + Obligation légale (Art. 6.1.b et 6.1.c)
Support client et résolution d'incidents	Exécution du contrat + Intérêt légitime (Art. 6.1.b et 6.1.f)
Amélioration du service et statistiques d'usage	Intérêt légitime (Art. 6.1.f)
Envoi de newsletters et communications marketing	Consentement (Art. 6.1.a) — retirable à tout moment
Sécurité, prévention de la fraude et conformité légale	Intérêt légitime + Obligation légale (Art. 6.1.c et 6.1.f)
Cookies analytiques (Matomo)	Consentement (Art. 6.1.a)

5. Durées de conservation

Kapelgy SAS applique le principe de minimisation des données et ne conserve pas vos données au-delà du nécessaire :

Données de compte actifDurée de la relation contractuelle + 3 ans après résiliation

Données de facturation10 ans (obligation légale comptable — Art. L123-22 C. com.)

Résultats d'audit de sécuritéDurée de l'abonnement + 1 an (sauf demande de suppression)

Logs d'accès serveur12 mois (exigence ANSSI et obligations légales)

Données de contact (prospect)3 ans à compter du dernier contact

Adresses IP (anonymisées)30 jours avant anonymisation totale

Consentements collectés5 ans (preuve du consentement)

Cookies analytiques13 mois maximum (recommandation CNIL)

À l'expiration de ces délais, vos données sont définitivement supprimées ou anonymisées de manière irréversible.

6. Destinataires des données

Vos données personnelles ne sont jamais vendues à des tiers. Elles peuvent être partagées avec :

OVHcloud – hébergement des serveurs (France) ;
Stripe – traitement des paiements (accord de traitement de données RGPD signé — données chiffrées, certifié PCI-DSS niveau 1) ;
Matomo – analytics web hébergé sur nos serveurs (aucun transfert vers des tiers) ;
Services postaux / email – envoi de notifications transactionnelles ;
Autorités compétentes – si une obligation légale l'exige (ex. réquisition judiciaire).

Chaque sous-traitant a signé un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. La liste complète des sous-traitants est disponible sur demande à contact@kapelgy.fr.

7. Transferts hors Union Européenne

✓

Par défaut, aucune donnée ne quitte l'Union Européenne. L'ensemble de notre infrastructure est hébergée chez OVHcloud en France.

Dans le cas exceptionnel où un transfert serait nécessaire (ex. assistance technique par un sous-traitant établi hors UE), Kapelgy SAS s'assure que ce transfert repose sur des garanties appropriées conformément au Chapitre V du RGPD :

Décision d'adéquation de la Commission européenne ;
Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision du 4 juin 2021) ;
Votre consentement explicite, si requis.

Pour Stripe (USA), un DPA incluant les clauses contractuelles types est en place, et Stripe est certifié Privacy Shield et participe au EU-US Data Privacy Framework.

8. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique & Libertés, vous disposez des droits suivants sur vos données personnelles :

👁

Droit d'accès

Obtenir une copie de toutes les données vous concernant que nous détenons (Art. 15 RGPD).

✏️

Droit de rectification

Corriger vos données inexactes ou incomplètes (Art. 16 RGPD).

🗑

Droit à l'effacement

Demander la suppression de vos données (« droit à l'oubli » — Art. 17 RGPD), sous conditions légales.

⏸

Droit à la limitation

Demander la suspension temporaire du traitement de vos données (Art. 18 RGPD).

📦

Droit à la portabilité

Recevoir vos données dans un format structuré, lisible par machine (Art. 20 RGPD).

🚫

Droit d'opposition

Vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection (Art. 21 RGPD).

🤖

Décision automatisée

Ne pas faire l'objet d'une décision uniquement automatisée produisant des effets juridiques (Art. 22 RGPD).

↩️

Retrait du consentement

Retirer votre consentement à tout moment, sans préjudice des traitements antérieurs (Art. 7.3 RGPD).

Comment exercer vos droits ?

Envoyez votre demande par email à contact@kapelgy.fr en indiquant votre identité (nous pouvons vous demander une pièce d'identité pour vérifier votre identité avant de traiter la demande). Vous pouvez également écrire à : Kapelgy SAS — Service Protection des Données, Paris, France.

Nous répondons à toute demande dans un délai d'un mois à compter de sa réception (Art. 12 RGPD), délai pouvant être porté à trois mois en cas de complexité ou de nombre élevé de demandes.

9. Sécurité des données

Kapelgy SAS applique les meilleures pratiques en matière de sécurité informatique pour protéger vos données, notamment :

Chiffrement au repos : AES-256-GCM pour les champs sensibles ;
Chiffrement en transit : TLS 1.3 minimum sur toutes les communications ;
Chiffrement post-quantique : CRYSTALS-Kyber-1024 (NIST FIPS 203) pour les échanges de clés ;
Authentification : JWT à durée de vie limitée (8h), politique de mots de passe renforcée ;
Contrôle d'accès : principe du moindre privilège, isolation par tenant (architecture multi-tenant) ;
Audits de sécurité : tests d'intrusion réguliers (OWASP Top 10) ;
Hébergement souverain : OVHcloud ISO 27001 certifié, datacenters en France ;
Sauvegarde : backups chiffrés quotidiens avec conservation 30 jours.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Kapelgy SAS s'engage à notifier l'autorité de contrôle compétente (CNIL) dans les 72 heures et les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

10. Mineurs

Le service Kapelgy est exclusivement destiné aux professionnels et aux entreprises. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si vous pensez qu'un mineur nous a fourni des données, contactez-nous immédiatement à contact@kapelgy.fr.

11. Cookies et traceurs

Consultez notre Politique de Cookies dédiée pour une information complète sur les cookies utilisés, leur durée de vie et comment les gérer.

En synthèse, nous utilisons :

Cookies strictement nécessaires : session, authentification, panier — exemptés de consentement ;
Cookies analytiques (Matomo) : mesure d'audience anonymisée, hébergés sur nos serveurs — soumis à votre consentement ;
Cookies de préférences : mémorisation de vos choix d'interface — soumis à votre consentement.

Nous n'utilisons aucun cookie publicitaire ou de tracking tiers.

12. Modifications de la politique

Kapelgy SAS se réserve le droit de modifier la présente politique de confidentialité à tout moment pour refléter les évolutions législatives, réglementaires ou de nos pratiques. Toute modification substantielle sera notifiée par email aux utilisateurs enregistrés et signalée sur cette page avec la date de mise à jour. Nous vous invitons à consulter régulièrement cette page.

13. Contact et droit de réclamation

Pour toute question relative à la présente politique ou à l'exercice de vos droits :

Email DPOcontact@kapelgy.fr

Email privacycontact@kapelgy.fr

CourrierKapelgy SAS — Service DPO, Paris, France

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés) :

Site webwww.cnil.fr

AdresseCNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Téléphone+33 1 53 73 22 22

Réclamation en lignewww.cnil.fr/fr/pl