Dernière mise à jour : 16 avril 2026
Politique de Confidentialité
1. Responsable du traitement
[NOM SOCIÉTÉ], [forme juridique], [ADRESSE], [SIRET].
Contact DPO : contact@kaleo.io
2. Données collectées
| Donnée | Finalité | Base légale |
|---|---|---|
| Email, mot de passe | Authentification au service | Exécution du contrat |
| Tokens OAuth Google (chiffrés AES-256) | Accès à votre fiche Google Business | Exécution du contrat |
| Nom de l'établissement, type, ville | Personnalisation des réponses IA | Exécution du contrat |
| Avis clients (nom du reviewer, commentaire) | Génération des réponses IA | Intérêt légitime |
| Réponses générées et publiées | Historique et amélioration du service | Exécution du contrat |
| Numéro WhatsApp (optionnel) | Notifications en temps réel | Consentement |
| Données de paiement (via Stripe) | Facturation | Exécution du contrat |
| Adresse de livraison (commande NFC) | Livraison du matériel | Exécution du contrat |
| Logs techniques (IP, user-agent) | Sécurité et débogage | Intérêt légitime |
3. Sous-traitants et transferts
Kaleo fait appel aux sous-traitants suivants :
- Supabase (AWS eu-west-3, France) — base de données et authentification
- Anthropic / Claude (USA) — génération de réponses IA. Les avis transmis ne sont pas utilisés pour entraîner les modèles d'Anthropic. Transfert encadré par les clauses contractuelles types de l'UE.
- Stripe (USA) — paiements sécurisés. Données bancaires non stockées par Kaleo.
- Twilio (USA) — notifications WhatsApp. Seul le numéro et le message sont transmis.
- Railway / Vercel (USA) — hébergement de l'application. Transfert encadré par les clauses contractuelles types de l'UE.
- Google (USA) — API Google Business Profile. Soumis à la politique de confidentialité de Google.
4. Durée de conservation
- Données de compte : durée du contrat + 3 ans après résiliation
- Avis et réponses : durée du contrat + 1 an
- Tokens OAuth : supprimés immédiatement à la déconnexion ou résiliation
- Données de paiement : 10 ans (obligation comptable légale, chez Stripe)
- Logs techniques : 12 mois
5. Sécurité
Kaleo met en œuvre les mesures techniques suivantes pour protéger vos données :
- Chiffrement AES-256 des tokens OAuth Google en base de données
- Communications HTTPS/TLS 1.3 uniquement
- Authentification par JWT avec expiration courte
- Accès à la base de données restreint par Row Level Security (Supabase)
- Aucun accès employé aux données sans authentification multi-facteurs
6. Vos droits (RGPD)
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à un traitement basé sur l'intérêt légitime
- Droit à la limitation : limiter le traitement de vos données
Pour exercer ces droits : contact@kaleo.io. Réponse sous 30 jours. En cas de réclamation non résolue, vous pouvez saisir la CNIL.
7. Cookies
Kaleo utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
8. Modifications
Kaleo peut modifier cette politique. En cas de modification substantielle, vous serez informé par email. La poursuite de l'utilisation du service vaut acceptation.
9. Contact
Pour toute question : contact@kaleo.io