Politique de confidentialité
Date d'entrée en vigueur : 30/03/2026
1. Introduction et engagement
Kontractis SAS (ci-après « Kontractis ») accorde une importance fondamentale à la protection des données personnelles de ses utilisateurs, partenaires et visiteurs.
La présente Politique de Confidentialité a pour objet de vous informer de manière transparente sur les catégories de données personnelles collectées, les finalités des traitements mis en œuvre, la durée de conservation, les destinataires des données et les droits dont vous disposez.
Elle s’applique à toute personne physique dont les données sont traitées par Kontractis dans le cadre de l’utilisation de la Plateforme ou de la navigation sur le Site, qu’il s’agisse de Donneurs d’Ordre, de Prestataires ou de simples visiteurs.
Kontractis s’engage à traiter vos données dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
2. Rôles et responsabilités
Selon la nature des données traitées, Kontractis intervient en différentes qualités :
- Responsable de traitement : Kontractis détermine les finalités et les moyens des traitements de données collectées directement auprès des utilisateurs (création de compte, navigation, support, facturation).
- Sous-traitant : pour les documents de conformité déposés par les Prestataires (KBIS, attestations URSSAF, RC Pro, DGFiP), Kontractis agit sur instruction du Donneur d’Ordre conformément à l’article 28 du RGPD.
- Responsabilité conjointe : dans certaines situations spécifiques (par exemple, notification croisée de non-conformité), une co-responsabilité peut être établie. Les obligations respectives sont définies dans le Data Processing Agreement (DPA) conclu entre les parties.
3. Données personnelles collectées
3.1 Donneurs d’Ordre (entreprises clientes)
- Identification du représentant : nom, prénom, adresse e-mail professionnelle, numéro de téléphone, fonction.
- Données entreprise : dénomination sociale, SIREN/SIRET, code APE/NAF, adresse du siège, numéro de TVA intracommunautaire.
- Données de connexion : adresse IP, type de navigateur, journaux d’accès (logs).
- Facturation et paiement : traités par un prestataire de paiement tiers certifié PCI-DSS. Kontractis ne stocke pas vos données bancaires.
- Support et communication : échanges par e-mail, chat ou formulaire.
- Préférences utilisateur : paramètres de notification et d’affichage.
3.2 Prestataires (sous-traitants suivis)
- Identification personnelle et entreprise : nom, prénom, e-mail, téléphone, dénomination, SIREN/SIRET.
- Documents de conformité : KBIS, attestations URSSAF (vigilance), assurance RC Pro, attestation de régularité fiscale DGFiP.
- Données de connexion : adresse IP, navigateur, logs d’accès.
- Identifiants de scraping : chiffrés en AES-256, utilisés uniquement pour la récupération automatique de documents avec le consentement explicite du Prestataire.
3.3 Visiteurs du site
- Adresse IP et données de navigation (pages visitées, durée).
- Données saisies volontairement dans les formulaires de contact.
- Cookies et traceurs, selon vos préférences (voir article 9).
3.4 Données non collectées
Kontractis ne collecte aucune donnée sensible au sens de l’article 9 du RGPD (données de santé, données biométriques, opinions politiques, convictions religieuses), aucune donnée relative aux mineurs, ni aucune donnée de localisation en temps réel.
4. Finalités des traitements et bases légales
4.1 Exécution du contrat (art. 6.1.b RGPD)
Création et gestion des comptes utilisateurs, gestion des invitations Prestataires, traitement et analyse des documents de conformité, extraction automatique des dates d’expiration, envoi de notifications d’expiration et d’alertes, facturation et gestion des abonnements, support technique et assistance.
4.2 Intérêt légitime (art. 6.1.f RGPD)
Amélioration continue de la Plateforme et de l’expérience utilisateur, prévention de la fraude et sécurisation des accès, journalisation des actions à des fins d’audit, gestion des éventuels contentieux, prospection commerciale auprès de prospects professionnels (B2B).
4.3 Consentement (art. 6.1.a RGPD)
Scraping automatisé des documents de conformité (consentement explicite du Prestataire), envoi de communications marketing et newsletters, dépôt de cookies non essentiels (analytiques, performance).
4.4 Obligation légale (art. 6.1.c RGPD)
Conservation des données comptables et fiscales (10 ans, articles L. 123-22 du Code de commerce et 286 du Code général des impôts), réponse aux réquisitions judiciaires et demandes des autorités compétentes, respect des obligations liées à la directive ePrivacy.
5. Durées de conservation
| Type de données | Durée de conservation |
|---|---|
| Données d’identification du compte | Durée d’activité du compte + 30 jours après clôture |
| Journaux d’activité (logs) | 12 mois glissants |
| Données de support | 3 ans après clôture du ticket |
| Documents de conformité actifs | Durée d’activité du compte |
| Documents expirés / archivés | 5 ans après expiration |
| Données de facturation | 10 ans (obligation légale) |
| Identifiants de scraping | Suppression immédiate après révocation du consentement |
| Données de navigation anonymisées | 25 mois |
| Formulaires de contact | 3 ans |
À l’issue de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.
6. Destinataires et partage des données
6.1 Relations Donneur d’Ordre / Prestataire
Le Donneur d’Ordre a accès au statut de conformité de ses Prestataires (documents valides, expirés, manquants) et aux dates d’expiration des documents. Les données personnelles du Prestataire (coordonnées, identifiants) ne sont pas communiquées au Donneur d’Ordre au-delà de ce qui est strictement nécessaire.
6.2 Sous-traitants techniques
Kontractis fait appel à des sous-traitants soumis à des obligations contractuelles conformes à l’article 28 du RGPD :
- Hébergeur cloud (serveurs situés en UE : France ou Allemagne)
- Prestataire de paiement (certifié PCI-DSS)
- Service d’e-mails transactionnels
- Outil d’analyse d’audience (conforme RGPD)
- Support client
La liste détaillée des sous-traitants est disponible sur demande auprès du DPO à l’adresse dpo@kontractis.fr.
6.3 Autorités compétentes
Kontractis peut être amené à communiquer des données personnelles à la CNIL, aux tribunaux compétents ou aux services fiscaux, uniquement en réponse à une obligation légale ou une décision de justice.
6.4 Pas de vente de données
Kontractis ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales.
7. Transferts hors Union Européenne
Les données traitées par Kontractis sont hébergées exclusivement au sein de l’Union Européenne (France ou Allemagne).
Dans l’hypothèse où un transfert vers un pays tiers serait nécessaire (par exemple, pour un sous-traitant technique spécifique), Kontractis s’engage à mettre en place les garanties appropriées conformément au Chapitre V du RGPD, notamment :
- Décisions d’adéquation de la Commission européenne (article 45 RGPD).
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (article 46.2.c RGPD).
- Codes de conduite ou mécanismes de certification approuvés (articles 40 et 42 RGPD).
8. Sécurité des données
Kontractis met en œuvre des mesures techniques et organisationnelles adaptées pour garantir la sécurité, l’intégrité et la confidentialité des données personnelles, conformément à l’article 32 du RGPD.
Mesures techniques
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
- Authentification à deux facteurs (2FA) pour l’accès à la Plateforme.
- Journaux d’audit complets et traçabilité des accès.
- Tests de pénétration réguliers et audits de sécurité.
- Sauvegardes quotidiennes redondantes et géographiquement distribuées.
Mesures organisationnelles
- Accès limité aux données selon le principe du moindre privilège.
- Formation régulière des collaborateurs à la protection des données.
- Accords de confidentialité signés par l’ensemble des personnels et prestataires.
- Procédures de gestion des incidents de sécurité documentées et testées.
Violations de données
En cas de violation de données au sens de l’article 33 du RGPD, Kontractis s’engage à notifier la CNIL dans un délai de 72 heures et à informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Contact sécurité : securite@kontractis.fr
9. Cookies et traceurs
Le Site et la Plateforme utilisent des cookies et technologies similaires classés en trois catégories :
Cookies strictement nécessaires (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| Session | Maintien de la connexion utilisateur | Durée de la session (fermeture du navigateur) |
| CSRF | Protection contre les attaques CSRF | Durée de la session |
| Préférences cookies | Mémorisation de vos choix | 13 mois |
Cookies analytiques (consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| Outil de mesure d’audience | Analyse de la fréquentation, parcours utilisateurs, durée des sessions | 13 mois maximum |
Cookies de performance (consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| Préférences d’affichage | Mémorisation des paramètres d’affichage | 12 mois |
Lors de votre première visite, un bandeau vous permet d’accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences à tout moment via le lien « Gérer mes cookies » en bas de chaque page.
10. Droits des personnes concernées
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description | Fondement |
|---|---|---|
| Accès | Obtenir confirmation du traitement et copie de vos données | Art. 15 RGPD |
| Rectification | Corriger des données inexactes ou incomplètes | Art. 16 RGPD |
| Effacement | Demander la suppression de vos données (« droit à l’oubli ») | Art. 17 RGPD |
| Limitation | Restreindre temporairement le traitement | Art. 18 RGPD |
| Portabilité | Recevoir vos données dans un format structuré et lisible | Art. 20 RGPD |
| Opposition | Vous opposer au traitement fondé sur l’intérêt légitime | Art. 21 RGPD |
| Retrait du consentement | Retirer votre consentement à tout moment | Art. 7.3 RGPD |
| Directives post-mortem | Définir le sort de vos données après votre décès | Loi Informatique et Libertés |
Pour exercer vos droits :
- Par e-mail : dpo@kontractis.fr
- Par courrier : Délégué à la Protection des Données — Kontractis SAS, Bureau 326, 59 rue de Ponthieu, 75008 Paris
Kontractis s’engage à répondre à toute demande dans un délai d’un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires pour les demandes complexes, après information préalable.
Réclamation auprès de la CNIL :
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : cnil.fr | 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 | +33 1 53 73 22 22.
11. Protection des mineurs
La Plateforme Kontractis est destinée exclusivement à un usage professionnel et n’est pas conçue pour être utilisée par des mineurs. Si nous apprenions qu’un mineur nous a communiqué des données personnelles sans le consentement de ses représentants légaux, nous procéderions à leur suppression dans les meilleurs délais.
12. Modifications de la Politique
Kontractis se réserve le droit de modifier la présente Politique de Confidentialité à tout moment pour l’adapter aux évolutions légales, réglementaires ou techniques.
En cas de modification substantielle, Kontractis s’engage à en informer les utilisateurs par e-mail ou notification sur la Plateforme, avec un préavis de trente (30) jours minimum avant l’entrée en vigueur des nouvelles dispositions.
La poursuite de l’utilisation de la Plateforme après l’entrée en vigueur des modifications vaut acceptation de la Politique mise à jour.
13. Contact DPO
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter le Délégué à la Protection des Données de Kontractis :
| dpo@kontractis.fr | |
| Courrier | Délégué à la Protection des Données — Kontractis SAS, Bureau 326, 59 rue de Ponthieu, 75008 Paris |
| Délai de réponse | 1 mois maximum |
Politique de Confidentialité Kontractis — Conforme au RGPD (UE) 2016/679