Politique de confidentialité

KONTRACTIS
Politique de Confidentialité
Conforme au Règlement Général sur la Protection des Données (RGPD)
En vigueur au 05 avril 2026

Identité du Responsable de Traitement
SociétéKontractis SAS
Forme juridiqueSociété par Actions Simplifiée (SAS)
Siège social[Adresse complète à renseigner]
N° SIREN[À renseigner]
Site webwww.kontractis.fr
Contact DPOdpo@kontractis.fr
Autorité de contrôleCNIL — www.cnil.fr

1. Introduction et engagement
Kontractis SAS (ci-après « Kontractis », « nous » ou « l'Éditeur ») accorde une importance fondamentale à la protection des données personnelles de ses utilisateurs. En tant que plateforme dédiée à la conformité documentaire des sous-traitants, nous traitons des données à caractère professionnel et, dans certains cas, des données à caractère personnel. La qualité et la sécurité de ces traitements sont au cœur de notre démarche.
La présente Politique de Confidentialité (ci-après « la Politique ») a pour objet de vous informer de manière transparente, claire et complète sur :
les catégories de données personnelles que nous collectons et traitons ;
les finalités et bases légales de ces traitements ;
la durée de conservation des données ;
les destinataires et sous-traitants auxquels vos données sont communiquées ;
vos droits en tant que personne concernée et les modalités de leur exercice.
Cette Politique s'applique à toute personne physique dont les données sont traitées par Kontractis dans le cadre de l'utilisation de la plateforme, qu'elle soit Donneur d'Ordre, Prestataire, ou simple visiteur du site web.
Nous nous engageons à traiter vos données dans le strict respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi Informatique et Libertés).

2. Qui sommes-nous ? Rôles et responsabilités
2.1 Kontractis en tant que Responsable de traitement
Kontractis agit en qualité de Responsable de traitement au sens de l'article 4(7) du RGPD pour l'ensemble des données collectées directement auprès des Utilisateurs de la Plateforme (création de compte, navigation, facturation, support).
En cette qualité, Kontractis détermine les finalités et les moyens des traitements réalisés, et est responsable de leur conformité au regard du RGPD.
2.2 Kontractis en tant que Sous-traitant
Pour les données personnelles contenues dans les documents de conformité déposés par les Prestataires (données de tiers pouvant figurer dans un KBIS, une attestation URSSAF, etc.), Kontractis peut agir en qualité de Sous-traitant au sens de l'article 4(8) du RGPD, pour le compte du Donneur d'Ordre qui reste Responsable de traitement de ces données vis-à-vis des personnes concernées.
Dans ce cadre, Kontractis s'engage à traiter ces données exclusivement selon les instructions documentées du Donneur d'Ordre, à garantir leur sécurité, et à ne pas les utiliser à d'autres fins.
2.3 Responsabilité conjointe
Dans certaines situations (notamment la gestion des notifications aux Prestataires déclenchées conjointement par Kontractis et le Donneur d'Ordre), Kontractis et le Donneur d'Ordre peuvent être considérés comme Responsables conjoints de traitement au sens de l'article 26 du RGPD. Les modalités de cette co-responsabilité sont définies dans le contrat de Data Processing Agreement (DPA) conclu entre les parties.

3. Données personnelles collectées
3.1 Données collectées auprès des Donneurs d'Ordre
Lors de l'inscription et de l'utilisation du compte Donneur d'Ordre, nous collectons :
Données d'identification du représentant : nom, prénom, adresse e-mail professionnelle, numéro de téléphone, fonction dans l'entreprise.
Données de l'entreprise : dénomination sociale, numéro SIREN/SIRET, code APE/NAF, adresse du siège social, numéro de TVA intracommunautaire.
Données de connexion : adresse IP, type de navigateur et système d'exploitation, horodatage des connexions, journaux d'activité (logs).
Données de facturation et de paiement : coordonnées de facturation, informations bancaires transmises à notre prestataire de paiement (Stripe ou équivalent certifié PCI-DSS — ces données ne sont jamais stockées directement par Kontractis).
Données de support et communication : contenu des échanges avec notre équipe support, tickets ouverts.
Données de préférences : paramètres de notifications, préférences d'affichage, langue.
3.2 Données collectées auprès des Prestataires
Lors de la création de compte et de l'utilisation de l'espace Prestataire, nous collectons :
Données d'identification : nom, prénom, adresse e-mail professionnelle, numéro de téléphone, qualité (dirigeant, représentant habilité).
Données de l'entreprise : dénomination sociale, numéro SIREN/SIRET, code APE/NAF, adresse du siège, forme juridique.
Documents de conformité : fichiers déposés (KBIS, attestation URSSAF, attestation d'assurance RC Pro, attestation DGFiP) ainsi que les métadonnées extraites (dates d'émission, dates d'expiration, émetteur, numéro d'attestation).
Données de connexion : adresse IP, navigateur, horodatage des connexions et actions.
Identifiants de connexion tiers (si scraping activé) : identifiants URSSAF et/ou DGFiP, stockés sous forme chiffrée (AES-256) et utilisés exclusivement pour le scraping automatisé.
3.3 Données collectées auprès des visiteurs du site
Pour les visiteurs du site web www.kontractis.fr qui ne créent pas de compte, nous collectons uniquement :
Adresse IP et données de navigation (pages visitées, durée de la visite, source de trafic) via des outils d'analyse d'audience conformes au RGPD.
Données des formulaires de contact (nom, e-mail, message) uniquement si vous nous contactez volontairement.
Données de cookies selon vos préférences (voir Article 9).
3.4 Données que nous ne collectons pas
Kontractis ne collecte pas et ne traite pas :
De données personnelles sensibles au sens de l'article 9 du RGPD (données de santé, données biométriques, opinions politiques, appartenance syndicale, etc.).
De données relatives aux mineurs (la Plateforme est exclusivement destinée à des professionnels).
De données de localisation en temps réel.

4. Finalités des traitements et bases légales
4.1 Exécution du contrat (article 6.1.b RGPD)
Les traitements suivants sont nécessaires à l'exécution du contrat d'abonnement et à la fourniture du service :
Création et gestion des comptes Utilisateurs (Donneurs d'Ordre et Prestataires).
Gestion des invitations et du rattachement Donneur d'Ordre / Prestataire.
Traitement, analyse et stockage des documents de conformité déposés.
Extraction automatisée des dates d'expiration par analyse documentaire.
Envoi des notifications d'expiration et d'alertes de conformité.
Facturation et gestion des abonnements.
Fourniture du support technique et client.
4.2 Intérêt légitime (article 6.1.f RGPD)
Certains traitements sont fondés sur notre intérêt légitime à exploiter un service sécurisé et de qualité, dans le respect de vos droits et libertés fondamentaux :
Amélioration continue de la Plateforme et de l'expérience utilisateur (analyse des usages anonymisés).
Prévention de la fraude, détection des accès non autorisés et sécurisation de la Plateforme.
Journalisation des actions pour la traçabilité et l'audit interne.
Gestion des contentieux et défense de nos droits en justice.
Prospection commerciale auprès de prospects professionnels (B2B), dans les limites autorisées.
4.3 Consentement (article 6.1.a RGPD)
Les traitements suivants sont subordonnés à votre consentement préalable, explicite et révocable à tout moment :
Activation du scraping automatisé et communication des identifiants de connexion aux organismes tiers (URSSAF, DGFiP).
Réception de communications marketing et newsletters de Kontractis.
Dépôt de cookies non essentiels (analytiques, de performance) sur votre terminal.
Vous pouvez retirer votre consentement à tout moment sans que cela remette en cause la licéité des traitements effectués avant ce retrait. La révocation s'effectue depuis les paramètres de votre compte ou en nous contactant à dpo@kontractis.fr.
4.4 Obligation légale (article 6.1.c RGPD)
Certains traitements sont imposés par la réglementation applicable :
Conservation des données comptables et fiscales (article L. 123-22 du Code de commerce — 10 ans).
Conservation des données permettant de répondre à des réquisitions judiciaires ou administratives.
Respect des obligations issues de la directive ePrivacy pour les cookies.

5. Durées de conservation des données
Kontractis applique une politique de conservation proportionnée aux finalités poursuivies. Les données sont supprimées ou anonymisées dès que leur conservation n'est plus nécessaire.
5.1 Données de compte actif
Données d'identification et de profil : conservées pendant toute la durée d'activité du compte, puis supprimées ou anonymisées dans les 30 jours suivant la clôture du compte.
Journaux de connexion et d'activité : 12 mois glissants, conformément aux recommandations de la CNIL.
Données de support : 3 ans à compter de la clôture du ticket.
5.2 Documents de conformité
Documents actifs : conservés pendant toute la durée d'activité du compte du Prestataire.
Documents expirés : archivés pendant 5 ans à compter de la date d'expiration du document (durée recommandée pour faire face à d'éventuels contrôles administratifs ou judiciaires).
Après clôture du compte : les documents sont archivés pendant 5 ans puis supprimés définitivement.
5.3 Données de facturation
Factures et données comptables : 10 ans à compter de la date d'émission (article L. 123-22 du Code de commerce).
Données de paiement : non stockées par Kontractis ; gérées par le prestataire de paiement selon ses propres politiques de conservation.
5.4 Identifiants de scraping
Les identifiants de connexion tiers communiqués pour le scraping automatisé sont supprimés immédiatement et définitivement dès la révocation du consentement ou la clôture du compte.
5.5 Données des visiteurs
Données de navigation anonymisées : 25 mois (recommandation CNIL pour les outils d'audience).
Données des formulaires de contact : 3 ans à compter du dernier contact.
Cookies : selon leur nature (voir Article 9).

6. Destinataires et partage des données
6.1 Au sein de la relation Donneur d'Ordre / Prestataire
Les données de conformité du Prestataire (statut des documents, dates d'expiration, alertes) sont partagées avec les Donneurs d'Ordre auxquels le Prestataire est rattaché. Ce partage est inhérent au fonctionnement du service et constitue sa finalité principale.
En revanche, les données strictement personnelles du Prestataire (coordonnées directes, identifiants de scraping) ne sont jamais communiquées aux Donneurs d'Ordre.
6.2 Sous-traitants techniques de Kontractis
Kontractis fait appel à des prestataires techniques soigneusement sélectionnés pour l'hébergement, la sécurité et le fonctionnement de la Plateforme. Ces sous-traitants agissent exclusivement sur instruction de Kontractis et sont liés par des accords de sous-traitance conformes à l'article 28 du RGPD. Ils n'utilisent jamais vos données à leurs propres fins.
Les principales catégories de sous-traitants sont :
Hébergeur cloud : serveurs situés exclusivement en Union Européenne (France ou Allemagne).
Prestataire de paiement : certifié PCI-DSS, soumis à ses propres obligations de conformité.
Outil d'envoi d'e-mails transactionnels : pour l'envoi des notifications et invitations.
Outil d'analyse d'audience : solution respectueuse du RGPD, avec anonymisation des données.
Outil de support client : pour la gestion des tickets.
La liste détaillée et à jour de nos sous-traitants est disponible sur demande auprès de notre DPO.
6.3 Autorités et tiers légalement habilités
Kontractis peut être amené à communiquer des données personnelles à des autorités administratives ou judiciaires (CNIL, tribunaux, services fiscaux, forces de l'ordre) lorsque cela est requis par la loi, une décision de justice, ou pour la protection de nos droits légaux.
6.4 Absence de vente ou de partage commercial
Kontractis ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales. Vos données ne sont en aucun cas utilisées pour de la publicité comportementale ou transmises à des réseaux publicitaires.

7. Transferts de données hors Union Européenne
Kontractis héberge l'intégralité de ses données sur des serveurs situés au sein de l'Union Européenne. Aucun transfert de données personnelles vers des pays tiers n'est effectué de manière systématique.
Certains de nos sous-traitants peuvent, dans des cas spécifiques et documentés, traiter des données depuis des pays tiers. Dans ce cas, nous nous assurons que des garanties appropriées sont en place, conformément au Chapitre V du RGPD :
Décision d'adéquation de la Commission européenne (article 45 RGPD).
Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (article 46 RGPD).
Certification ou code de conduite approuvé accompagné d'engagements contraignants (article 46 RGPD).
Vous pouvez obtenir une copie des garanties mises en place pour tout transfert spécifique en contactant notre DPO à dpo@kontractis.fr.

8. Sécurité des données
8.1 Mesures techniques
Kontractis met en œuvre des mesures de sécurité techniques conformes aux standards les plus élevés de l'industrie, notamment :
Chiffrement des données en transit via le protocole TLS 1.3.
Chiffrement des données au repos via l'algorithme AES-256.
Chiffrement spécifique et renforcé des identifiants de connexion tiers communiqués pour le scraping.
Authentification forte avec option d'authentification à deux facteurs (2FA) pour tous les comptes.
Journalisation exhaustive des accès et des actions sur la Plateforme (logs d'audit).
Tests de pénétration réguliers réalisés par des prestataires tiers indépendants.
Politique de mise à jour et de correction des vulnérabilités (patch management).
Sauvegardes quotidiennes des données avec stockage redondant.
8.2 Mesures organisationnelles
Accès aux données personnelles limité au strict nécessaire (principe du moindre privilège).
Formation de l'ensemble des collaborateurs aux enjeux de la protection des données.
Signature d'accords de confidentialité par l'ensemble du personnel et des prestataires ayant accès aux données.
Procédure documentée de gestion des incidents de sécurité et des violations de données.
8.3 En cas de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Kontractis s'engage à :
Notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation (article 33 RGPD).
Vous notifier dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (article 34 RGPD), en vous indiquant la nature de la violation, les données concernées, et les mesures prises.
Un point de contact dédié est disponible pour tout signalement de vulnérabilité : securite@kontractis.fr.

9. Cookies et traceurs
9.1 Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lors de votre visite sur un site web. Il permet de mémoriser des informations relatives à votre navigation et est utilisé à diverses fins décrites ci-après.
9.2 Cookies utilisés par Kontractis
Cookies strictement nécessaires (pas de consentement requis)
Ces cookies sont indispensables au fonctionnement de la Plateforme et ne peuvent pas être désactivés :
Cookie de session : maintien de votre authentification pendant la durée de votre session. Durée : session (supprimé à la fermeture du navigateur).
Cookie CSRF : protection contre les attaques de type Cross-Site Request Forgery. Durée : session.
Cookie de préférences de cookies : mémorisation de vos choix en matière de cookies. Durée : 13 mois.
Cookies analytiques (consentement requis)
Ces cookies nous permettent de comprendre comment vous utilisez la Plateforme, d'identifier des dysfonctionnements et d'améliorer nos services. Les données collectées sont agrégées et anonymisées.
Outil d'analyse d'audience : mesure de l'audience, parcours de navigation, durée des sessions. Durée : maximum 13 mois.
Cookies de performance (consentement requis)
Mémorisation de certaines préférences d'affichage pour améliorer votre expérience. Durée : 12 mois.
9.3 Gestion de vos préférences
Lors de votre première visite, un bandeau vous informe de l'utilisation de cookies et vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences à tout moment via le lien « Gérer mes cookies » disponible en bas de chaque page.
Vous pouvez également configurer votre navigateur pour bloquer ou supprimer les cookies. Notez que la désactivation des cookies strictement nécessaires peut altérer le fonctionnement de la Plateforme.

10. Vos droits sur vos données personnelles
10.1 Inventaire de vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Droit d'accès (article 15 RGPD) : obtenir la confirmation que nous traitons vos données et, le cas échéant, en obtenir une copie ainsi que toutes les informations relatives aux traitements vous concernant.
Droit de rectification (article 16 RGPD) : faire corriger des données inexactes ou incomplètes vous concernant.
Droit à l'effacement / « droit à l'oubli » (article 17 RGPD) : obtenir la suppression de vos données dans les cas prévus par le RGPD (données non nécessaires, retrait du consentement, opposition, données traitées illicitement). Ce droit ne s'applique pas lorsque la conservation est nécessaire au respect d'une obligation légale.
Droit à la limitation du traitement (article 18 RGPD) : obtenir le gel temporaire de l'utilisation de vos données dans certaines situations (données contestées, traitement illicite, données nécessaires à la constatation de droits en justice).
Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur votre consentement ou sur un contrat.
Droit d'opposition (article 21 RGPD) : vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, y compris au profilage. Vous pouvez également vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale.
Droit de retrait du consentement (article 7.3 RGPD) : retirer à tout moment un consentement précédemment donné, sans que cela ne remette en cause les traitements antérieurs.
Droit de définir des directives post-mortem (article 85 loi Informatique et Libertés) : donner des instructions relatives au sort de vos données après votre décès.
10.2 Modalités d'exercice
Pour exercer l'un de ces droits, vous pouvez nous contacter :
Par e-mail : dpo@kontractis.fr
Par courrier postal : [Adresse du siège social — À renseigner] — à l'attention du Délégué à la Protection des Données
Votre demande doit préciser votre identité et le droit que vous souhaitez exercer. Nous vous demanderons de justifier votre identité par tout moyen raisonnable (copie d'une pièce d'identité chiffrée si la demande est faite par voie électronique).
Nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de la réception de votre demande complète. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demandes complexes ou nombreuses, auquel cas nous vous en informerons.
10.3 Droit de réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés ou que nos traitements ne sont pas conformes au RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Site web : www.cnil.fr
Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : +33 1 53 73 22 22

11. Protection des mineurs
La Plateforme Kontractis est exclusivement destinée à des professionnels et à des personnes morales. Elle n'est pas destinée aux mineurs de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles relatives à des mineurs.
Si nous apprenions qu'un mineur nous a communiqué des données personnelles sans le consentement de ses représentants légaux, nous procéderions à leur suppression dans les meilleurs délais. Si vous constatez une telle situation, veuillez nous contacter à dpo@kontractis.fr.

12. Modifications de la Politique de Confidentialité
Kontractis se réserve le droit de modifier la présente Politique de Confidentialité à tout moment pour refléter des évolutions légales, réglementaires, technologiques ou fonctionnelles.
En cas de modification substantielle affectant vos droits ou la nature des traitements, vous serez informé par e-mail au moins trente (30) jours avant l'entrée en vigueur des nouvelles dispositions. L'utilisation continue de la Plateforme après cette date vaut acceptation des modifications.
La version actuellement en vigueur est celle dont la date figure en en-tête du présent document. L'historique des versions est consultable sur demande auprès de notre DPO.

13. Contact et Délégué à la Protection des Données (DPO)
Pour toute question relative à la présente Politique, à vos droits ou à nos pratiques en matière de protection des données, vous pouvez contacter notre Délégué à la Protection des Données :

Délégué à la Protection des Données — Kontractis SAS
E-maildpo@kontractis.fr
Courrier[Adresse complète — À renseigner]
Délai de réponse1 mois maximum (article 12 RGPD)

Politique de Confidentialité Kontractis — Conforme RGPD — En vigueur au 05 avril 2026