Politique de Confidentialité

Le responsable de traitement est Antony Maréchal, entrepreneur individuel (micro-entreprise), SIREN 853 938 710, dont le siège est situé 4 avenue Bara, 94210 Saint-Maur-des-Fossés (« Karb »).

Contact pour toute question relative aux données personnelles : agmarechal@gmail.com.

Karb agit en qualité de responsable de traitement pour la gestion de votre compte et la fourniture du Service, et de sous-traitant (art. 28 RGPD) pour les données que vous saisissez via la Plateforme.

Données de compte : nom, email, mot de passe (haché), entreprise, rôle, langue préférée.

Données d'usage : simulations enregistrées, paramètres de portefeuille, exports générés, tickets support et conversations chatbot.

Données techniques : adresse IP, user-agent, logs de connexion, événements anonymisés (analytics).

Données de facturation : nom, raison sociale, adresse, email, historique de paiement (traités par notre prestataire de paiement, voir §6).

Aucune donnée sensible (santé, opinions politiques, religion, etc.) n'est collectée.

Fourniture du Service (exécution du contrat, art. 6.1.b RGPD) : création de compte, simulations, exports, support.

Facturation et obligations comptables (obligation légale, art. 6.1.c) : conservation 10 ans des factures (art. L123-22 Code de commerce).

Amélioration du Service (intérêt légitime, art. 6.1.f) : analytics anonymisés, agrégation sectorielle.

Communication produit (consentement, art. 6.1.a) : newsletter, notifications opt-in.

Sécurité et lutte contre la fraude (intérêt légitime) : logs, détection d'anomalies.

Compte actif : durée de l'abonnement + 30 jours (fenêtre d'export après résiliation).

Données de simulation : durée de l'abonnement + 30 jours, puis suppression définitive.

Factures : 10 ans (obligation comptable).

Logs techniques : 12 mois maximum.

Tickets support : 3 ans après clôture.

Cookies analytiques : 13 mois maximum.

Cookies strictement nécessaires : session d'authentification, préférences linguistiques, consentement cookies. Aucun consentement requis (art. 82 LIL).

Cookies analytiques (avec consentement) : mesure d'audience anonymisée pour améliorer la plateforme. Vous pouvez refuser ou retirer votre consentement à tout moment via le bandeau cookies ou en effaçant le cookie « karb_cookie_consent_v1 ».

Aucun cookie publicitaire ni traceur tiers à des fins marketing n'est déposé.

Lovable Cloud (Supabase) : base de données et authentification — hébergement région UE.

Cloudflare Inc. : infrastructure edge (CDN, edge functions) — données en transit, traitement éphémère.

Stripe : prestataire de paiement (lorsque la facturation est activée). Conforme PCI-DSS, RGPD, clauses contractuelles types pour les transferts hors UE.

Lovable AI Gateway : modèles d'IA pour le chatbot support (requêtes anonymisées, pas de stockage long terme côté fournisseur).

Karb signe avec chacun de ses sous-traitants un accord de traitement (DPA) conforme à l'art. 28 RGPD.

Les données sont hébergées par défaut dans l'Union européenne.

Certains sous-traitants (Cloudflare, Stripe) peuvent traiter des données hors UE. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne ou une décision d'adéquation.

Vous pouvez demander la liste complète des sous-traitants et des garanties associées à agmarechal@gmail.com.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, et droit de définir des directives post-mortem.

Pour exercer ces droits, contactez agmarechal@gmail.com en justifiant de votre identité. Réponse sous 30 jours maximum.

Vous pouvez à tout moment retirer votre consentement (cookies, newsletter) sans que cela n'affecte la licéité des traitements antérieurs.

Vous avez le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Chiffrement TLS 1.3 en transit, AES-256 au repos.

Mots de passe hachés (bcrypt/argon2).

Politique de sauvegarde quotidienne, restauration testée régulièrement.

Cloisonnement par Row-Level Security (RLS) au niveau base de données.

Notification d'une violation de données dans les 72 heures à la CNIL et aux personnes concernées le cas échéant (art. 33-34 RGPD).

Le Service n'est pas destiné aux personnes de moins de 16 ans. Karb ne collecte pas sciemment de données de mineurs.

La présente politique peut être modifiée. Toute modification substantielle sera notifiée par email au moins 30 jours avant entrée en vigueur.

Version en vigueur : 1.0 — 21 avril 2026.