Kaparidev

Mentions juridiques

Politique de confidentialité (RGPD)

Version v0.3 — entrée en vigueur 2026-05-26 (ajout module Carnet d'opportunités V5.50).

Conforme au règlement général sur la protection des données (RGPD, règlement UE 2016/679) et à la loi française Informatique et Libertés.

1. Responsable de traitement

TAOPIB — entreprise individuelle, RCS Orléans 952 940 021, SIRET 95294002100019. Adresse : 401 rue de Barbotte, 45160 Olivet, France. Contact général : contact@kapari.eu. Référent données personnelles (point de contact DPO) : contact@kapari.eu (Pierre Barreaud, dirigeant). En l'absence d'obligation de désignation d'un DPO formel au sens de l'article 37 du RGPD (l'activité ne relève pas des critères de désignation obligatoire), le dirigeant assume directement le rôle de point de contact pour toute question relative aux données personnelles.

2. Finalités, base légale, durée de conservation

| Finalité | Base légale | Durée | | --- | --- | --- | | Création et gestion du compte utilisateur | Exécution du contrat | Durée d'utilisation + 12 mois | | Production et livraison des briefs (veille édito + Carnet d'opportunités) | Exécution du contrat | Durée d'utilisation + 12 mois | | Ingestion et traitement des sources publiques officielles (BOAMP, DECP, aides-territoires, TED) pour le Carnet d'opportunités | Intérêt légitime (réutilisation de données ouvertes sous licence Etalab 2.0 et CC BY 4.0) | Cache 24 mois, archive d'audit 5 ans | | Facturation, comptabilité, fiscalité | Obligation légale | 10 ans (art. L123-22 Code de commerce) | | Amélioration du service (logs anonymisés, mesures de qualité) | Intérêt légitime | 12 mois | | Communication transactionnelle (emails de service) | Exécution du contrat | Durée d'utilisation | | Communication marketing (newsletters, promotions) | Consentement explicite | Jusqu'à révocation | | Sécurité (logs accès, prévention abus) | Intérêt légitime | 12 mois |

3. Données collectées

  • Identité et compte : adresse email, identifiant Supabase.
  • Profil professionnel (facultatif, déclaré par l'utilisateur) : rôle, organisation, secteur d'activité, indicateurs suivis, décisions à prendre, langue, fuseau horaire, fréquence souhaitée des briefs.
  • Sujets de veille (Kaps) : libellé du sujet, type (veille édito ou carnet_opportunites), sources sélectionnées, paramètres.
  • Profil Carnet d'opportunités (facultatif, lorsqu'un Kap de type carnet_opportunites est créé) : description de l'organisation, position (prestataire / bénéficiaire / les deux), types d'opportunités recherchées, zone géographique, fourchette de montants, codes CPV ou tags, SIRET facultatif (utilisé pour pré-remplir l'identité via l'API Sirene publique INSEE), exclusions (acheteurs, secteurs).
  • Briefs livrés (Veille édito ou Carnet d'opportunités) : contenu, sources citées, horodatage de livraison, score de qualité éditoriale (anti-hallucination).
  • Feedback : feedback 1-clic dans le footer du brief (utile / partiel / pas utile), commentaire libre éventuel.
  • Données de paiement : gérées exclusivement par Stripe (Kapari ne stocke aucune donnée de carte bancaire) ; Kapari conserve uniquement l'identifiant client Stripe et le statut d'abonnement.
  • Logs techniques : adresses IP, user-agents, horodatages d'accès (rotation 12 mois).

Pas de profilage automatisé décisionnel au sens de l'article 22 du RGPD : aucune décision produisant des effets juridiques sur l'utilisateur n'est prise sur la base d'un traitement automatisé.

4. Destinataires (sous-traitants)

  • Stripe Payments Europe Ltd. (Irlande, UE) — paiements et abonnements.
  • Resend Inc. (Delaware, USA) — envoi d'emails transactionnels et briefs (DPA et clauses contractuelles types signées).
  • OpenRouter Inc. (USA) — accès aux modèles d'intelligence artificielle (DeepSeek, Llama, Anthropic).
  • Supabase Inc. (USA) sur infrastructure AWS Frankfurt (UE) — base de données et authentification.
  • Langfuse GmbH (Frankfurt, UE) — observabilité IA.
  • Google LLC (USA) — API YouTube Data v3, métadonnées de vidéos publiques uniquement.
  • Hostinger International Ltd. (Chypre, UE) — hébergement applicatif.

4.bis Sources publiques officielles (Carnet d'opportunités)

Les données ingérées depuis BOAMP, DECP, aides-territoires et TED sont des données ouvertes publiées par des autorités publiques sous licences Etalab 2.0 (sources françaises) et CC BY 4.0 / CC0 1.0 (TED, Union européenne). Ces sources ne contiennent pas de données à caractère personnel au sens du RGPD (article 4), à l'exception du nom de l'acheteur public (entité administrative ou personne morale, hors champ du RGPD). Kapari ne procède à aucun profilage de personnes physiques identifiables à partir de ces sources, et ne croise pas ces données avec les données de compte utilisateur. La liste exhaustive des sources et des licences applicables est publiée dans les mentions légales.

5. Transferts hors UE

  • Aucun transfert hors UE pour les données utilisateur stockées en base : Supabase Frankfurt et hébergement français.
  • Pour les modèles d'intelligence artificielle, OpenRouter peut router les requêtes vers des fournisseurs basés aux États-Unis (DeepInfra, Novita, Groq, Anthropic). Les requêtes ne contiennent que les données strictement nécessaires à la génération du brief (le sujet de veille, le profil utilisateur déclaré, les extraits de sources publiques). Aucune donnée d'identification directe (email, nom, identifiant) n'est transmise au modèle.
  • Stripe : Irlande (UE), avec clauses contractuelles types pour ses propres flux internes.
  • Resend : Delaware, USA — clauses contractuelles types DPA.
  • YouTube Data API : Google US — uniquement métadonnées de vidéos publiques (titres, durée, URL).

6. Droits des utilisateurs

Conformément au RGPD, l'utilisateur dispose des droits suivants : accès, rectification, opposition, effacement, portabilité, limitation du traitement.

Les demandes peuvent être adressées à contact@kapari.eu. Une réponse est apportée sous 30 jours. En cas de désaccord persistant, l'utilisateur peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris, www.cnil.fr.

7. Sécurité des données

  • Chiffrement en transit : TLS 1.2 minimum sur l'ensemble des échanges (HTTPS, Let's Encrypt).
  • Chiffrement au repos : chiffrement AES-256 sur les bases de données Supabase et les sauvegardes.
  • Authentification : magic links email à usage unique, pas de mot de passe stocké côté Kapari.
  • Sauvegardes : rétention roulante de 30 jours, restauration testée trimestriellement.
  • Accès : contrôle des accès par rôles, journalisation des accès administrateurs.
  • Sous-traitants : signature de DPA et clauses contractuelles types avec chaque sous-traitant traitant des données personnelles.

8. Cookies et traceurs

Le site kapari.eu utilise les cookies suivants, strictement nécessaires au fonctionnement du service (et donc exemptés de consentement préalable conformément à la directive ePrivacy) :

| Cookie | Origine | Finalité | Durée | | --- | --- | --- | --- | | sb-access-token / sb-refresh-token | Supabase | Maintenir la session authentifiée | 1 heure / 7 jours | | Cookies Stripe (sur l'iframe checkout uniquement) | Stripe | Sécurité du paiement | Variable Stripe |

Le site n'utilise pas d'outils d'analytics tiers (Google Analytics, Plausible, PostHog, etc.) à ce jour. En cas d'ajout futur, un bandeau de consentement sera mis en place et la présente politique sera mise à jour avec un préavis de 30 jours.

9. Modifications de la politique

La présente politique peut être modifiée. Toute modification substantielle est notifiée par email au moins 30 jours avant son entrée en vigueur. La version courante et son historique sont consultables à https://kapari.eu/legal/confidentialite.

10. Contact

  • DPO Kapari : contact@kapari.eu
  • Contact général : contact@kapari.eu
  • Autorité de contrôle : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, www.cnil.fr