Accord de traitement des données (DPA)

Le présent Data Processing Agreement (DPA) précise les responsabilités respectives du Client (Responsable de traitement) et de RK1, SAS au capital de 10 000 €, immatriculée au RCS de Paris sous le numéro 978 537 553, exploitant le service KanAI (ci-après le Sous-traitant) au sens du Règlement général sur la protection des données (RGPD).

1. Nature du traitement

KanAI traite les données personnelles fournies par le Client exclusivement pour exécuter les services souscrits :

• Conversations entre les agents et les prospects / clients du Client
• Qualification et scoring de leads
• Génération de documents (devis, contrats, comptes-rendus)
• Notifications envoyées au Client

2. Catégories de données traitées

• Identifiants (nom, email, téléphone)
• Informations professionnelles (entreprise, poste)
• Contenu des échanges avec les agents
• Données commerciales (budget, besoin, timing)

KanAI ne traite aucune donnée sensibleau sens de l'article 9 du RGPD (santé, origines, opinions…). Le Client s'engage à ne pas en soumettre.

3. Localisation des données

Les données sont hébergées en Union européenne, principalement en France (Paris) via Supabase. Les traitements IA passent par des endpoints européens d'Anthropic et OpenAI, avec Zero Data Retention activé.

4. Sous-traitants ultérieurs

KanAI a recours aux sous-traitants suivants, chacun lié par un DPA :

• Supabase — hébergement base de données, France
• Vercel — hébergement applicatif, EU
• Anthropic — modèle Claude (ZDR activé), EU
• OpenAI — modèle GPT / DALL-E (flag no-training), EU
• Stripe — paiement, EU / US avec clauses contractuelles types
• Resend — envoi d'email transactionnel, EU

Toute évolution de cette liste est notifiée au Client 30 jours à l'avance.

5. Mesures de sécurité

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
• Séparation stricte par compte (Row Level Security)
• Accès restreint au personnel autorisé uniquement (MFA)
• Journalisation de toutes les actions sensibles
• Sauvegardes quotidiennes avec rétention 30 jours

6. Violation de données

En cas de violation avérée susceptible d'entraîner un risque pour les personnes, KanAI notifie le Client dans un délai de 72 heures après sa découverte, en fournissant toutes les informations pertinentes (nature, volume, mesures correctrices).

7. Suppression et restitution

En fin de contrat, le Client peut exporter ses données au format JSON via son espace. KanAI supprime définitivement toutes les données du Client dans un délai de 30 jours, sauf obligation légale de conservation (facturation : 10 ans).

8. Audit

Le Client peut demander un audit une fois par an, moyennant un préavis raisonnable. KanAI fournit également sur demande les rapports de conformité de ses sous-traitants (SOC 2, ISO 27001 si applicable).

9. Contact

DPO / Délégué à la protection des données : privacy@kanai.app.