Politique de confidentialité
Nous traitons vos données comme nous aimerions que les nôtres le soient : avec sobriété, transparence, et la même rigueur que celle qu'impose la loi LCB-FT à nos utilisateurs professionnels.
Dernière mise à jour : 16 mai 2026
1. Responsable de traitement
Le responsable du traitement de vos données est Quentin Delsol, éditeur du Service Klaris, dont l'identité complète figure sur la page Mentions légales.
Contact dédié à la protection des données : contact@klaris.fr.
Compte tenu de sa taille et de la nature de ses traitements, l'éditeur n'a pas désigné de Délégué à la Protection des Données (DPO). Toute question relative à la vie privée est traitée directement par la direction.
2. Distinction des rôles : qui est responsable de quoi ?
Klaris est un outil mis à disposition des professionnels assujettis à la LCB-FT (agents immobiliers, experts-comptables, CGP, notaires, etc.). Cette architecture induit deux niveaux de responsabilité distincts :
- Pour les données du compte professionnel (email, nom du cabinet, données de facturation) : Klaris agit en tant que responsable de traitement.
- Pour les données KYC des clients finaux (CNI, justificatifs, scoring, pièces) : le professionnel utilisateur est responsable de traitement, Klaris est son sous-traitant au sens de l'art. 28 RGPD. Un accord de traitement de données (DPA) est inclus dans les CGV.
3. Données collectées et finalités
| Catégorie de données | Finalité | Base légale |
|---|---|---|
| Identification du compte pro (email, nom, prénom) | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b RGPD) |
| Profil professionnel (cabinet, profession, n° pro) | Personnaliser l'attestation et le guide selon votre activité | Exécution du contrat |
| Données KYC clients finaux (identité, pièces, scoring) | Permettre au professionnel d'exécuter ses obligations LCB-FT | Obligation légale du pro (art. L.561-5 CMF) — Klaris sous-traite |
| Données de facturation (Stripe) | Encaissement de l'abonnement, comptabilité | Exécution du contrat + obligation comptable |
| Logs techniques (IP, horodatage, route appelée) | Sécurité, détection d'abus, debugging | Intérêt légitime (sécurité du service) |
Klaris ne collecte aucune donnée à des fins publicitaires ou de profilage commercial. Il n'y a ni tracker tiers, ni outil d'analytics comportemental.
4. Durées de conservation
Nous appliquons strictement le principe de minimisation. Voici les durées par catégorie :
5. Sous-traitants (art. 28 RGPD)
Pour faire fonctionner le Service, Klaris recourt à un nombre volontairement restreint de sous-traitants, chacun lié par un contrat de traitement (DPA) conforme au RGPD :
6. Transferts hors Union Européenne
Toutes les données structurées (Postgres) et les pièces justificatives (stockage objet) sont hébergées au sein de l'Union Européenne — Francfort et Paris.
Seul un sous-traitant a son siège hors UE : Clerk Inc. (États-Unis), que nous utilisons pour l'authentification. Le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914), complétées par les engagements du Data Privacy Framework (décision d'adéquation 2023/1795 du 10 juillet 2023). Les données transférées sont strictement limitées aux identifiants nécessaires à la session (email, nom, hash de mot de passe).
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données :
Pour exercer ces droits, contactez-nous à contact@klaris.fr. Nous vous répondrons sous 30 jours maximum. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
8. Sécurité
Klaris met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : TLS 1.3 sur toutes les connexions HTTPS.
- Chiffrement au repos : AES-256 sur la base de données (Neon) et le stockage objet (Scaleway).
- Isolation par tenant : chaque dossier est strictement rattaché à un compte ; aucune fuite inter-comptes possible.
- Authentification forte : mots de passe hachés (bcrypt/argon2), MFA disponible via Clerk.
- Accès admin minimal : seuls les accès strictement nécessaires à l'exploitation sont accordés, journalisés et revus régulièrement.
- Sauvegardes : snapshots quotidiens de la base, conservés 7 jours, chiffrés.
9. Notification de violation
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifions la CNIL dans les 72 heures conformément à l'art. 33 RGPD. Si le risque est élevé, nous vous en informons également sans délai déraisonnable (art. 34 RGPD).
10. Modification de la présente politique
Nous pouvons être amenés à mettre à jour cette politique pour tenir compte d'évolutions légales, réglementaires ou techniques. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version en cours d'application est toujours celle datée en haut de cette page.