Cadre réglementaire & certifications

Klaris est-il certifié, agréé, réglementé ?

Réponse honnête, sans détour. Klaris n'a besoin d'aucun agrément spécifique — aucun n'existe pour ce type d'outil. Voici pourquoi, et sur quoi repose concrètement la solidité juridique de la solution.

Statut juridique

Klaris est un éditeur de logiciel, pas un assujetti LCB-FT.

La distinction est fondamentale. Les régimes d'agrément (TRACFIN, ACPR, DGCCRF, AMF) encadrent les professionnels qui réalisent les opérations — pas les éditeurs des outils qu'ils utilisent.

Qui est assujetti
  • L'agent immobilier (votre métier) — DGCCRF
  • Le notaire — Conseil supérieur du notariat
  • La banque — ACPR / Banque de France
  • L'expert-comptable — Ordre / DGCCRF
Ces professionnels doivent eux-mêmes appliquer L.561-1 et s. CMF, déclarer leurs soupçons à TRACFIN, et conserver leurs dossiers 5 ans. Klaris les aide à le faire, ne s'y substitue jamais.
Qui est Klaris
  • Éditeur de logiciel applicatif (code APE 5829C)
  • Prestataire B2B — fournit un outil, pas un service réglementé
  • Sous-traitant RGPD de ses clients (art. 28 RGPD)
  • Non-assujetti LCB-FT — hors champ L.561-2 CMF
Aucun texte (CMF, Décret 2018-284, lignes directrices DGCCRF) n'encadre ou ne certifie les éditeurs RegTech. Aucun de nos concurrents (AML Factory, Notilus, MyChoiseTech…) n'a d'agrément non plus.
Solidité juridique

Sur quoi repose vraiment la crédibilité de Klaris ?

À défaut d'agrément (qui n'existe pas), notre crédibilité juridique repose sur cinq piliers concrets, vérifiables et opposables.

01
Sources légales citées dans l'app
Chaque verdict d'attestation cite les articles précis : CMF L.561-1 à L.561-22, Décret 2018-284, lignes directrices DGCCRF 2023. Lors d'un contrôle, vos décisions sont rattachables au texte exact qui les fonde.
02
Algorithme déterministe et versionné
Notre scoring est reproductible (même entrée = même verdict), versionné (algoVersion stocké en base), et hashé SHA-256 dans chaque attestation PDF. Aucun arbitraire, aucune boîte noire.
03
Chaîne d'hébergement certifiée
Données structurées hébergées par Neon (SOC 2 Type II, ISO 27001). Pièces justificatives par Scaleway France (ISO 27001/27017/27018, HDS, SOC 2). Chiffrement AES-256 au repos, TLS 1.3 en transit.
04
Conservation conforme L.561-12-1 CMF
Conservation des KYC 5 ans à compter de la fin de la relation d'affaires, comme la loi vous l'impose. Klaris vous garantit la disponibilité de la preuve en cas de contrôle DGCCRF, jusqu'au délai légal.
05
Conformité RGPD documentée
Registre des traitements tenu (art. 30 RGPD), DPA disponible sur demande (art. 28), mentions légales et politique de confidentialité à jour, droits exerçables par e-mail. Pas une certification, mais une obligation documentée.
06
Sous-traitants tous identifiés
Liste publique de nos 5 sous-traitants, chacun avec DPA signé. Aucun tiers caché, aucune sous-sous-traitance opaque. Vous savez en permanence où vivent vos données.
Chaîne de sous-traitance

Les certifications réelles, fournisseur par fournisseur.

Nos sous-traitants sont des acteurs établis, audités annuellement par des organismes indépendants. Voici leur tableau de bord de conformité.

Fournisseur
Rôle dans la chaîne
Certifications
Neon Inc.
🇩🇪 Francfort, Allemagne (région eu-central-1)
Base de données PostgreSQL (données structurées : comptes, dossiers, scoring)
SOC 2 Type II, ISO 27001, chiffrement AES-256 at-rest, TLS 1.3 in-transit
Scaleway S.A.S.
🇫🇷 Paris, France (région fr-par)
Stockage objet S3-compatible (pièces justificatives KYC : CNI, justificatifs)
ISO 27001, ISO 27017, ISO 27018, HDS, SOC 2, hébergeur français souverain
Note : ces certifications portent sur l'infrastructure, pas sur Klaris lui-même. Klaris hérite de leur niveau de sécurité par contrat (DPA art. 28 RGPD) et y ajoute ses propres mesures applicatives (chiffrement applicatif, contrôle d'accès, audit log).
Feuille de route

Et après ? Notre trajectoire certifications.

Aujourd'hui, aucune certification supplémentaire n'est exigée pour exercer notre activité. Nous suivons néanmoins une trajectoire alignée sur les standards SaaS B2B européens, à mesure que nos clients grandissent.

Aujourd'hui
  • Conformité RGPD documentée
  • DPA disponible sur demande
  • Hébergement souverain (Paris + Francfort)
  • Algorithme versionné & opposable
  • Sous-traitants certifiés SOC 2 / ISO 27001
Sous 12 mois
  • Audit RGPD par un DPO externe certifié
  • Cyber-RC Pro spécialisée tech (Stoïk / Hiscox)
  • Politique de divulgation responsable (security.txt)
  • Tests de pénétration annuels
Quand le marché l'exigera
  • Label France Cybersecurity (ANSSI)
  • Référencement UGAP (marché public)
  • ISO 27001 (entreprises et réseaux nationaux)
  • SOC 2 Type II (international)
Questions fréquentes

Les vraies questions, les vraies réponses.

Klaris est-il agréé par TRACFIN ?
Non — et aucun outil ne peut l'être. TRACFIN est le service de renseignement financier (cellule de Bercy), il reçoit les déclarations de soupçon faites par les professionnels assujettis, il ne certifie aucun logiciel. C'est le professionnel (vous) qui déclare, jamais l'éditeur.
Klaris est-il agréé par l'ACPR ?
Non — l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) supervise les établissements bancaires, financiers, et de paiement. Klaris n'est ni une banque, ni un PSAN, ni un PSI. Aucun cadre d'agrément ACPR ne s'applique aux éditeurs RegTech.
Klaris est-il agréé par la DGCCRF ?
Non — la DGCCRF supervise les professionnels de l'immobilier (vous), pas leurs outils. Elle vérifie chez vous que vos obligations LCB-FT sont remplies. Klaris vous y aide en restituant chaque décision avec sa base légale, mais vous restez le sujet du contrôle.
Quelle est la base légale de l'attestation Klaris ?
L'attestation est délivrée sur la base de l'analyse algorithmique Klaris, appliquant les articles L.561-1 et s. du Code monétaire et financier, le Décret 2018-284, et les lignes directrices DGCCRF 2023 pour le secteur immobilier. Elle est opposable mais ne se substitue pas à votre analyse personnelle — vous restez le décideur final.
Vos données sont-elles certifiées ISO 27001 ?
L'infrastructure qui héberge vos données l'est : Neon (base PostgreSQL) est certifié SOC 2 Type II et ISO 27001, Scaleway (pièces) est certifié ISO 27001, ISO 27017, ISO 27018 et HDS. Klaris hérite par contrat de ce niveau de sécurité (DPA art. 28 RGPD). Klaris lui-même n'est pas (encore) certifié ISO 27001 en tant qu'éditeur — c'est une trajectoire visée lorsque le volume de clients enterprise le justifiera.
Êtes-vous conforme au RGPD ?
Oui. Nous tenons un registre des traitements (art. 30), nous fournissons un DPA conforme à l'art. 28 (disponible sur demande à contact@klaris.fr), nos sous-traitants sont tous listés publiquement (Vercel, Neon, Scaleway, Clerk, Stripe), et les droits d'accès / rectification / effacement sont exerçables par e-mail. La conservation 5 ans des données KYC découle directement de l'art. L.561-12-1 CMF (obligation légale qui prime sur le droit à l'effacement).
Et en cas de contrôle DGCCRF chez moi ?
L'export ZIP (attestation PDF + fiche KYC PDF + toutes les pièces) couvre l'intégralité de ce que la DGCCRF peut vous demander : identité du client, analyse de risque motivée, pièces justificatives, hash SHA-256 d'intégrité, et conservation 5 ans documentée. Vous présentez ce ZIP, vous êtes en règle.
Que se passe-t-il en cas de faille de sécurité ?
Notification CNIL sous 72h (art. 33 RGPD), notification individuelle des personnes concernées si risque élevé (art. 34), procédure interne de gestion de l'incident documentée, et — lorsque nous serons couverts — indemnisation via notre cyber-RC Pro. La transparence prime sur l'opacité.
À savoir

Méfiez-vous des promesses « certifié TRACFIN ».

Si un éditeur RegTech vous affirme être « certifié TRACFIN », « agréé DGCCRF » ou « approuvé ACPR », c'est factuellement faux — ces certifications n'existent pas pour les éditeurs. Une telle affirmation relève de la pratique commerciale trompeuse (art. L.121-1 du Code de la consommation, 2 ans d'emprisonnement et 300 000 € d'amende). Chez Klaris, nous préférons la précision juridique à la promesse marketing creuse.

Une question précise ?

Demandez le DPA ou un point juridique.

Vous êtes un responsable conformité, un DPO, un compliance officer ? Nous vous transmettons sur demande le DPA, la liste détaillée des sous-traitants, ou répondons à tout point spécifique de votre due diligence.