Accord de Traitement des Données

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

Le Responsable du traitement (ci-après « le Client ») : toute personne morale ou physique exerçant une activité professionnelle ayant souscrit à un abonnement KRYVA, dont les coordonnées figurent dans le compte client. Le Sous-traitant (ci-après « KRYVA ») :

• Raison sociale : Sacha RUER (nom commercial : KRYVA)
• Forme juridique : Micro-entreprise
• Siège social : 59 rue des Muscats, 11510 Caves
• SIRET : 10241278000011
• Délégué à la Protection des Données : dpo@kryva.fr

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et de Vente de KRYVA et s'y incorpore par référence. En cas de contradiction, le DPA prévaut pour tout ce qui concerne le traitement des données personnelles.

2.1. Objet

Le présent DPA définit les conditions dans lesquelles KRYVA est autorisée à traiter des données à caractère personnel pour le compte du Client, dans le cadre de la fourniture du service SaaS de gestion d'entreprise BTP accessible à l'adresse https://kryva.fr.

2.2. Durée

Le DPA entre en vigueur à la date de création du compte Client et demeure en vigueur pendant toute la durée de la relation contractuelle. Il prend fin de plein droit à l'expiration ou à la résiliation du contrat principal, sous réserve des obligations de conservation légale décrites à l'article 10.

3.1. Nature des opérations de traitement

KRYVA réalise, pour le compte du Client, les opérations de traitement suivantes :

• Collecte, enregistrement et structuration des données saisies par le Client et ses collaborateurs ;
• Stockage sécurisé en base de données hébergée au sein de l'Espace Économique Européen ;
• Consultation, affichage et restitution des données dans l'interface applicative ;
• Génération automatisée de documents commerciaux (devis, factures, situations de travaux) à partir des données fournies par le Client ;
• Traitement algorithmique par l'assistant IA ARC aux seules fins d'assistance à la rédaction et au chiffrage, sans conservation des données dans les modèles tiers ;
• Transmission d'emails transactionnels (relances, notifications) via le prestataire Resend ;
• Suppression des données à l'issue de la relation contractuelle.

3.2. Finalités

Les traitements réalisés par KRYVA ont pour seules finalités :

1. La fourniture du service contractuellement défini (gestion devis/factures, CRM, planning) ;
2. L'assistance technique et le support client ;
3. La sécurité et l'intégrité du service (logs, audit) ;
4. L'obligation légale de conservation des pièces comptables.

KRYVA ne traite les données du Client à aucune autre fin, notamment pas à des fins de publicité, de profilage commercial ou de revente à des tiers.

4.1. Catégories de données à caractère personnel 4.2. Données sensibles

KRYVA n'est pas destinataire et ne traite pas de données sensibles au sens de l'article 9 du RGPD (données de santé, données biométriques, convictions politiques ou religieuses, etc.). Le Client s'engage à ne pas saisir ce type de données dans le Service.

4.3. Personnes concernées

Les personnes concernées par les traitements sont : les utilisateurs du compte Client (administrateurs, membres de l'équipe, sous-profils), les clients et prospects du Client (personnes morales et leurs contacts), ainsi que les salariés et intervenants du Client saisis dans le module planning.

KRYVA s'engage à :

5.1. Traitement sur instruction documentée

Traiter les données uniquement sur instruction documentée du Client, telle qu'exprimée par l'utilisation du Service et les présentes conditions. KRYVA informe immédiatement le Client si, à son avis, une instruction constitue une violation du RGPD ou de toute autre disposition applicable.

5.2. Confidentialité

Garantir que les personnes autorisées à traiter les données ont souscrit un engagement de confidentialité ou sont soumises à une obligation légale de confidentialité.

5.3. Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'article 7 du présent DPA, afin de garantir un niveau de sécurité adapté au risque.

5.4. Sous-traitance ultérieure

Ne pas recruter un autre sous-traitant sans l'accord écrit préalable du Client, étant précisé que l'acceptation du présent DPA vaut accord du Client pour la liste des sous-traitants ultérieurs visés à l'article 6.

5.5. Droits des personnes

Aider le Client, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

5.6. Notification des violations

Notifier le Client dans les meilleurs délais après avoir pris connaissance d'une violation de données à caractère personnel, conformément à l'article 33 du RGPD, et lui communiquer toute information utile à la gestion de l'incident.

5.7. Assistance à l'analyse d'impact (DPIA)

Fournir au Client toute information nécessaire pour réaliser des analyses d'impact relatives à la protection des données (DPIA) lorsque le Client en fait la demande.

5.8. Suppression ou restitution

À l'issue de la relation contractuelle, supprimer ou restituer au Client l'ensemble des données à caractère personnel et en détruire les copies existantes, sauf obligation légale de conservation.

Le Client autorise KRYVA à recourir aux sous-traitants ultérieurs suivants, lesquels ont été sélectionnés pour leur niveau de conformité RGPD et la localisation de leurs infrastructures dans l'EEE ou dans des pays à niveau de protection adéquat :

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, KRYVA en informe le Client avec un préavis minimum de 30 jours par email ou via une notification dans le Service. Le Client peut s'y opposer par écrit dans ce délai ; à défaut d'opposition, l'accord est réputé acquis.

7.1. Principe de localisation EU

Les données du Client sont hébergées et traitées prioritairement au sein de l'Espace Économique Européen (EEE), sur les infrastructures Supabase (AWS eu-west-1, Irlande et eu-central-1, Francfort) et Vercel (régions EU).

7.2. Transferts vers des pays tiers

Certains sous-traitants ultérieurs (Anthropic, Sentry) sont établis aux États-Unis. Ces transferts sont encadrés par :

• Des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914) ;
• Des garanties contractuelles de zero data retention pour les traitements IA : les données transmises aux modèles de langage ne sont pas conservées par Anthropic à des fins d'entraînement ;
• Des mesures de minimisation : seules les données strictement nécessaires à la complétion d'une requête sont transmises, sans identifiants directs lorsque c'est techniquement possible.

7.3. Documentation

Sur demande écrite du Client adressée à dpo@kryva.fr, KRYVA communique les instruments juridiques encadrant chaque transfert hors EEE.

KRYVA met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :

Mesures techniques :

• Chiffrement en transit : TLS 1.3 pour toutes les communications entre le navigateur et les serveurs ;
• Chiffrement au repos : Chiffrement AES-256 des données stockées (Supabase/AWS) ;
• Contrôle d'accès : Authentification par JWT sécurisé (Supabase Auth) avec sessions à durée limitée ;
• Row Level Security (RLS) : Isolation stricte des données entre organisations via des politiques PostgreSQL au niveau de chaque ligne ;
• Logs d'audit : Enregistrement de toutes les actions sensibles dans une table audit_log non modifiable par les utilisateurs ;
• Headers de sécurité : CSP, HSTS, X-Frame-Options, X-Content-Type-Options configurés sur toutes les routes ;
• Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention 7 jours (Supabase Point-in-Time Recovery).

Mesures organisationnelles :

• Accès aux données de production limité aux seuls membres de l'équipe technique ayant un besoin légitime (principe de moindre privilège) ;
• Environnements de développement et de production strictement séparés ;
• Revue de code et tests de sécurité avant toute mise en production ;
• Plan de réponse aux incidents de sécurité documenté.

9.1. Responsabilité du Client

Le Client, en sa qualité de Responsable du traitement, est le point de contact principal pour les personnes concernées souhaitant exercer leurs droits (accès, rectification, effacement, portabilité, opposition, limitation).

9.2. Assistance de KRYVA

KRYVA assiste le Client dans le traitement de ces demandes en mettant à disposition :

• Les fonctionnalités d'export des données (CSV, PDF) accessibles directement depuis le tableau de bord ;
• Un mécanisme de suppression de compte accessible depuis les paramètres, permettant l'effacement de l'ensemble des données du compte dans un délai de 30 jours ;
• La route de demande d'effacement RGPD (/api/rgpd/deletion-request) pour les utilisateurs souhaitant exercer leur droit à l'effacement de manière formelle.

9.3. Délais

KRYVA s'engage à répondre aux demandes d'assistance du Client dans un délai de 72 heures ouvrables.

9.4. Contact DPO

Les personnes concernées peuvent également adresser leurs demandes directement au DPO de KRYVA : dpo@kryva.fr.

10.1. Données applicatives

Les données applicatives (clients, devis, notes, contacts, planning) sont conservées pendant toute la durée de l'abonnement actif. En cas de résiliation, elles sont supprimées dans un délai de 30 jours à compter de la fin de la période contractuelle, après export éventuel par le Client.

10.2. Factures et pièces comptables

Conformément à l'article L. 123-22 du Code de commerce et à l'article 289 du Code général des impôts, les factures et pièces justificatives à valeur comptable sont conservées pendant 10 ans à compter de la date d'émission, même après résiliation du compte. Cette conservation est une obligation légale qui prime sur le droit à l'effacement.

10.3. Logs d'audit

Les logs d'audit de sécurité sont conservés 12 mois à des fins de détection d'incidents et d'investigations légales.

10.4. Sauvegardes

Les sauvegardes automatiques sont conservées 7 jours en mode glissant. Elles sont automatiquement écrasées à l'issue de ce délai.

10.5. Restitution

À la demande écrite du Client formulée avant la suppression de ses données, KRYVA peut fournir une exportation complète des données au format standard (JSON/CSV) dans un délai de 15 jours ouvrés.

11.1. Documentation de conformité

KRYVA tient à disposition du Client la documentation relative à ses mesures de sécurité et de conformité, notamment :

• Le présent DPA et ses annexes ;
• La liste à jour des sous-traitants ultérieurs ;
• Les instruments juridiques encadrant les transferts hors EEE.

11.2. Droit d'audit

Le Client peut, à ses frais, mandater un auditeur tiers indépendant pour vérifier la conformité de KRYVA avec les obligations du présent DPA, sous réserve :

• D'un préavis écrit d'au moins 30 jours calendaires adressé à dpo@kryva.fr ;
• Que l'audit se déroule pendant les heures ouvrables et ne perturbe pas les opérations de KRYVA ;
• Que l'auditeur soit soumis à une obligation de confidentialité.

KRYVA peut refuser des audits manifestement abusifs (fréquence excessive, périmètre disproportionné). Les audits sont limités à 1 par an sauf en cas d'incident de sécurité. 11.3. Rapport de conformité

En lieu et place d'un audit sur site, KRYVA peut fournir, sur demande, un rapport de conformité ou une attestation établie par un tiers indépendant.

12.1. Responsabilité du Client

Le Client est seul responsable, en sa qualité de Responsable du traitement, de la licéité des finalités pour lesquelles il utilise le Service et de la qualité des données saisies dans KRYVA.

12.2. Responsabilité de KRYVA

KRYVA est responsable des traitements réalisés pour le compte du Client conformément aux instructions documentées. En cas de traitement réalisé hors des instructions du Client ou en violation du RGPD, KRYVA assume la responsabilité du dommage causé.

12.3. Limitation

La responsabilité totale de KRYVA au titre du présent DPA est plafonnée au montant des sommes effectivement versées par le Client au cours des 12 mois précédant l'incident générateur de responsabilité, sauf faute intentionnelle ou lourde.

Pour toute question relative au présent DPA ou pour exercer vos droits :

• DPO KRYVA : dpo@kryva.fr
• Support général : contact@kryva.fr
• Adresse postale : 59 rue des Muscats, 11510 Caves, à l'attention du DPO

Le Client a également le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site web : https://www.cnil.fr
• Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
• Téléphone : +33 (0)1 53 73 22 22