KRYVA
Dernière mise à jour : Avril 2026

Registre des traitements

Registre des activités de traitement tenu par KRYVA en qualité de responsable de traitement, conformément à l'article 30 du RGPD.

// Sommaire

Article 1 — Responsable du traitement et DPO

  • Responsable de traitement : KRYVA — Sacha RUER, éditeur
  • Adresse : 59 rue des Muscats, 11510 Caves, France
  • Email général : [email protected]
  • Délégué à la Protection des Données (DPO) : [email protected]
  • Autorité de contrôle compétente : CNIL — https://www.cnil.fr
Le présent registre recense les activités de traitement pour lesquelles KRYVA agit en qualité de responsable de traitement. Lorsque KRYVA agit en qualité de sous-traitant pour le compte de ses clients (traitements réalisés sur les données saisies par les clients dans l'application), le cadre applicable est défini par le DPA disponible sur /legal/dpa.

Article 2 — Traitement n° 1 : Gestion des comptes utilisateurs

  • Finalité : création et gestion des comptes utilisateurs, authentification (WebAuthn/Passkey, magic link), session, support de connexion.
  • Base légale : exécution du contrat (art. 6-1-b RGPD).
  • Personnes concernées : utilisateurs finaux (artisans, collaborateurs d'entreprises clientes).
  • Catégories de données : email, nom, prénom, identifiants passkey, journal de connexion, IP (logs techniques), préférences interface.
  • Destinataires : Supabase (hébergement DB, Dublin), Vercel (hébergement application, Frankfurt), Resend (envoi email auth, Dublin).
  • Transferts hors UE : aucun pour ce traitement (données uniquement UE).
  • Durée de conservation : durée du contrat + 3 ans (preuve en cas de litige), logs techniques 12 mois.
  • Mesures de sécurité : TLS 1.3, WebAuthn, RLS PostgreSQL, chiffrement AES-256 au repos, MFA passkey obligatoire.

Article 3 — Traitement n° 2 : Facturation et paiement de l'abonnement

  • Finalité : gestion de l'abonnement KRYVA (souscription, prélèvement, facturation, relances, résiliation).
  • Base légale : exécution du contrat (art. 6-1-b) et obligation légale comptable (art. 6-1-c — art. L. 102 B LPF).
  • Personnes concernées : clients payants (personne physique ou dirigeant personne morale).
  • Catégories de données : raison sociale, SIRET, adresse, email de facturation, 4 derniers chiffres carte, historique paiements.
  • Destinataires : Stripe Ireland (PSP — conforme PCI-DSS niveau 1), service comptable interne.
  • Transferts hors UE : Stripe peut router certaines opérations via Stripe US (SCC signées, chiffrement de bout en bout).
  • Durée de conservation : 10 ans à compter de la clôture de l'exercice (art. L. 102 B LPF, art. L. 123-22 C. com.).
  • Mesures de sécurité : tokenisation Stripe (aucune donnée carte complète stockée), webhooks signés, audit log.

Article 4 — Traitement n° 3 : Prospection commerciale B2B

  • Finalité : prospection commerciale B2B sortante auprès d'entreprises artisanales françaises et européennes (appels IA Vapi, emails Apollo).
  • Base légale : intérêt légitime (art. 6-1-f RGPD) conforme à la délibération CNIL n° 2020-013 pour la prospection B2B ; opposition possible à tout moment.
  • Personnes concernées : dirigeants et décideurs d'entreprises artisanales (professionnels agissant dans le cadre de leur activité).
  • Catégories de données : raison sociale, SIRET, adresse professionnelle, téléphone professionnel, email professionnel, métier, effectif, année de création, URL site web, enregistrement audio des appels Vapi (6 mois max).
  • Destinataires : Apollo.io (USA — CCT + TIA), Vapi (USA — CCT + TIA), Anthropic (USA — CCT + TIA, modèle Claude no-training).
  • Transferts hors UE : USA (SCC 2021/914/UE signées, mesures supplémentaires : chiffrement TLS 1.3, minimisation).
  • Durée de conservation : 3 ans à compter du dernier contact utile (délib. CNIL) ; 6 mois pour enregistrements audio Vapi (puis suppression automatique).
  • Mesures de sécurité : disclosure IA obligatoire dès ouverture d'appel (AI Act art. 50), opt-out Bloctel respecté, liste d'exclusion DNC interne, pas d'appels hors plages légales FR (10h-20h).

Article 5 — Traitement n° 4 : Support et relation client

  • Finalité : traitement des demandes de support, incidents, feedbacks, notifications opérationnelles.
  • Base légale : exécution du contrat (art. 6-1-b) et intérêt légitime (art. 6-1-f) pour les demandes de prospects.
  • Personnes concernées : clients, prospects ayant pris contact.
  • Catégories de données : email, nom, contenu des échanges, historique support, capture d'écran si fournie.
  • Destinataires : Resend (email support, Dublin), Telegram (alertes internes — tokens anonymisés).
  • Transferts hors UE : Resend US (SCC signées), Telegram LLC (Dubaï/USA, alertes techniques uniquement, pas de PII client).
  • Durée de conservation : 3 ans après dernière interaction.
  • Mesures de sécurité : accès support limité à l'éditeur, logs accès audités, scrubbing PII Sentry.

Article 6 — Traitement n° 5 : Monitoring, analytics et amélioration produit

  • Finalité : supervision technique, détection d'erreurs, statistiques d'usage agrégées, référencement naturel.
  • Base légale : intérêt légitime (art. 6-1-f) pour le monitoring technique ; consentement (art. 6-1-a) pour les cookies analytics et publicitaires.
  • Personnes concernées : utilisateurs de l'application, visiteurs du site web.
  • Catégories de données : logs d'erreur techniques (PII scrubée côté serveur avant envoi), métriques de performance, événements d'usage agrégés, cookies analytics (consentement Axeptio/CNIL).
  • Destinataires : Sentry Ireland (monitoring erreur — PII scrubée), Google (Search Console + Indexing API — URLs publiques uniquement), Meta (pixel publicitaire si consenti), Vercel Analytics (privacy-friendly, anonyme).
  • Transferts hors UE : Sentry US (SCC + TIA), Google LLC (SCC), Meta US (SCC + TIA).
  • Durée de conservation : logs Sentry 90 jours, cookies analytics 13 mois max (CNIL), analytics agrégés 25 mois.
  • Mesures de sécurité : scrubbing automatique PII via beforeSend Sentry (emails, SIRET, IBAN, téléphones, IBAN, tokens), consent-gated cookies, bandeau CNIL conforme.

Article 7 — Traitement n° 6 : Conformité légale et anti-fraude

  • Finalité : respect des obligations légales comptables et fiscales (FEC, scellement anti-fraude, archivage 10 ans), lutte anti-fraude, réponse aux réquisitions judiciaires.
  • Base légale : obligation légale (art. 6-1-c) — art. 286-I-3 bis CGI, art. L. 102 B LPF.
  • Personnes concernées : clients utilisateurs du logiciel.
  • Catégories de données : factures, règlements, hash de scellement SHA-256, journal d'événements inaltérable (invoice_audit_log), IP de connexion, horodatage UTC.
  • Destinataires : administration fiscale française sur réquisition, autorité judiciaire sur réquisition.
  • Transferts hors UE : aucun.
  • Durée de conservation : 10 ans à compter de la clôture de l'exercice.
  • Mesures de sécurité : scellement cryptographique SHA-256 chaîné, immuabilité post-validation, numérotation séquentielle atomique, sauvegardes PITR chiffrées.

Article 8 — Traitement n° 7 : Cookies et traceurs

  • Finalité : fourniture des fonctionnalités essentielles (cookies nécessaires), mesure d'audience (analytics), personnalisation publicitaire (marketing).
  • Base légale : intérêt légitime pour cookies strictement nécessaires (art. 82 LIL) ; consentement préalable pour analytics et marketing (art. 82 LIL + guidelines CNIL 2020).
  • Personnes concernées : visiteurs du site kryva.fr et utilisateurs de l'application.
  • Catégories de données : identifiants de session, préférences consentement, identifiants publicitaires (si consenti).
  • Destinataires : KRYVA (cookies first-party nécessaires), Meta Platforms Ireland (pixel publicité si consenti), Google (Search Console / Ads si consenti).
  • Transferts hors UE : Meta US, Google LLC (SCC + TIA).
  • Durée de conservation : session pour cookies nécessaires, 6 mois pour consentement CNIL, 13 mois max pour traceurs tiers (CNIL).
  • Mesures de sécurité : bandeau CNIL conforme (accepter/refuser/personnaliser au même niveau), consent-gated loading (aucun traceur avant accord), preuve de consentement journalisée.

Article 9 — Droits des personnes concernées

Les personnes concernées disposent, à l'égard de KRYVA responsable de traitement, des droits suivants (art. 15 à 22 RGPD) :

  • droit d'accès aux données les concernant ;
  • droit de rectification des données inexactes ;
  • droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation ;
  • droit à la limitation du traitement ;
  • droit d'opposition au traitement, notamment à la prospection commerciale (opposition absolue) ;
  • droit à la portabilité des données fournies ;
  • droit de définir des directives post-mortem (art. 40-1 loi Informatique et Libertés) ;
  • droit de retirer à tout moment un consentement donné ;
  • droit d'introduire une réclamation auprès de la CNIL (https://www.cnil.fr).
Toute demande d'exercice de droit doit être adressée à [email protected]. KRYVA y répond dans un délai d'un mois, prolongeable de deux mois pour les demandes complexes (art. 12-3 RGPD). Une pièce d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur (art. 12-6).

Article 10 — Tenue et mise à jour du registre

Le présent registre est tenu à jour en permanence par le DPO de KRYVA. Il est mis à disposition de la CNIL sur simple demande (art. 30-4 RGPD).

Le registre est révisé au minimum annuellement et à chaque évolution substantielle des traitements (ajout de sous-traitant, nouvelle finalité, changement de base légale, etc.). La date de dernière mise à jour figure en tête du présent document.

Une version détaillée interne (incluant durées de conservation techniques précises et matrice de risques) est tenue en interne conformément à l'art. 30-1 RGPD et est disponible sur demande motivée de l'autorité de contrôle.

← Retour à l'accueil
Mentions LégalesConfidentialitéAccord de Traitement des DonnéesDéclaration d'accessibilitéTransfer Impact Assessment (TIA)Attestation éditeur — Conformité anti-fraude TVA

© KRYVA · 2026· Tous droits réservés

🇫🇷Un produit développé en France, pour les Français