Engagement de confidentialité
La protection des informations que vous nous confiez constitue un axe fondamental de notre relation professionnelle. Ce document détaille notre démarche vis-à-vis des données personnelles dans le cadre de nos services de gestion financière destinés aux petites entreprises.
Cadre conceptuel : la donnée comme ressource opérationnelle
Nous abordons les informations personnelles sous l'angle de leur nécessité fonctionnelle. Chaque élément collecté sert un objectif précis lié à la prestation de nos services financiers. Cette approche centrée sur l'utilité pratique guide l'ensemble de nos opérations de traitement.
Notre philosophie repose sur la minimisation active : nous ne demandons que ce dont nous avons réellement besoin pour faire fonctionner nos outils et répondre à vos attentes. Rien de superflu. Cette discipline s'applique dès la conception de chaque processus.
Émergence des informations dans notre système
Lors de la création de votre espace professionnel
Quand vous créez un compte chez nous, certains renseignements deviennent indispensables. Votre identité juridique, coordonnées d'entreprise, détails de contact — ces éléments forment la base contractuelle de notre collaboration. Sans eux, impossible d'établir votre profil ou de vous identifier correctement dans nos systèmes.
- Identification complète de l'entreprise (dénomination sociale, numéro SIRET, forme juridique)
- Coordonnées du représentant légal (nom, prénom, fonction exercée)
- Informations de contact opérationnel (adresse électronique, numéro de téléphone direct)
- Localisation physique de l'établissement principal
Durant l'utilisation quotidienne de nos outils
Vos interactions avec la plateforme génèrent des traces techniques. Pas par curiosité, mais parce que nos systèmes doivent fonctionner correctement et en toute sécurité. Ces métadonnées nous permettent d'assurer la continuité du service et de détecter d'éventuelles anomalies.
Lorsque vous saisissez des données financières, créez des rapports ou configurez des alertes budgétaires, ces informations sont enregistrées. Elles constituent le cœur même du service que vous êtes venu chercher. Leur conservation permet à nos algorithmes de produire les analyses que vous attendez.
Détails techniques captés automatiquement
Adresse IP de connexion, type de navigateur utilisé, système d'exploitation, horodatage précis des sessions, actions réalisées dans l'interface. Ces éléments servent principalement à la sécurité et au bon fonctionnement technique.
Pendant les échanges avec notre équipe
Quand vous nous contactez — que ce soit pour une question technique, une demande d'assistance ou une réclamation — nous conservons la trace de ces échanges. Courriels, messages via le formulaire de contact, parfois enregistrements d'appels si vous y consentez explicitement. Cette mémoire conversationnelle nous aide à maintenir la cohérence dans nos réponses et à améliorer progressivement notre support.
Finalités : pourquoi ces informations nous sont nécessaires
Chaque catégorie de données répond à une exigence concrète. Rien n'est récupéré "au cas où" ou "pour plus tard". Voici comment nous justifions chaque traitement.
Exécution du contrat de service
Vous nous avez choisis pour gérer certains aspects financiers de votre entreprise. Cette mission implique nécessairement l'accès à vos données comptables, vos flux de trésorerie, vos objectifs budgétaires. Sans ces éléments, nous ne pourrions tout simplement pas remplir notre part du contrat. C'est aussi simple que ça.
De même, pour vous envoyer vos rapports mensuels, vous alerter d'un dépassement budgétaire ou synchroniser vos comptes bancaires, nous devons disposer des informations pertinentes. Chaque fonctionnalité activée crée un besoin d'information spécifique.
Obligations réglementaires et comptables
Le secteur financier n'est pas un territoire de liberté absolue. Des règles strictes s'appliquent, notamment en matière de lutte contre le blanchiment et le financement du terrorisme. Nous devons vérifier l'identité de nos clients, conserver certaines pièces justificatives pendant des durées légales précises, et pouvoir produire ces documents en cas de contrôle.
Ces contraintes ne viennent pas de nous, mais elles s'imposent à nous. Refuser de s'y conformer nous exposerait à des sanctions et remettrait en cause notre autorisation d'exercer.
Durées de conservation imposées par la loi
Documents comptables : 10 ans minimum. Pièces justificatives fiscales : 6 ans. Contrats et correspondances commerciales : 5 ans après la fin de la relation. Ces délais découlent du Code de commerce et du Code général des impôts.
Sécurisation et prévention des incidents
Les journaux de connexion, l'historique des modifications, les alertes système — tout cela forme notre dispositif de vigilance. En cas de tentative d'intrusion ou de comportement suspect, ces traces nous permettent de réagir rapidement et de protéger l'intégrité de vos données.
Amélioration progressive de nos services
Nous analysons parfois les parcours utilisateurs de manière agrégée et anonymisée. L'objectif ? Comprendre où les gens bloquent, quelles fonctionnalités restent inutilisées, quels processus pourraient être simplifiés. Cette analyse collective — qui ne cible jamais un individu précis — nourrit nos décisions d'évolution produit.
Vous pouvez toutefois refuser de participer à ces analyses facultatives en modifiant vos préférences dans les paramètres de votre compte.
Circulation externe des informations
Vos données ne quittent pas notre infrastructure à la légère. Mais dans certains cas, le partage devient inévitable ou explicitement demandé par vous.
Prestataires techniques essentiels
Nous ne gérons pas nous-mêmes l'intégralité de notre infrastructure technique. L'hébergement de nos serveurs, la sauvegarde des bases de données, certains outils de surveillance réseau — ces fonctions sont confiées à des prestataires spécialisés. Tous agissent sous notre responsabilité contractuelle et sont soumis à des clauses strictes de confidentialité.
Nos serveurs principaux se situent dans l'Union européenne, garantissant l'application du RGPD. Aucun transfert hors UE n'intervient sans mécanisme de protection adéquat (clauses contractuelles types, décision d'adéquation de la Commission européenne).
Intégrations bancaires et comptables
Si vous activez la synchronisation avec votre banque ou votre logiciel comptable existant, des échanges de données s'établissent avec ces tiers. Nous utilisons des agrégateurs certifiés (conformes à la directive DSP2) qui sécurisent ces flux selon les standards les plus exigeants du secteur financier.
Vous gardez toujours la maîtrise : ces connexions ne s'activent que sur votre demande explicite, et vous pouvez les révoquer à tout moment depuis votre tableau de bord.
Exigences légales et autorités compétentes
Face à une réquisition judiciaire, une demande formelle de l'administration fiscale ou une injonction d'une autorité de régulation, nous n'avons pas le choix. La loi nous oblige à coopérer et à transmettre les informations demandées, dans les limites strictes de ce qui est requis.
Dans la mesure du possible et sauf interdiction légale, nous vous informons de ces demandes. Mais certaines procédures imposent la confidentialité absolue, notamment dans le cadre d'enquêtes pénales en cours.
Situations exceptionnelles
En cas de restructuration de notre société, de fusion ou d'acquisition, vos données pourraient être transférées au repreneur. Une telle opération ne se ferait qu'avec les garanties appropriées et vous seriez informés préalablement. L'entité repreneuse devrait alors respecter les mêmes engagements de protection que ceux décrits ici.
Architecture de protection
Protéger vos informations ne relève pas de la magie, mais de mesures concrètes empilées les unes sur les autres. Voici comment nous construisons cette défense en profondeur.
Chiffrement systématique
Toutes les communications entre votre navigateur et nos serveurs transitent via des connexions chiffrées (TLS 1.3). Vos données les plus sensibles — notamment les mots de passe et certaines informations financières — sont également chiffrées au repos dans nos bases de données, rendant leur lecture impossible sans les clés cryptographiques appropriées.
Contrôle d'accès strict
Seuls les membres de notre équipe ayant une raison légitime d'accéder à certaines données y sont autorisés. Ce principe de "moindre privilège" limite drastiquement l'exposition. Chaque accès est tracé, horodaté et régulièrement audité.
Nos collaborateurs signent des engagements de confidentialité renforcés et reçoivent des formations régulières sur la protection des données personnelles.
Surveillance et détection d'incidents
Des systèmes automatisés scrutent en permanence nos infrastructures pour détecter les comportements anormaux : tentatives de connexion suspectes, pic inhabituel de requêtes, modification non autorisée de fichiers critiques. En cas d'alerte, notre équipe technique intervient immédiatement.
Sauvegardes et résilience
Vos données sont répliquées quotidiennement sur plusieurs sites géographiquement distants. En cas de défaillance matérielle ou de sinistre majeur, nous pouvons restaurer le service sans perte significative d'informations. Ces copies de sauvegarde bénéficient du même niveau de protection que les données principales.
Limitations inhérentes
Malgré tous nos efforts, aucun système informatique n'est totalement invulnérable. Des risques résiduels existent : attaques sophistiquées, vulnérabilités encore inconnues, erreurs humaines. Nous nous engageons à réagir avec transparence et rapidité si un incident se produisait, conformément aux obligations du RGPD.
Vos capacités d'intervention
Le RGPD vous confère plusieurs droits que nous respectons scrupuleusement. Voici comment les exercer concrètement chez nous.
Consultation de vos informations
Vous pouvez à tout moment visualiser l'essentiel des données vous concernant directement depuis votre compte. Pour obtenir une copie complète et structurée de toutes les informations que nous détenons (y compris celles non visibles dans l'interface), adressez-nous une demande écrite à contact@koravexylora.com. Nous vous répondrons sous un mois maximum.
Correction d'inexactitudes
Si vous constatez une erreur dans vos données (adresse obsolète, fonction incorrecte, information bancaire périmée), vous pouvez la corriger vous-même dans la plupart des cas via les paramètres de votre compte. Pour les modifications plus complexes ou concernant des données que vous ne pouvez pas éditer directement, contactez notre support.
Effacement sous conditions
Vous pouvez demander la suppression de votre compte et des données associées. Nous procéderons à cet effacement dans les meilleurs délais, sauf si des obligations légales nous imposent de conserver certains éléments (documents comptables, preuves contractuelles). Dans ce dernier cas, nous vous expliquerons précisément ce qui doit être conservé et pourquoi.
L'effacement est définitif et irréversible. Après suppression, nous ne pourrons pas restaurer vos rapports, vos analyses historiques ou vos configurations personnalisées.
Limitation du traitement
Dans certaines situations (contestation de l'exactitude des données, opposition au traitement, besoin de conservation pour une action en justice), vous pouvez demander que nous gelions temporairement l'utilisation de vos informations. Pendant cette période, nous les conservons mais ne les exploitons plus activement, sauf exceptions légales.
Portabilité des données
Pour les informations que vous nous avez fournies directement et que nous traitons de manière automatisée, vous pouvez en demander une copie dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON). Cela vous permet de les transférer facilement vers un autre prestataire si vous le souhaitez.
Opposition et retrait du consentement
Pour les traitements fondés sur votre consentement (analyses statistiques facultatives, communications commerciales), vous pouvez retirer cette autorisation à tout moment. Ce retrait ne remet pas en cause la licéité des traitements effectués avant votre opposition.
Pour les traitements nécessaires à l'exécution du contrat, l'opposition entraînerait mécaniquement notre incapacité à poursuivre la prestation de service. Dans ce cas, nous serions contraints de clôturer votre compte.
Modalités pratiques d'exercice
Pour toute demande concernant vos droits, écrivez-nous à contact@koravexylora.com en précisant votre identité et la nature de votre requête. Nous pourrons vous demander une pièce justificative pour nous assurer que vous êtes bien le titulaire du compte concerné (simple mesure de sécurité).
Durées de rétention par catégorie
Nous ne gardons pas vos informations indéfiniment. Chaque type de donnée obéit à une logique temporelle précise, dictée soit par la nécessité opérationnelle, soit par la loi.
| Catégorie de données | Durée de conservation active | Archivage éventuel |
|---|---|---|
| Informations d'identification et de contact | Pendant toute la durée de la relation contractuelle | 5 ans après clôture du compte (obligation légale) |
| Données financières et comptables saisies | Pendant la durée du contrat plus exercice comptable en cours | 10 ans conformément aux obligations comptables |
| Journaux de connexion et traces techniques | 12 mois glissants pour l'analyse de sécurité | Suppression automatique au-delà de cette période |
| Correspondances et tickets de support | 3 ans à compter de la dernière interaction | Aucun archivage supplémentaire |
| Consentements et préférences utilisateur | Durée de validité du consentement (maximum 3 ans) | Suppression après expiration ou retrait |
À l'expiration de ces délais, les données sont soit détruites de manière sécurisée, soit anonymisées de façon irréversible si elles présentent un intérêt statistique légitime.
Fondements juridiques des traitements
Le RGPD exige que chaque traitement de données personnelles repose sur une base légale solide. Voici comment nous justifions les nôtres.
Exécution contractuelle
La majorité de nos traitements trouvent leur justification dans le contrat de service qui nous lie. Vous nous demandez de gérer certains aspects financiers de votre entreprise : nous ne pouvons pas y parvenir sans traiter les informations correspondantes. Cette base légale couvre les fonctionnalités essentielles de la plateforme.
Obligations légales
Certains traitements nous sont imposés par la législation française et européenne : vérification d'identité, conservation de documents comptables, déclarations fiscales, coopération avec les autorités compétentes. Nous n'avons aucune marge de manœuvre sur ces points.
Intérêts légitimes
Pour quelques traitements spécifiques (amélioration de la sécurité, lutte contre la fraude, optimisation de nos processus internes), nous nous appuyons sur notre intérêt légitime, à condition qu'il ne porte pas atteinte de manière disproportionnée à vos droits et libertés. Chaque fois que nous utilisons cette base, nous effectuons une analyse de proportionnalité documentée.
Vous conservez dans tous les cas le droit de vous opposer à ces traitements fondés sur l'intérêt légitime.
Consentement explicite
Pour les fonctionnalités facultatives (newsletters d'actualité financière, analyses comparatives avancées, partage de retours d'expérience), nous vous demandons un consentement clair et positif. Ce consentement peut être retiré à tout moment sans justification.
Transferts internationaux
Notre infrastructure principale se trouve en France et nos principaux prestataires opèrent depuis l'Union européenne. Toutefois, certains outils techniques que nous utilisons (notamment pour la surveillance réseau ou l'analyse de sécurité) peuvent impliquer des flux de données vers des pays tiers.
Lorsque de tels transferts se produisent, nous nous assurons qu'ils respectent l'une des garanties reconnues par le RGPD : décision d'adéquation de la Commission européenne, clauses contractuelles types approuvées, ou mécanismes certifiés équivalents.
Depuis l'invalidation du Privacy Shield en juillet 2020, nous avons cessé tout transfert de données personnelles vers les États-Unis qui ne serait pas encadré par des clauses contractuelles types renforcées et une analyse d'impact spécifique.
Évolutions de ce document
Nos pratiques évoluent, la législation aussi. Nous révisons régulièrement cette politique pour qu'elle reflète fidèlement la réalité de nos opérations. En cas de modification substantielle (changement de finalité, nouveau traitement de données sensibles, évolution majeure de nos sous-traitants), nous vous en informerons par courriel au moins 30 jours avant l'entrée en vigueur.
Pour les ajustements mineurs (corrections orthographiques, clarifications rédactionnelles, précisions sans impact matériel), nous mettons simplement à jour la date de dernière révision en haut de ce document. Vous restez libre de consulter l'historique des versions sur simple demande.
Vous souhaitez exercer vos droits ou poser une question ?
Notre responsable de la protection des données personnelles reste à votre disposition pour toute interrogation, demande d'exercice de droits ou réclamation concernant le traitement de vos informations.
50 Rue Pierre Curie
78470 Saint-Rémy-lès-Chevreuse
France
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française compétente en matière de protection des données personnelles.