Politique de confidentialité

Sommaire

Responsable du traitement
Données collectées
Finalités et bases légales
Durée de conservation
Hébergement et transferts
Cookies et traceurs
Vos droits
Sécurité des données
Mineurs
Modifications
Contact & réclamations

En résumé : KitaDi est une application de productivité personnelle auto-hébergée. Nous collectons uniquement les données strictement nécessaires à votre compte et à l'amélioration du service. Vos données ne sont jamais vendues ni transmises à des tiers à des fins commerciales. Tout est hébergé en Europe (Suisse / Union Européenne).

1 Responsable du traitement

Dénomination sociale : TOOKANA SAS

Forme juridique : Société par Actions Simplifiée (SAS)

Pays : France

Email de contact : privacy@kitadi.com

Site web : https://kitadi.com

TOOKANA SAS est responsable du traitement de vos données personnelles dans le cadre de l'utilisation de l'application KitaDi accessible à l'adresse kitadi.com.

2 Données collectées

2.1 Données de compte

Lors de votre inscription, nous collectons :

Adresse e-mail (identifiant unique)
Mot de passe (haché avec bcrypt, jamais stocké en clair)
Prénom / nom (optionnel, pour personnaliser l'interface)
Date de création du compte

2.2 Données de navigation et d'utilisation

Adresse IP (anonymisée pour les statistiques)
Pages visitées et fonctionnalités utilisées (via Matomo, auto-hébergé)
Type de navigateur et système d'exploitation
Horodatage des connexions

2.3 Données de contenu (si vous les renseignez)

KitaDi vous permet de stocker des données personnelles dans les modules suivants. Ces données sont entièrement sous votre contrôle et chiffrées pour les modules sensibles :

🔐 Coffre-fort

Mots de passe, codes, cartes. Chiffrement AES-256-GCM. Non accessibles par nos équipes.

💊 Santé

Informations médicales. Chiffrement AES-256-GCM. Strictement privées.

📁 Vie & Docs

Documents personnels. Certains champs optionnellement chiffrés.

💡 Idées & Notes

Contenu personnel non chiffré, accessible uniquement par vous.

2.4 Données de facturation

Dans le cadre d'un abonnement payant :

Historique des paiements (montant, date, statut)
Les données de carte bancaire sont traitées directement par Stripe (certifié PCI-DSS). Nous ne stockons jamais vos coordonnées bancaires complètes.

2.5 Données techniques

Logs d'erreurs applicatives (sans données personnelles de contenu)
Logs de sécurité : tentatives de connexion, accès au coffre-fort, audit trail

3 Finalités et bases légales

Finalité	Données concernées	Base légale (RGPD)
Fourniture du service	Compte, contenu, sessions	Exécution du contrat (art. 6.1.b)
Authentification sécurisée	Email, IP, logs sécurité	Intérêt légitime (art. 6.1.f)
Facturation et gestion abonnement	Email, historique paiements	Exécution du contrat (art. 6.1.b) + Obligation légale (art. 6.1.c)
Statistiques d'audience anonymisées	IP anonymisée, pages visitées	Consentement (art. 6.1.a) — optionnel
Suivi publicitaire	Comportement navigation (Meta Pixel)	Consentement (art. 6.1.a) — optionnel
Notifications et emails de service	Email	Exécution du contrat (art. 6.1.b)
Amélioration du produit	Données d'usage anonymisées	Intérêt légitime (art. 6.1.f)

4 Durée de conservation

Données	Durée de conservation
Données de compte actif	Durée de vie du compte
Données de compte supprimé	30 jours après suppression, puis effacement définitif
Données de facturation	10 ans (obligation légale comptable française)
Logs de sécurité	12 mois glissants
Statistiques Matomo	13 mois (recommandation CNIL)
Logs serveur	6 mois

À l'expiration de la durée de conservation, les données sont supprimées de manière sécurisée et irréversible. Aucun archivage commercial n'est effectué.

5 Hébergement et transferts de données

5.1 Hébergement principal

L'ensemble des données de l'application KitaDi est hébergé exclusivement en Europe chez Infomaniak Network SA, hébergeur suisse engagé pour la protection des données :

Infomaniak Network SA
Avenue de la Praille 26, 1227 Carouge, Suisse
Centres de données : Suisse (Genève) — conformes ISO 27001
Charte environnementale et de confidentialité Infomaniak ↗

5.2 Sous-traitants

Sous-traitant	Rôle	Pays	Garanties
Infomaniak	Hébergement serveurs et BDD	Suisse 🇨🇭	nLPD, DPA, ISO 27001
Stripe	Paiement en ligne	USA / EU 🇺🇸🇪🇺	PCI-DSS, SCCs RGPD
Matomo	Analytics (auto-hébergé)	Suisse 🇨🇭	Auto-hébergé, données non transmises

5.3 Transferts hors UE/EEE

En cas de transfert vers des pays tiers (ex : Stripe aux États-Unis), nous appliquons les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD.

⚠️ Concernant Meta (Facebook Pixel) : si vous acceptez les cookies publicitaires, certaines données de navigation (pages visitées, événements) peuvent être transmises à Meta Platforms Inc. (États-Unis) dans le cadre de leurs CCT. Vous pouvez refuser ce traitement via notre bandeau de gestion des cookies.

6 Cookies et traceurs

KitaDi utilise trois catégories de cookies. Vous pouvez gérer vos préférences à tout moment via le lien "Gérer mes cookies" en bas de page.

🔵 Nécessaires

Toujours actifs. Sessions Laravel, protection CSRF, authentification. Exemptés de consentement (directive ePrivacy).

📊 Analytiques

Matomo auto-hébergé. Mesure d'audience anonymisée. Aucune donnée transmise à des tiers. Opt-in requis.

🎯 Publicitaires

Meta Pixel. Mesure de l'efficacité des campagnes publicitaires. Opt-in requis. Refusable à tout moment.

Durée de vie des cookies

Cookie	Catégorie	Durée	Finalité
kitadi_session	Nécessaire	Session	Authentification Laravel
XSRF-TOKEN	Nécessaire	Session	Protection CSRF
kitadi_consent_v1	Nécessaire	1 an	Mémorisation de vos préférences cookies
_pk_id / _pk_ses	Analytique	13 mois / 30 min	Matomo — mesure d'audience
_fbp / _fbc	Publicitaire	90 jours	Meta Pixel — suivi publicitaire

7 Vos droits

Conformément au RGPD (Règlement UE 2016/679) et à la nLPD suisse (en vigueur depuis septembre 2023), vous disposez des droits suivants :

👁️ Droit d'accès

Obtenir une copie de toutes les données vous concernant que nous détenons.

✏️ Droit de rectification

Corriger toute donnée inexacte ou incomplète vous concernant.

🗑️ Droit à l'effacement

Demander la suppression de vos données (sous réserve d'obligations légales).

⏸️ Droit à la limitation

Limiter le traitement de vos données dans certaines circonstances.

📦 Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine.

🚫 Droit d'opposition

Vous opposer au traitement basé sur notre intérêt légitime.

Pour exercer ces droits, contactez-nous à privacy@kitadi.com. Nous répondrons dans un délai maximum de 30 jours conformément au RGPD.

Droit de retrait du consentement

Lorsque le traitement est basé sur votre consentement (cookies analytiques, publicitaires), vous pouvez le retirer à tout moment sans que cela n'affecte la licéité du traitement effectué avant le retrait, en cliquant sur "Gérer mes cookies" en bas de page.

Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

France : Commission Nationale de l'Informatique et des Libertés (CNIL) ↗
Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) ↗

8 Sécurité des données

La sécurité de vos données est une priorité absolue dans la conception de KitaDi. Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

🔒 Chiffrement fort

AES-256-GCM pour le coffre-fort et les données de santé. Argon2id pour la dérivation des clés.

🛡️ Authentification

Mots de passe hachés bcrypt (coût 12). Double authentification TOTP disponible.

🔐 Transport sécurisé

HTTPS forcé sur toutes les pages. HSTS activé. En-têtes de sécurité (CSP, HSTS, X-Frame-Options).

📋 Anti brute-force

Limitation des tentatives de connexion. Verrouillage de compte automatique. Journaux d'audit.

🏗️ Isolation des données

Architecture multi-tenant : chaque espace utilisateur est isolé dans sa propre base de données.

💾 Sauvegardes

Sauvegardes régulières chiffrées. Option de sauvegarde sur votre propre Google Drive.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures suivant la détection, conformément à l'article 33 du RGPD.

9 Mineurs

KitaDi est un service destiné aux personnes âgées de 16 ans ou plus. Nous ne collectons pas sciemment de données personnelles provenant de mineurs de moins de 16 ans. Si vous pensez qu'un enfant de moins de 16 ans nous a fourni des données personnelles, contactez-nous à privacy@kitadi.com afin que nous puissions les supprimer.

10 Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment pour refléter les évolutions légales, réglementaires ou fonctionnelles du service.

En cas de modifications substantielles, nous vous informerons par email (si vous êtes utilisateur enregistré) ou via une bannière visible sur le site, au moins 30 jours avant l'entrée en vigueur des changements.

La date de dernière mise à jour figure toujours en haut de cette page. Nous vous encourageons à la consulter régulièrement.

11 Contact et réclamations

Une question sur vos données ?

Notre équipe traite toutes les demandes relatives à la protection des données dans un délai de 30 jours.

✉️ Contacter privacy@kitadi.com

Objet recommandé : "Demande RGPD — [type de demande]"