Pack juridique KOVAS · v1.3 — 27 mai 2026
politique de confidentialité et de protection des données à caractère personnel.
Document 4/9 du pack juridique KOVAS
PRÉAMBULE
La présente Politique de Confidentialité, ci-après dénommée indifféremment « Politique de Protection des Données », « PPD », ou « les présentes », a pour objet d'informer, de manière exhaustive, transparente et accessible, l'ensemble des Utilisateurs de la Plateforme KOVAS, qu'ils soient identifiés ou identifiables, des conditions dans lesquelles la société KOVAS, agissant en sa qualité de responsable du traitement au sens de l'article 4, point 7), du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après dénommé « RGPD »), procède à la collecte, à l'enregistrement, à l'organisation, à la structuration, à la conservation, à l'adaptation, à la modification, à l'extraction, à la consultation, à l'utilisation, à la communication par transmission ou diffusion, au rapprochement, à l'interconnexion, à la limitation, à l'effacement ou à la destruction de leurs Données Personnelles.
La présente PPD s'inscrit dans le respect le plus strict :
a) Du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
b) De la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, telle que modifiée notamment par la loi n°2018-493 du 20 juin 2018 et par l'ordonnance n°2018-1125 du 12 décembre 2018 ;
c) Des recommandations, lignes directrices, délibérations et référentiels émis par la Commission nationale de l'informatique et des libertés (CNIL) ;
d) Des lignes directrices et recommandations adoptées par le Comité européen de la protection des données (CEPD/EDPB).
ARTICLE 1. RESPONSABLE DU TRAITEMENT
Le responsable du traitement de l'ensemble des Données Personnelles collectées par l'intermédiaire de la Plateforme est la société NEXUS 1993, société par actions simplifiée unipersonnelle au capital social de 500,00 €, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 982 786 154, dont le siège social est situé 66 Avenue des Champs Élysées, 75008 Paris, éditrice des marques et services « KOVAS Annuaire » et « KOVAS 360 », dont les coordonnées complètes figurent dans les Mentions Légales constituant le document n°1 du pack juridique.
Toute demande relative à l'exercice des droits prévus aux articles 15 à 22 du RGPD, ainsi que toute question, observation ou réclamation portant sur le traitement des Données Personnelles, peut être adressée :
a) Par voie postale : NEXUS 1993 — KOVAS, Service Protection des Données — 66 Avenue des Champs Élysées, 75008 Paris, France ;
b) Par voie électronique : à l'adresse dpo@kovas.fr.
KOVAS a désigné, en la personne de Monsieur Benjamin BEL, un point de contact dédié aux questions de protection des données, étant précisé que KOVAS, compte tenu de la nature et de l'ampleur de ses activités, n'est pas tenue de désigner un délégué à la protection des données au sens de l'article 37 du RGPD. Le point de contact assure néanmoins les missions usuellement attendues d'un tel délégué.
ARTICLE 2. CATÉGORIES DE DONNÉES PERSONNELLES COLLECTÉES
KOVAS collecte et traite les catégories suivantes de Données Personnelles, dans la stricte limite de ce qui est nécessaire à la réalisation des finalités poursuivies, conformément au principe de minimisation posé à l'article 5, paragraphe 1, sous c), du RGPD :
2.1. Données d'identification générale des Utilisateurs
Nom de famille, prénom, civilité, date de naissance le cas échéant, numéro de téléphone fixe ou mobile, adresse électronique, adresse postale, identifiants de connexion à la Plateforme, mot de passe sous forme exclusivement hachée et salée selon les standards cryptographiques en vigueur (fonctions de hachage Argon2id ou bcrypt avec coût adapté).
2.2. Données spécifiques aux Diagnostiqueurs Référencés
Numéro de certification individuelle de compétences, organisme certificateur agréé par le Comité français d'accréditation (COFRAC), domaines de compétences certifiés, dates de validité de chacune des certifications, numéro de SIRET, raison sociale de la structure d'exercice, adresse professionnelle, photographie professionnelle volontairement transmise à l'occasion de la Réclamation, biographie professionnelle volontairement transmise, tarifs indicatifs volontairement communiqués, zone d'intervention géographique déclarée.
2.3. Données relatives aux Particuliers sollicitant un devis
Informations relatives au bien immobilier objet de la demande de devis, en ce compris son adresse, son type, sa surface, son année de construction, sa situation juridique au regard de l'opération projetée (vente, location, travaux, vérification), nature du ou des diagnostics sollicités, message éventuel adressé au Diagnostiqueur, ainsi que les éléments d'identification permettant le rappel ou la prise de contact (nom, prénom, adresse électronique, numéro de téléphone).
2.4. Données de connexion et de navigation
Adresse de protocole internet (IP) de connexion, type et version du navigateur internet utilisé, type et version du système d'exploitation du terminal, données de localisation approximative déduites de l'adresse IP, données de navigation au sein de la Plateforme (pages consultées, durée des visites, actions effectuées, parcours de navigation), traceurs et cookies (dans les conditions précisées par la Politique des Cookies constituant le document n°5).
2.5. Données contractuelles et de facturation
Forfait souscrit, dates de souscription et de résiliation, historique complet des paiements effectués, identifiants de paiement tels que conservés par le prestataire de services de paiement Stripe (sans accès direct par KOVAS aux numéros complets de cartes de paiement), montants facturés, factures émises et acquittées, historique des changements de Forfait.
2.6. Données issues de l'annuaire officiel
Données rendues publiques par le Ministère chargé du Logement sous licence Ouverte Etalab 2.0, en ce compris l'identité des Diagnostiqueurs certifiés (nom, prénom, certifications, organisme certificateur, adresse professionnelle ou personnelle selon ce qui est renseigné par l'organisme certificateur, téléphone, email), telles que mises à disposition sur la plateforme data.gouv.fr et traitées dans les conditions spécifiques exposées dans les Conditions Particulières de l'Annuaire (document n°6) et dans l'Information Préalable RGPD (document n°9).
2.7. Absence de collecte de données sensibles
KOVAS s'abstient, sauf consentement explicite et préalable de la personne concernée et nécessité avérée, de collecter et de traiter des données dites « sensibles » au sens de l'article 9, paragraphe 1, du RGPD, à savoir des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé, ou des données concernant la vie sexuelle ou l'orientation sexuelle de la personne.
ARTICLE 3. FINALITÉS DU TRAITEMENT ET BASES JURIDIQUES
L'ensemble des traitements de Données Personnelles opérés par KOVAS repose sur l'une ou plusieurs des bases juridiques limitativement énumérées à l'article 6 du RGPD, lesquelles sont expressément identifiées ci-après en correspondance avec chacune des finalités poursuivies :
3.1. Fourniture des Services Payants aux Diagnostiqueurs Abonnés
Base juridique : exécution du contrat conclu entre KOVAS et le Diagnostiqueur Abonné, au sens de l'article 6, paragraphe 1, sous b), du RGPD.
Données concernées : ensemble des données contractuelles, de facturation, de connexion et d'utilisation des Services.
Durée de conservation : pendant toute la durée de la relation contractuelle et pendant les durées de conservation légales et fiscales applicables postérieurement à sa cessation (cf. article 5 ci-après).
3.2. Constitution et tenue de l'Annuaire professionnel des Diagnostiqueurs Référencés
Base juridique : poursuite des intérêts légitimes du responsable du traitement, au sens de l'article 6, paragraphe 1, sous f), du RGPD, à savoir :
— L'intérêt légitime de KOVAS et l'intérêt général des Utilisateurs particuliers à disposer d'un service unifié, exhaustif et à jour de recherche des professionnels du diagnostic immobilier certifiés ;
— Le fait que les Données Personnelles concernées relèvent de l'activité professionnelle réglementée des Diagnostiqueurs et sont d'ores et déjà rendues publiquement accessibles par le Ministère chargé du Logement sous licence Ouverte Etalab 2.0 ;
— La nature professionnelle de ces données, et non personnelle au sens strict ;
— L'existence d'un droit d'opposition effectif et facilement exerçable au profit des personnes concernées.
KOVAS a procédé, préalablement à la mise en œuvre de ce traitement, à un bilan d'intérêt légitime (LIA — Legitimate Interest Assessment) mettant en balance ses intérêts légitimes et les droits et libertés fondamentaux des personnes concernées, ledit bilan étant tenu à la disposition de toute personne intéressée sur simple demande à l'adresse dpo@kovas.fr.
Données concernées : données identifiantes professionnelles issues de l'annuaire officiel.
Durée de conservation : tant que le Diagnostiqueur figure dans l'annuaire officiel à jour. En cas de retrait dudit annuaire officiel, suppression dans un délai maximal de trente (30) jours, sauf compte actif Réclamé.
3.3. Traitement des demandes de devis adressées par les Particuliers
Base juridique : exécution de mesures précontractuelles prises à la demande de la personne concernée, au sens de l'article 6, paragraphe 1, sous b), du RGPD.
Données concernées : données d'identification du Particulier demandeur et données relatives au bien immobilier objet de la demande.
Destinataires : le ou les Diagnostiqueurs sélectionnés par le Particulier ou identifiés par la Plateforme comme étant les plus pertinents au regard de la localisation du bien.
Durée de conservation : trois (3) ans à compter de la dernière interaction relative à la demande, sauf suppression anticipée sur demande de la personne concernée et sous réserve de l'absence de litige né ou prévisible.
3.4. Information préalable des Diagnostiqueurs Référencés non-Réclamants
Base juridique : obligation d'information découlant de l'article 14 du RGPD relative aux conditions dans lesquelles leurs Données Personnelles issues de l'annuaire officiel sont traitées par la Plateforme ; poursuite des intérêts légitimes du responsable du traitement.
Modalités : envoi d'un message électronique d'information à l'adresse électronique figurant dans l'annuaire officiel, comportant l'ensemble des mentions énumérées à l'article 14 du RGPD ainsi qu'une faculté de Réclamation, de correction ou de retrait.
Données concernées : adresse électronique professionnelle issue de l'annuaire officiel.
3.5. Prospection commerciale auprès des Diagnostiqueurs Référencés non-Abonnés
Base juridique : poursuite des intérêts légitimes du responsable du traitement, dans les limites permises par l'article L.34-5 du Code des postes et des communications électroniques relatif à la prospection à destination de personnes physiques agissant en qualité de professionnels.
Modalités : un droit d'opposition gratuit et immédiat est offert à chaque communication, par l'insertion d'un lien de désinscription clairement identifiable dans chaque message.
Limite d'envoi : trois (3) messages de prospection maximum sur une période de trente (30) jours, après laquelle aucune communication ne sera plus adressée sauf demande expresse de l'intéressé.
3.6. Amélioration de la Plateforme et de ses Services
Base juridique : poursuite des intérêts légitimes du responsable du traitement.
Modalités : les données traitées à cette fin sont agrégées, anonymisées ou pseudonymisées dans toute la mesure techniquement réalisable.
3.7. Respect des obligations légales et réglementaires
Base juridique : respect d'une obligation légale à laquelle KOVAS est tenue, au sens de l'article 6, paragraphe 1, sous c), du RGPD, et notamment les obligations en matière comptable, fiscale, sociale, de lutte contre la fraude et le blanchiment des capitaux et le financement du terrorisme.
ARTICLE 4. DESTINATAIRES DES DONNÉES
Les Données Personnelles collectées par KOVAS ne sont communiquées à des tiers que dans les hypothèses limitativement énumérées ci-après :
4.1. Sous-traitants techniques de KOVAS
Prestataires intervenant pour le compte de KOVAS et sous son contrôle exclusif, en qualité de sous-traitants au sens de l'article 28 du RGPD, liés à KOVAS par des accords de sous-traitance comportant l'ensemble des stipulations exigées par l'article 28, paragraphe 3, du RGPD :
| Sous-traitant | Finalité | Hébergement | Données traitées |
|---|---|---|---|
| Supabase Inc. (offre Pro) | Hébergement base de données + authentification + stockage de fichiers | Union européenne (Paris, eu-west-3) | Ensemble des données personnelles et des données de mission |
| Vercel Inc. | Hébergement du frontend Next.js | Union européenne (Francfort) | Journaux d'accès, en-têtes HTTP |
| Sentry (Functional Software Inc.) | Supervision technique et journalisation des erreurs ; rediffusion de session (session replay) sur opt-in | Union européenne (Francfort) | Traces d'exécution (stack traces) avec scrubbing automatique des données personnelles |
| PostHog Inc. | Mesure d'audience produit (opt-in) | Union européenne (Francfort) | Événements anonymisés ou pseudonymisés |
| Upstash Inc. | Cache Redis pour la limitation de débit (rate-limiting) | Union européenne (Francfort) | Empreintes (hash) d'adresses IP et d'adresses électroniques, expiration ≤ 15 minutes |
| Stripe Payments Europe Limited | Paiements et facturation KOVAS | Union européenne (Irlande) + États-Unis (Data Privacy Framework) | Données de carte (PCI-DSS), adresse électronique, montants |
| Resend Inc. | Envoi d'e-mails transactionnels | Union européenne (Francfort) | Adresse électronique du destinataire et contenu du message |
| Brevo SAS (ex-Sendinblue) | Envoi de SMS et e-mails (OTP, marketing opt-in) | Union européenne (Paris) | Numéros de téléphone au format E.164, OTP à 6 chiffres expirant après 10 minutes |
| Anthropic PBC | Traitement par intelligence artificielle (assistant vocal, suggestions) | Union européenne (Francfort) ou États-Unis selon endpoint utilisé, encadré par les Clauses Contractuelles Types et le Data Privacy Framework | Transcriptions vocales anonymisées avant envoi |
| OpenAI L.L.C. | Transcription par modèle Whisper (fallback) | Union européenne ou États-Unis (Data Privacy Framework) | Flux audio bruts (scrubbing des données personnelles préalable lorsque détectées) |
| Yousign SAS | Signature électronique eIDAS (à la demande) | Union européenne (France) | Identité du signataire, document signé |
| Pennylane SAS | Comptabilité et facturation (à compter de la mise en service) | Union européenne (France) | Données contractuelles et de facturation |
| OpenStreetMap Foundation | Fond de carte (cartographie) | Royaume-Uni (décision d'adéquation post-Brexit) | Aucune donnée personnelle collectée (fond de carte statique) |
L'ensemble de ces sous-traitants intervient sur la base d'accords de sous-traitance conformes à l'article 28 du RGPD (DPA), signés ou en cours de signature, lesquels peuvent être communiqués sur demande à l'adresse dpo@kovas.fr.
4.2. Diagnostiqueurs destinataires de demandes de devis
Transmission strictement nécessaire à la mise en relation entre le Particulier demandeur et le ou les Diagnostiqueurs qu'il a choisis ou que la Plateforme a sélectionnés au plus près de l'adresse du bien objet de la demande.
4.3. Autorités administratives ou judiciaires
Sur réquisition régulière d'une autorité compétente, et dans la stricte mesure rendue nécessaire par ladite réquisition, KOVAS communique les Données Personnelles qui lui sont demandées, sans préjudice de son droit d'en informer la personne concernée lorsque la loi ne l'interdit pas.
4.4. Acquéreurs éventuels
Dans l'hypothèse d'une opération de cession, fusion, scission, apport partiel d'actifs ou autre opération de restructuration affectant KOVAS, les Données Personnelles peuvent être transmises au cessionnaire, sous réserve qu'il s'engage à respecter les engagements pris par KOVAS au titre de la présente PPD.
4.5. Absence de cession à des tiers à des fins commerciales
KOVAS s'engage expressément et inconditionnellement à ne céder, vendre, louer, échanger ou autrement transférer les Données Personnelles à aucun tiers à des fins commerciales ou publicitaires, hors les hypothèses limitativement énumérées ci-dessus.
ARTICLE 5. DURÉES DE CONSERVATION
KOVAS conserve les Données Personnelles pendant des durées strictement nécessaires à la réalisation des finalités pour lesquelles elles ont été collectées :
5.1. Comptes utilisateurs
Pendant toute la durée d'utilisation active du compte, augmentée d'un délai de trois (3) ans à compter de la dernière interaction avec la Plateforme, à l'issue duquel le compte est définitivement supprimé sous réserve des obligations comptables et fiscales rappelées ci-après.
5.2. Données contractuelles et de facturation
Pendant la durée de la relation contractuelle, augmentée du délai légal de conservation des pièces comptables de dix (10) ans à compter de la clôture de l'exercice comptable concerné, conformément à l'article L.123-22 du Code de commerce.
5.3. Données issues de l'Annuaire officiel
Conservation maintenue tant que le Diagnostiqueur figure dans l'annuaire officiel à jour, avec mise à jour quotidienne par confrontation avec la source officielle. En cas de retrait du Diagnostiqueur de l'annuaire officiel pour cause d'expiration de certification ou tout autre motif, suppression dans un délai maximal de trente (30) jours, sauf si le Diagnostiqueur concerné a Réclamé sa fiche et conserve un compte actif.
5.4. Demandes de devis B2C
Trois (3) ans à compter de la dernière interaction relative à la demande, sauf suppression anticipée sur demande de la personne concernée.
5.5. Données de connexion et de navigation
Treize (13) mois maximum à compter de leur collecte, conformément aux durées maximales préconisées par la CNIL en matière de traceurs et de mesure d'audience.
5.6. Données traitées sur la base du consentement
Jusqu'au retrait du consentement par la personne concernée, ou à l'extinction de la finalité poursuivie si celle-ci intervient plus tôt.
5.7. Documents et registres internes
Cinq (5) ans à compter de leur établissement, pour les documents internes relatifs au respect des obligations du RGPD, en ce compris le registre des activités de traitement, les analyses d'impact, les comptes rendus d'incidents et les évaluations.
ARTICLE 6. TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE
6.1. Principe de localisation européenne
KOVAS s'efforce, dans la mesure du raisonnable, de localiser le stockage et le traitement des Données Personnelles des Utilisateurs résidant dans l'Union européenne à l'intérieur des frontières de celle-ci ou de pays bénéficiant d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD.
6.2. Transferts vers les pays tiers
Toutefois, certains prestataires techniques sous-traitants étant établis hors de l'Union européenne, et notamment aux États-Unis d'Amérique, des transferts de Données Personnelles peuvent intervenir vers ces pays tiers. Ces transferts s'effectuent dans le respect strict des garanties prévues par les articles 44 à 50 du RGPD, et notamment au moyen :
a) Des clauses contractuelles types adoptées par la Commission européenne aux termes de la décision d'exécution (UE) 2021/914 du 4 juin 2021 ;
b) De la certification au titre du cadre de protection des données entre l'Union européenne et les États-Unis (Data Privacy Framework) approuvé par la décision d'exécution (UE) 2023/1795 du 10 juillet 2023, dans la mesure où ledit cadre demeure en vigueur ;
c) Le cas échéant, de mesures techniques et organisationnelles supplémentaires (chiffrement, pseudonymisation) propres à assurer un niveau de protection équivalent à celui requis par le droit européen.
6.3. Information disponible
Le détail des transferts opérés, des garanties associées et la documentation y afférente peuvent être obtenus sur simple demande adressée à dpo@kovas.fr.
ARTICLE 7. DROITS DES PERSONNES CONCERNÉES
Conformément aux dispositions des articles 12 à 22 du RGPD, toute personne dont les Données Personnelles sont traitées par KOVAS dispose des droits suivants, exerçables à tout moment, sans frais (sauf demande manifestement infondée ou excessive), par voie de demande écrite adressée à l'adresse postale du siège social ou à l'adresse électronique dpo@kovas.fr.
7.1. Droit d'accès (article 15 du RGPD)
Droit d'obtenir confirmation que des Données Personnelles la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, droit d'accéder auxdites données et d'obtenir une copie de celles-ci sur un support durable.
7.2. Droit de rectification (article 16 du RGPD)
Droit d'obtenir, dans les meilleurs délais, la rectification des Données Personnelles inexactes la concernant, ainsi que la complétude des données incomplètes.
7.3. Droit à l'effacement (article 17 du RGPD)
Également dénommé « droit à l'oubli », droit d'obtenir l'effacement des Données Personnelles la concernant lorsque l'une des hypothèses prévues par ledit article est réunie. Ce droit n'est pas absolu et peut être limité par l'existence d'obligations légales de conservation à la charge de KOVAS.
7.4. Droit à la limitation du traitement (article 18 du RGPD)
Droit d'obtenir la suspension provisoire du traitement dans certaines hypothèses, notamment lorsque l'exactitude des données est contestée ou lorsque l'opposition au traitement est en cours d'examen.
7.5. Droit à la portabilité des données (article 20 du RGPD)
Droit, lorsque les conditions de l'article 20 sont remplies, de recevoir les Données Personnelles fournies par la personne concernée dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement sans que KOVAS y fasse obstacle.
7.6. Droit d'opposition (article 21 du RGPD)
Droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime du responsable du traitement, ainsi que droit absolu de s'opposer au traitement à des fins de prospection commerciale.
7.7. Droit relatif aux décisions automatisées (article 22 du RGPD)
Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l'affectant de manière significative. KOVAS n'opère, à la date des présentes, aucune décision purement automatisée produisant de tels effets, le matching des demandes de devis et le tri des résultats ne produisant pas, pris isolément, des effets juridiques significatifs au sens de cet article.
7.8. Droit de définir des directives post-mortem (article 85 de la loi n°78-17)
Droit de définir des directives, générales ou particulières, relatives à la conservation, à l'effacement et à la communication des Données Personnelles après son décès.
7.9. Droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77 du RGPD)
Droit, sans préjudice de tout autre recours administratif ou juridictionnel, d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise.
En France, l'autorité de contrôle compétente est : Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, France, www.cnil.fr.
7.10. Délai de réponse de KOVAS
KOVAS s'engage à répondre à toute demande d'exercice des droits susvisés dans un délai d'un (1) mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux (2) mois supplémentaires si nécessaire compte tenu de la complexité et du nombre de demandes, sous réserve d'en informer préalablement la personne concernée.
7.11. Vérification d'identité
KOVAS peut, en cas de doute raisonnable sur l'identité du demandeur, solliciter la communication d'éléments permettant de l'établir, en application de l'article 12, paragraphe 6, du RGPD.
ARTICLE 8. MESURES DE SÉCURITÉ
KOVAS met en œuvre, conformément à l'article 32 du RGPD, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque :
8.1. Chiffrement des données
a) En transit : protocole TLS (Transport Layer Security) dans sa version la plus récente disponible et fiabilisée, sur l'ensemble des échanges entre les terminaux des Utilisateurs et les serveurs de la Plateforme ;
b) Au repos : chiffrement des données sensibles au repos lorsque la nature des données et l'évaluation du risque le justifient.
8.2. Authentification et gestion des accès
a) Hachage des mots de passe selon les standards cryptographiques en vigueur (Argon2id ou bcrypt) ;
b) Disponibilité de la double authentification sur les comptes Diagnostiqueurs ;
c) Politique de complexité des mots de passe ;
d) Principe du moindre privilège pour les accès internes ;
e) Séparation des environnements de production, de préproduction et de développement.
8.3. Traçabilité et journalisation
a) Tenue d'un journal de traçabilité des accès aux données sensibles ;
b) Conservation des logs d'accès pendant douze (12) mois maximum, conformément aux recommandations CNIL ;
c) Analyse régulière des journaux pour détecter d'éventuelles anomalies.
8.4. Sécurité des systèmes
a) Mise à jour régulière des composants logiciels utilisés ;
b) Conduite régulière d'évaluations de sécurité, en ce compris des tests de pénétration ;
c) Sauvegarde régulière des données avec test de restauration ;
d) Plan de continuité d'activité documenté.
8.5. Sensibilisation et formation
Sensibilisation et formation continue du personnel intervenant dans le traitement des Données Personnelles.
8.6. Notification des violations
En cas de violation de Données Personnelles au sens de l'article 4, point 12), du RGPD, KOVAS s'engage à :
a) Notifier ladite violation à l'autorité de contrôle compétente dans un délai maximal de soixante-douze (72) heures à compter du moment où elle en a pris connaissance, conformément à l'article 33 du RGPD ;
b) Communiquer ladite violation aux personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD ;
c) Documenter intégralement toute violation de Données Personnelles, conformément à l'article 33, paragraphe 5, du RGPD.
8.7. Mesures techniques complémentaires issues de l'audit sécurité du 27 mai 2026
Aux mesures décrites aux articles 8.1 à 8.6 ci-dessus s'ajoutent les mesures techniques spécifiques suivantes, mises en œuvre à la suite de l'audit interne de sécurité du 27 mai 2026 :
a) Scrubbing automatique des données personnelles dans les journaux d'erreur : avant tout envoi de trace d'exécution au sous-traitant de supervision Sentry, KOVAS procède à un masquage automatique, côté serveur comme côté client, des données suivantes lorsqu'elles sont détectées : adresses électroniques, numéros de téléphone (formats E.164 et national 0X), numéros SIRET à 14 chiffres, jetons d'authentification JSON Web Tokens (JWT), et clés d'API émises par les sous-traitants techniques (Stripe, Supabase, Anthropic, OpenAI). Le module de scrubbing est documenté dans le code source à l'emplacement apps/web/src/lib/security/scrub-pii.ts ;
b) Limitation de débit (rate-limiting) : KOVAS applique sur les endpoints sensibles des seuils stricts de requêtes par fenêtre temporelle, mis en œuvre via le cache Redis du sous-traitant Upstash hébergé en Allemagne (Union européenne). Les seuils principaux sont :
— Authentification (connexion, inscription, callback OAuth) : dix (10) requêtes par fenêtre de quinze (15) minutes par adresse électronique ou par adresse IP ; — Workflow de revendication de fiche annuaire (KYC) et envoi d'OTP : trois (3) requêtes par fenêtre de quinze (15) minutes par adresse IP ; — API publique : soixante (60) requêtes par minute par adresse IP en accès anonyme, six cents (600) requêtes par minute par clé API authentifiée ;
c) Validation MIME et signature binaire (magic number) sur les uploads : tout fichier déposé sur la Plateforme (photographies de mission, pièces du dossier de revendication KYC, documents propriétaire) fait l'objet d'une double vérification : contrôle du type MIME déclaré et contrôle de la signature binaire du fichier (magic number), afin d'empêcher l'envoi de fichiers déguisés sous une extension trompeuse ;
d) Politique de sécurité du contenu (Content Security Policy) : la Plateforme applique une politique CSP stricte, assortie d'un endpoint de reporting transmettant à Sentry les violations détectées, aux fins de détection précoce des tentatives d'injection de code ;
e) Pinning du search_path sur les fonctions SECURITY DEFINER : les fonctions PL/pgSQL stockées en base de données et exécutées en mode SECURITY DEFINER se voient appliquer un search_path fixé, mesure de défense en profondeur contre les attaques par injection de schéma ;
f) Double authentification (2FA) : la double authentification par algorithme TOTP (Time-based One-Time Password) est disponible pour l'ensemble des comptes Utilisateurs et expressément recommandée pour les comptes disposant de privilèges d'administration ;
g) Verrouillage de la suppression de factures côté client : conformément à l'obligation décennale de conservation des pièces comptables prévue à l'article L.123-22 du Code de commerce et aux exigences de la Direction générale des Finances publiques (DGFiP), la suppression de factures émises est techniquement bloquée côté application, indépendamment des contrôles serveur ;
h) Sauvegardes quotidiennes et Point-In-Time Recovery (PITR) : l'infrastructure Supabase Pro réalise des sauvegardes quotidiennes complètes et permet la restauration à un instant précis (Point-In-Time Recovery) sur une fenêtre de sept (7) jours minimum, aux fins de continuité d'activité et de reprise après incident.
Ces mesures complètent, sans s'y substituer, les mesures décrites aux articles 8.1 à 8.6 ci-dessus. KOVAS se réserve la faculté d'ajuster sans préavis les seuils techniques applicables aux fins de garantir la disponibilité et la sécurité de la Plateforme.
ARTICLE 9. MINEURS
La Plateforme n'est pas destinée à être utilisée par des personnes mineures de moins de quinze (15) ans révolus, âge correspondant au seuil de consentement numérique fixé par la loi française en application de l'article 8 du RGPD.
KOVAS s'efforce de ne pas collecter sciemment de Données Personnelles relatives à des personnes mineures. Dans l'hypothèse où une telle collecte serait portée à sa connaissance, KOVAS procéderait dans les meilleurs délais à la suppression desdites données, sauf si le titulaire de l'autorité parentale a expressément consenti audit traitement.
ARTICLE 10. MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ
10.1. Faculté de modification
KOVAS se réserve la faculté de modifier la présente PPD à tout moment, afin de l'adapter à l'évolution de ses activités, des technologies utilisées, des prestataires sous-traitants, ainsi que du cadre légal et réglementaire applicable.
10.2. Notification des modifications
Toute modification substantielle de la PPD fait l'objet d'une notification préalable adressée aux Utilisateurs inscrits, par voie électronique à l'adresse enregistrée dans leur compte, dans un délai d'au moins trente (30) jours calendaires précédant l'entrée en vigueur de la modification.
10.3. Acceptation
L'utilisation continue de la Plateforme postérieurement à l'entrée en vigueur d'une modification de la PPD vaut acceptation tacite de ladite modification, à défaut de manifestation contraire de l'Utilisateur.
ARTICLE 11. CONTACT ET RÉCLAMATIONS
Toute question, observation, réclamation ou demande d'exercice de droits relative à la présente PPD peut être adressée par les moyens suivants :
Adresse électronique dédiée : dpo@kovas.fr
Adresse postale : NEXUS 1993 — KOVAS, Service Protection des Données — 66 Avenue des Champs Élysées, 75008 Paris, France
Délai de réponse : un (1) mois maximum, prolongeable de deux (2) mois en cas de demande complexe ou de demandes multiples.
Document validé en sa version 1.3 le 27 mai 2026.
CHANGELOG
- v1.3 — 27 mai 2026 : intégration des mesures de sécurité techniques renforcées issues de l'audit sécurité du 27 mai 2026 (article 8.7 ajouté : scrubbing PII Sentry, rate-limiting Upstash, validation MIME et magic number, CSP stricte avec reporting, pinning du
search_pathsur fonctionsSECURITY DEFINER, 2FA TOTP recommandée pour administrateurs, blocage suppression de factures côté client conformément à l'article L.123-22 du Code de commerce, sauvegardes quotidiennes et Point-In-Time Recovery 7 jours minimum). Refonte du tableau des sous-traitants techniques à l'article 4.1 (Sentry, PostHog, Upstash, Resend, OpenAI expressément mentionnés). Les autres stipulations restent inchangées. - v1.2 — 21 mai 2026 : intégration de l'identité officielle complète du responsable du traitement (NEXUS 1993, SIREN 982 786 154, RCS Paris, siège social 66 Avenue des Champs Élysées 75008 Paris) et substitution de l'adresse postale du point de contact RGPD.
- v1.1 — 2 juin 2026 : actualisation de l'en-tête de version, sans modification au fond des stipulations matérielles.
- v1.0 — 20 mai 2026 : version initiale.