Confidentialité

Comment Korva traite vos données.

Le présent document précise les finalités, bases légales, durées de conservation et destinataires des données que Korva traite pour le compte de ses clients. Il reprend, en version lisible, les engagements opposables consignés dans le DPA RGPD signé entre Korva et chaque tenant.

01

Identité du responsable du traitement

Korva SAS, dont le siège est à Bordeaux, édite et opère la plateforme Korva. Pour toute question liée à la confidentialité, écrivez à bonjour@korva.me. Antoine, fondateur, fait office de point de contact RGPD jusqu’à la nomination d’un DPO externe en Phase 2.

02

Finalités du traitement

Authentification des utilisateurs via Clerk EU. Ingestion et parsing des fichiers comptables et fiscaux du Client (FEC, CAMT.053, DRM, DSN). Consolidation P&L multi-entités. Génération du pack PE. Surveillance des covenants. Exposition d’outils MCP authentifiés. Audit log immuable. Communications transactionnelles strictement liées au service.

03

Bases légales

Exécution du contrat commercial signé avec le Client (Art. 6.1.b RGPD). Intérêt légitime pour la sécurité et l’audit (Art. 6.1.f). Obligation légale pour la conservation des pièces comptables (Art. 6.1.c, sept ans). Consentement explicite pour toute communication marketing — option désactivée par défaut.

04

Catégories de données

Données d’identité professionnelle · nom, prénom, email professionnel, rôle. Données comptables et financières du Client · FEC, CAMT.053, DRM, DSN. Données de configuration tenant · référentiels comptables, entités, covenants. Métadonnées d’audit log · action, horodatage, hash chaîné. Aucune donnée sensible au sens de l’article 9 RGPD n’est traitée sans pseudonymisation préalable.

05

Durée de conservation

FEC, CAMT.053, DRM, DSN · sept ans (obligation légale française, Art. L.123-22 du Code de commerce). Logs d’authentification · trois ans. Sessions actives · six mois. Métadonnées d’audit log · sept ans, immuables. Compte utilisateur supprimé sous trente jours à la fin du contrat, hors données comptables sous obligation légale.

06

Destinataires

Les sous-traitants suivants accèdent à tout ou partie des données, strictement pour exécuter le service · Vercel (frontend, EU), Railway (backend + Postgres, Frankfurt / Belgique), Scaleway (storage, Paris), Clerk (authentification, EU), Anthropic (LLM, États-Unis, DPA + Zero Data Retention signés), Resend (email transactionnel, EU), Sentry self-hosted EU, BetterStack (uptime, EU), Plausible (analytics sans cookies, France). Aucun autre destinataire.

07

Transferts hors UE

Aucun transfert hors Union européenne, à l’exception de l’API Anthropic (États-Unis), encadrée par un DPA signé et la fonction Zero Data Retention activée. Aucune donnée client n’est utilisée pour entraîner un modèle de langage. La pseudonymisation est appliquée en amont sur toute donnée sortant de la zone UE.

08

Droits des personnes concernées

Vous disposez des droits prévus aux articles 15 à 22 du RGPD · accès, rectification, effacement, limitation, portabilité, opposition. Pour les exercer, écrivez à bonjour@korva.me avec une pièce d’identité jointe. Korva répond sous un mois maximum. Vous pouvez également introduire une réclamation auprès de la CNIL.

09

DPO et contact RGPD

Antoine, fondateur, est le point de contact RGPD jusqu’à la nomination d’un DPO externe en Phase 2 (objectif fin 2027). Le DPO externe sera annoncé sur cette page dès sa désignation.

10

Cookies

Korva n’utilise aucun cookie de tracking publicitaire. Plausible Analytics fonctionne sans cookie. Le seul cookie strictement nécessaire est celui de session Clerk pour maintenir l’authentification — sans lui, le service ne peut fonctionner. Aucune bannière de consentement intrusive · seul l’indispensable est posé.

Une question sur la confidentialité ?

Antoine répond directement, sous 48 heures ouvrées.