01
Identité du responsable du traitement
Korva SAS, dont le siège est à Bordeaux, édite et opère la plateforme Korva. Pour toute question liée à la confidentialité, écrivez à bonjour@korva.me. Antoine, fondateur, fait office de point de contact RGPD jusqu’à la nomination d’un DPO externe en Phase 2.
02
Finalités du traitement
Authentification des utilisateurs via Clerk EU. Ingestion et parsing des fichiers comptables et fiscaux du Client (FEC, CAMT.053, DRM, DSN). Consolidation P&L multi-entités. Génération du pack PE. Surveillance des covenants. Exposition d’outils MCP authentifiés. Audit log immuable. Communications transactionnelles strictement liées au service.
Exécution du contrat commercial signé avec le Client (Art. 6.1.b RGPD). Intérêt légitime pour la sécurité et l’audit (Art. 6.1.f). Obligation légale pour la conservation des pièces comptables (Art. 6.1.c, sept ans). Consentement explicite pour toute communication marketing — option désactivée par défaut.
Données d’identité professionnelle · nom, prénom, email professionnel, rôle. Données comptables et financières du Client · FEC, CAMT.053, DRM, DSN. Données de configuration tenant · référentiels comptables, entités, covenants. Métadonnées d’audit log · action, horodatage, hash chaîné. Aucune donnée sensible au sens de l’article 9 RGPD n’est traitée sans pseudonymisation préalable.
FEC, CAMT.053, DRM, DSN · sept ans (obligation légale française, Art. L.123-22 du Code de commerce). Logs d’authentification · trois ans. Sessions actives · six mois. Métadonnées d’audit log · sept ans, immuables. Compte utilisateur supprimé sous trente jours à la fin du contrat, hors données comptables sous obligation légale.
Les sous-traitants suivants accèdent à tout ou partie des données, strictement pour exécuter le service · Vercel (frontend, EU), Railway (backend + Postgres, Frankfurt / Belgique), Scaleway (storage, Paris), Clerk (authentification, EU), Anthropic (LLM, États-Unis, DPA + Zero Data Retention signés), Resend (email transactionnel, EU), Sentry self-hosted EU, BetterStack (uptime, EU), Plausible (analytics sans cookies, France). Aucun autre destinataire.
Aucun transfert hors Union européenne, à l’exception de l’API Anthropic (États-Unis), encadrée par un DPA signé et la fonction Zero Data Retention activée. Aucune donnée client n’est utilisée pour entraîner un modèle de langage. La pseudonymisation est appliquée en amont sur toute donnée sortant de la zone UE.
08
Droits des personnes concernées
Vous disposez des droits prévus aux articles 15 à 22 du RGPD · accès, rectification, effacement, limitation, portabilité, opposition. Pour les exercer, écrivez à bonjour@korva.me avec une pièce d’identité jointe. Korva répond sous un mois maximum. Vous pouvez également introduire une réclamation auprès de la CNIL.
Antoine, fondateur, est le point de contact RGPD jusqu’à la nomination d’un DPO externe en Phase 2 (objectif fin 2027). Le DPO externe sera annoncé sur cette page dès sa désignation.
Korva n’utilise aucun cookie de tracking publicitaire. Plausible Analytics fonctionne sans cookie. Le seul cookie strictement nécessaire est celui de session Clerk pour maintenir l’authentification — sans lui, le service ne peut fonctionner. Aucune bannière de consentement intrusive · seul l’indispensable est posé.