Data Processing Agreement

Portée du Traitement

Kai traite les données personnelles uniquement dans le but de fournir la plateforme de gestion d'actifs partagés telle que décrite dans les Conditions d'Utilisation. Le traitement comprend le stockage, la récupération, l'affichage et la suppression des données selon les instructions du Controller via l'utilisation normale de la plateforme.

Catégories de Données Traitées

Les catégories suivantes de données personnelles sont traitées :

• Données d'identité : nom, adresse e-mail, photo de profil
• Données de contact : numéro de téléphone, adresse de facturation
• Données financières : IBAN, informations de facturation, registres de factures
• Données d'utilisation : réservations, journaux d'utilisation, registres de dépenses, journaux de maintenance
• Données de communication : messages, tickets de support
• Données techniques : adresse IP, type de navigateur, registres de consentement

Mesures de Sécurité

Kai met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256)
• Sécurité au niveau des lignes pour l'isolation des données entre groupes
• Contrôle d'accès basé sur les rôles avec principe du moindre privilège
• Sauvegardes quotidiennes automatisées avec récupération ponctuelle
• Audits de sécurité réguliers et tests de pénétration
• Aucune information personnellement identifiable envoyée à la surveillance des erreurs

Sous-traitants

Kai fait appel aux sous-traitants suivants. Le Controller sera informé de tout changement apporté à cette liste :

• Supabase (AWS Frankfurt, EU) — Base de données et authentification
• Stripe (EU/US, SCC) — Traitement des paiements
• Resend (US, SCC) — Livraison d'e-mails
• Sentry (EU) — Surveillance des erreurs (sans PII)
• Vercel (EU) — Hébergement d'applications
• Google Analytics & Ads (US, DPF) — Analytique et publicité (dépendant du consentement)
• Firebase / Google Cloud (EU) — Stockage de fichiers
• Cloudinary (US, SCC) — Optimisation d'images

Notification de Violation de Données

En cas de violation de données personnelles, Kai informera le Controller sans retard injustifié et au plus tard 72 heures après avoir pris connaissance de la violation. La notification comprendra la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les conséquences probables et les mesures prises ou proposées pour remédier à la violation.

Droits des Personnes Concernées

Kai assiste le Controller dans le traitement des demandes des personnes concernées, notamment :

• Droit d'accès — les utilisateurs peuvent consulter toutes leurs données sur la plateforme
• Droit de rectification — les utilisateurs peuvent mettre à jour leur profil et leurs données
• Droit à l'effacement — la suppression du compte supprime toutes les données personnelles
• Droit à la portabilité des données — les utilisateurs peuvent exporter toutes leurs données en JSON
• Droit de retirer le consentement — les préférences de cookies peuvent être modifiées à tout moment

Restitution et Suppression des Données

À la fin de l'accord, Kai supprimera toutes les données personnelles traitées pour le compte du Controller dans les 30 jours, sauf si la conservation est requise par la loi applicable. Le Controller peut exporter ses données à tout moment avant la résiliation en utilisant les fonctionnalités d'exportation intégrées de la plateforme.

Contact

Pour toute question concernant ce DPA ou pour demander une copie signée, contactez-nous à [email protected]