Koproz

Légal

Politique de confidentialité

Version v1 — en vigueur depuis le 23 mai 2026.

1. Responsable du traitement

Inafest SAS, dont le siège social est au 25 rue de Ponthieu, 75008 Paris (France), est responsable du traitement des données personnelles collectées via le Service Koproz.

Délégué à la protection des données : dpo@inafest.fr.

2. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Gestion du compte utilisateur: création, authentification, suivi de l'abonnement. Base légale : exécution du contrat (CGU).
  • Fourniture du service : centralisation des documents, extraction par IA, collaboration entre copropriétaires. Base légale : exécution du contrat.
  • Notifications : emails transactionnels (validations, invitations, alertes projet). Base légale : intérêt légitime à vous tenir informé.
  • Sécurité : détection des fraudes, anti-spam, rate-limiting. Base légale : intérêt légitime à protéger le Service.
  • Amélioration produit: mesure d'audience anonymisée. Base légale : intérêt légitime, données pseudonymisées.

3. Données collectées

  • Identité : nom, prénom, adresse email, téléphone (optionnel).
  • Identifiants techniques : email normalisé (anti-doublon), mot de passe hashé (argon2id), cookies de session.
  • Contenu : documents que vous chargez (PV d'AG, devis, photos), messages échangés avec d'autres copropriétaires.
  • Données extraites : copropriétaires identifiés dans les documents, dates de décisions, montants, lots, tantièmes (extraction par IA).
  • Métadonnées techniques : adresse IP (hashée pour rate-limit), user agent, logs d'activité (durée 30 jours glissants).
  • Données de souscription : statut d'abonnement, historique de paiement (le détail bancaire est géré par Stripe, jamais stocké chez nous).

4. Sous-traitants et destinataires

Koproz repose sur les sous-traitants suivants. Tous opèrent dans l'Union européenne par défaut. Les exceptions (Anthropic, VirusTotal) sont régies par des clauses contractuelles types (« Standard Contractual Clauses »).

  • Google Cloud Platform— hébergement, base de données, stockage de fichiers, file de tâches. Région : Belgique (europe-west1) et Pays-Bas (europe-west4 pour l'OCR).
  • Google Document AI — extraction OCR des documents scannés (~5 % des chargements). Région : Pays-Bas (europe-west4).
  • Mistral AI— génération d'embeddings vectoriels pour la recherche sémantique. Région : Union européenne (Frankfurt). Transit uniquement, pas de stockage durable, DPA signé.
  • Anthropic (États-Unis) — classification et extraction par IA, chatbot copropriété. Données traitées sous Standard Contractual Clauses. Transit uniquement (pas de stockage durable côté Anthropic).
  • VirusTotal (États-Unis)— antivirus. Seul le hash SHA-256 du fichier est transmis. Le contenu du fichier ne quitte jamais l'Union européenne.
  • Mailgun — envoi des emails transactionnels et invitations. Région : Union européenne (Frankfurt).
  • Sentry— capture d'erreurs applicatives. Région : Union européenne (Frankfurt). Filtrage PII actif (email, nom, téléphone retirés des logs).
  • PostHog— mesure d'audience produit. Région : Union européenne (Frankfurt). Events anonymisés (identifiant interne uniquement).
  • Upstash — rate-limit applicatif via Redis. Région : Belgique (GCP europe-west1).
  • Base Adresse Nationale (data.gouv.fr / IGN)— autocomplétion d'adresses françaises. Service public, hébergé en France.

5. Durée de conservation

  • Compte actif : durée de la souscription.
  • Compte résilié : 12 mois après résiliation, puis suppression. Possibilité de portabilité préalable sur demande.
  • Documents : tant que la copropriété est active, ou jusqu'à suppression manuelle par leur propriétaire.
  • Logs de sécurité (IP hashée, audit, rate-limit) : 30 jours glissants.
  • Données de facturation : 10 ans (obligation légale comptable).
  • Tickets support : 24 mois, puis archivage anonymisé.

6. Vos droits

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

  • Accès : obtenir une copie de vos données.
  • Rectification : corriger des données inexactes.
  • Effacement : supprimer votre compte et vos données.
  • Limitation : suspendre temporairement le traitement.
  • Portabilité : récupérer vos données dans un format structuré.
  • Opposition : refuser un traitement basé sur l'intérêt légitime.

Pour exercer ces droits, contactez le délégué à la protection des données : dpo@inafest.fr. Délai de réponse : 30 jours maximum.

En cas de difficulté, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), cnil.fr.

7. Cookies

Koproz utilise un nombre limité de cookies, tous strictement nécessaires au fonctionnement du Service :

  • Cookie de session (Better Auth) : maintien de la connexion, durée 30 jours.
  • Cookie de vérification CSRF : sécurité.

Aucun cookie tiers de tracking publicitaire n'est utilisé. La mesure d'audience PostHog repose sur un identifiant interne anonyme stocké en local, sans traçage croisé.

8. Sécurité

Inafest met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications en TLS 1.2+.
  • Chiffrement au repos des bases de données et des fichiers (GCP par défaut).
  • Mots de passe hashés en argon2id (jamais stockés en clair).
  • Authentification à 2 facteurs disponible (à venir).
  • Logs d'audit conservés 30 jours.
  • Backups DB quotidiens.
  • Rate-limiting et détection anti-fraude (signups en masse, emails jetables, alias).

9. Modifications de la politique

Inafest peut faire évoluer la présente politique. Toute modification substantielle est notifiée par email aux Utilisateurs au moins 30 jours avant son entrée en vigueur.