1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via la plateforme
Kiality est la société Devapy (SIRET 838 712 388 00019), dont le siège
social est situé au 4 chemin de la Guinette, 31290 Vallègue.
Contact DPO : dpo@devapy.com
2. Rôles : responsable de traitement et sous-traitant
Kiality traite deux catégories distinctes de données, impliquant des rôles juridiques différents :
- Données propres à Devapy (données de compte, logs de connexion, communications via les formulaires) : Devapy agit en tant que responsable du traitement. La présente politique s'applique pleinement à ces données.
- Données métier du client (anomalies détectées, normes configurées, données issues des connecteurs vers des systèmes tiers, données d'évaluation) : Devapy agit en tant que sous-traitant au sens de l'article 28 du RGPD. Le client (organisation souscriptrice) demeure responsable du traitement de ces données. Le traitement est encadré par les CGV et, le cas échéant, par un accord de traitement des données (DPA) conclu avec le client.
3. Données collectées
Dans le cadre de l'utilisation de Kiality, les données suivantes peuvent être collectées :
- Données d'identification : nom, prénom, adresse e-mail, identifiant ;
- Données de connexion : adresse IP, horodatage, logs de session ;
- Données métier : anomalies détectées, normes configurées, données issues des connecteurs (traitées en tant que sous-traitant) ;
- Données de communication : échanges via les formulaires de contact.
4. Finalités du traitement
Les données sont collectées pour les finalités suivantes :
- Fourniture du service Kiality et gestion des comptes utilisateurs ;
- Sécurité et prévention des usages frauduleux ;
- Support technique et service client ;
- Amélioration du produit et analyse d'usage (données agrégées et anonymisées) ;
- Respect des obligations légales et réglementaires.
5. Base légale
Les traitements reposent sur les bases légales suivantes (RGPD art. 6) :
- Exécution du contrat d'abonnement ;
- Obligation légale ;
- Intérêt légitime de Devapy (sécurité, amélioration du service) ;
- Consentement de l'utilisateur (le cas échéant).
6. Durée de conservation
Les données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, et au maximum :
- Données de compte : durée de la relation contractuelle + 3 ans ;
- Logs de connexion : 12 mois ;
- Données métier : durée de l'abonnement + 90 jours (délai de restitution/destruction à la résiliation).
7. Destinataires et sous-traitants
Les données sont accessibles aux équipes habilitées de Devapy. Elles sont également traitées par les sous-traitants techniques suivants, dans le strict cadre de l'exécution du service, liés par des clauses contractuelles de protection des données conformes au RGPD :
- Scaleway SAS (hébergement et infrastructure cloud) — données hébergées en France ;
- Fournisseur SMTP (envoi des notifications par email) ;
- Fournisseurs d'intelligence artificielle (Anthropic, OpenAI ou équivalent), pour la fonctionnalité optionnelle de génération de règles en langage naturel. Seules les règles métier saisies par l'utilisateur et un échantillon de données de structure (schéma JSON anonymisé) sont transmis. Aucune donnée personnelle identifiante n'est envoyée à ces services. Cette fonctionnalité peut être désactivée et remplacée par un modèle local (Ollama, hébergé dans votre infrastructure).
Aucune donnée n'est cédée à des tiers à des fins commerciales.
8. Transferts hors Union Européenne
L'hébergement principal de Kiality est assuré en France (Scaleway). Si la fonctionnalité d'intelligence artificielle est configurée avec un provider cloud (Anthropic, OpenAI), des données peuvent être traitées hors de l'Union Européenne. Dans ce cas, Devapy s'assure que des garanties appropriées sont mises en place (clauses contractuelles types de la Commission Européenne ou mécanisme équivalent). Pour éviter tout transfert hors UE, il est possible d'utiliser un modèle LLM local (Ollama).
9. Droits des personnes concernées
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données vous concernant ;
- Droit de rectification : corriger des données inexactes ;
- Droit à l'effacement : demander la suppression de vos données ;
- Droit à la limitation : restreindre un traitement ;
- Droit à la portabilité : recevoir vos données dans un format structuré ;
- Droit d'opposition : vous opposer à certains traitements ;
- Droit de retirer votre consentement à tout moment.
Pour exercer ces droits : dpo@devapy.com. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Pour les données métier traitées en tant que sous-traitant (données appartenant à votre organisation), adressez-vous directement à l'administrateur de votre compte Kiality, qui est le responsable du traitement au sens du RGPD.
10. Cookies
Kiality utilise des cookies techniques strictement nécessaires au fonctionnement du service (authentification, session, préférences d'interface). Ces cookies ne nécessitent pas de consentement préalable. Aucun cookie de traçage publicitaire ou analytique tiers n'est utilisé sans votre consentement explicite.
11. Sécurité
Devapy met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, la destruction, l'altération ou l'accès non autorisé :
- Chiffrement des communications (HTTPS/TLS) ;
- Chiffrement des credentials et identifiants de connecteurs en base de données (AES-256) ;
- Contrôle d'accès par rôles (RBAC) ;
- Journal d'audit immuable des actions sensibles ;
- Hébergement en France (Scaleway) dans des datacenters certifiés.
12. Modifications de la politique
La présente politique peut être mise à jour à tout moment. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, les utilisateurs en seront informés par email. Nous vous encourageons à la consulter régulièrement.