🇪🇺
Traitement en UE
Les API utilisées (Anthropic Claude) sont configurées pour un routage européen. Vos données ne quittent pas l'UE par défaut.
🚫
Pas d'entraînement
Nos appels API incluent l'opt-out d'entraînement : aucun document client n'est utilisé pour entraîner les modèles IA sous-jacents.
🔒
Chiffrement
TLS 1.3 en transit, AES-256 au repos. Les clés API sont stockées en variables d'environnement chiffrées, jamais dans le code.
📝
DPA sur demande
Un contrat de sous-traitance RGPD (DPA) est signé avant tout pilote, conforme aux articles 28 et 32 du règlement.
🗑️
Suppression à la demande
Vos documents et leurs traitements sont supprimés des systèmes Kivn sur simple email. Droit à l'effacement RGPD respecté sous 30 jours.
🧑💼
Propriété intellectuelle 100% client
Code, prompts, configurations d'agents : tout vous appartient. Aucun vendor lock-in. Aucune réutilisation croisée entre clients.
1. Quelles données Kivn traite pour votre cabinet
Selon les agents déployés, les catégories de données suivantes peuvent être traitées :
- Documents techniques métier : CCTP, DCE, CR de chantier (audio et texte), mémoires techniques AO, plans, études de prix.
- Données projet : nom de projet, maître d'ouvrage, localisation, montant, échéances (strictement limitées au nécessaire pour la prestation).
- Données collaborateurs cabinet : nom, fonction et email des utilisateurs des agents (authentification, journalisation).
- Logs d'utilisation : horodatage, agent appelé, taille du document, résultat succès/échec (pas le contenu intégral).
Ce que Kivn NE traite PAS par défaut : données financières internes au cabinet, données RH, données médicales, données à caractère sensible au sens de l'article 9 RGPD. Si un besoin spécifique le justifie, une analyse d'impact (AIPD) et un avenant DPA seront formalisés.
2. Localisation et sous-traitants
| Fonction | Sous-traitant | Localisation | Certification |
|---|
| Modèles IA (traitement texte) | Anthropic (Claude API) | Routage UE | SOC 2 Type II, ISO 27001 |
| Transcription audio (agent CR) | Provider transcription UE (précisé en DPA projet) | UE | Conforme RGPD |
| Hébergement application / dashboard | Vercel (front) + infrastructure Europe | Paris (cdg1) | SOC 2, ISO 27001 |
| Stockage documents pilote | Défini par projet (souvent SharePoint/OneDrive cabinet) | UE / cabinet | Selon cabinet |
| Email professionnel Kivn | OVH (Zimbra) | France | ISO 27001, HDS |
Pour chaque pilote, la liste détaillée et à jour des sous-traitants est annexée au DPA.
3. Opt-out d'entraînement des modèles IA
C'est la question la plus souvent posée en RDV, et la réponse est claire :
Les documents que vous envoyez aux agents Kivn ne sont pas utilisés pour entraîner les modèles IA sous-jacents.
Les appels à l'API Anthropic Claude sont effectués avec le paramètre d'opt-out d'entraînement activé (zero retention / no training). Cette configuration est documentée par Anthropic et contractualisée dans son Data Processing Agreement.
Concrètement, cela signifie : votre CCTP de réhabilitation bureaux ne fera pas apparaître, trois mois plus tard, une phrase similaire dans la réponse de Claude à un utilisateur d'un autre pays. Les données n'entrent pas dans le corpus d'entraînement.
4. Durée de conservation
- Documents traités par agent : conservés pendant la durée du pilote ou du contrat de maintenance, puis supprimés sous 30 jours à l'échéance (ou immédiatement sur demande).
- Logs d'utilisation : 12 mois glissants pour le support et l'amélioration du service, puis anonymisés.
- Factures et documents contractuels : 10 ans, obligation légale comptable (article L123-22 Code de commerce).
- Données d'authentification utilisateurs : le temps du contrat, suppression sous 30 jours après la fin.
5. Vos droits RGPD
Vous (cabinet client, collaborateurs utilisateurs) disposez des droits prévus par le RGPD :
- Droit d'accès (art. 15) : obtenir la liste des données traitées vous concernant.
- Droit de rectification (art. 16).
- Droit à l'effacement (art. 17) : « droit à l'oubli ».
- Droit à la limitation du traitement (art. 18).
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré.
- Droit d'opposition (art. 21).
- Droit de réclamation auprès de la CNIL (cnil.fr).
Pour exercer l'un de ces droits : nicolas@kivn.fr. Réponse sous 30 jours maximum.
6. Sécurité opérationnelle
- Authentification : 2FA sur tous les comptes de prestation (GitHub, Vercel, Cal.com, OVH, providers IA).
- Gestion des secrets : aucune clé API en clair dans le code source, variables d'environnement chiffrées, rotation annuelle systématique (et immédiate en cas de doute).
- Sauvegardes : les configurations et prompts sont versionnés dans des dépôts Git privés, sauvegarde quotidienne.
- Infrastructure web : HSTS 2 ans (preload-ready), CSP stricte, X-Frame-Options, Referrer-Policy, DNSSEC, DMARC quarantine.
- Code source Kivn : dépôts privés, revue systématique des PR, scan des secrets avant tout commit.
- Signalement de vulnérabilité : RFC 9116 security.txt en place.
7. En cas d'incident
En cas de violation de données personnelles au sens de l'article 33 RGPD, Kivn s'engage à :
- Notifier le cabinet client dans un délai maximum de 72 heures après prise de connaissance.
- Fournir la nature de la violation, les catégories et volumes de données concernés, les conséquences probables, les mesures prises ou proposées pour y remédier.
- Coopérer pleinement à la notification à la CNIL si cela relève du responsable de traitement (le cabinet client).
8. Limites assumées (transparence)
Kivn est en lancement 2026. Soyons honnêtes sur ce que cela implique côté sécurité :
- Pas encore de certification ISO 27001 ou SOC 2 en propre (prévu en 2027 si activité le justifie) — Kivn s'appuie sur les certifications de ses sous-traitants (Anthropic, Vercel, OVH).
- Pas de pentest externe annuel formalisé à ce jour (sera ajouté dès le 2e pilote signé).
- Pas de DPO désigné (structure EI, Nicolas Berger est responsable de traitement). Un DPO externe sera envisagé au-delà de 10 clients actifs.
- Une assurance responsabilité civile professionnelle est en cours de souscription pour 2026 (confirmation avant 1er pilote).
Cette honnêteté est délibérée : un cabinet qui signe un pilote Kivn doit connaître ces limites pour les accepter en connaissance de cause. Elles seront explicitement mentionnées dans le DPA signé.
9. Contact sécurité
Pour toute question sur la sécurité, le traitement des données ou demande de DPA :
- Email : nicolas@kivn.fr
- Signalement de vulnérabilité : security.txt
- Adresse postale : Nicolas Berger (Kivn), 7 rue Cassegrain, 91670 Angerville