Politique de confidentialité — KANZ AI

Article 1 — Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées sur le Site est :

MDEVP LTD

61 Bridge Street, Kington, Herefordshire, HR5 3DJ, United Kingdom

Article 2 — Données collectées

Dans le cadre de la fourniture de ses services, MDEVP LTD est amenée à collecter les catégories de données suivantes :

Catégorie	Données	Finalité
Identification	Nom, prénom, adresse email, numéro de téléphone	Gestion du compte client
Entreprise	Nom de la boutique, URL du site, secteur d'activité	Personnalisation du service
Connexion	Adresse IP, journaux d'accès, identifiants de session	Sécurité et diagnostic
Navigation	Pages consultées, durée de session, type de navigateur	Amélioration de l'expérience utilisateur
Conversations	Messages traités via la plateforme KANZ AI	Exécution du service contractuel
Facturation	Historique de facturation (hors données bancaires)	Gestion comptable et financière

Les données bancaires sont traitées exclusivement par notre prestataire de paiement certifié PCI-DSS et ne transitent jamais par nos serveurs.

Article 3 — Finalités du traitement

Les données personnelles sont collectées et traitées pour les finalités suivantes :

Exécution contractuelle — fourniture, gestion et support du service KANZ AI (assistant IA conversationnel multi-canal) ;
Gestion de la relation client — traitement des demandes, support technique, communication ;
Amélioration du service — analyses de performance, optimisation des algorithmes d'intelligence artificielle ;
Facturation — émission de factures, suivi des paiements, relances ;
Conformité réglementaire — respect des obligations légales, fiscales et comptables ;
Sécurité — prévention de la fraude, détection d'intrusions, protection des systèmes.

Article 4 — Base légale du traitement

Chaque traitement de données repose sur l'une des bases légales suivantes, conformément à l'article 6 du RGPD :

Base légale	Référence	Application
Exécution contractuelle	Art. 6.1.b	Fourniture du service KANZ AI
Consentement	Art. 6.1.a	Communications marketing, cookies non essentiels
Intérêt légitime	Art. 6.1.f	Amélioration du service, sécurité des systèmes
Obligation légale	Art. 6.1.c	Conformité fiscale et comptable

Article 5 — Durée de conservation

Les données personnelles sont conservées conformément aux durées suivantes :

Type de données	Durée
Données de compte client	Durée de la relation commerciale + 3 ans
Conversations IA	12 mois après la dernière interaction
Données de facturation	10 ans (obligation comptable légale)
Cookies techniques	13 mois maximum
Journaux de sécurité	6 mois
Données de prospection	3 ans après le dernier contact

À l'expiration de ces délais, les données sont supprimées de manière irréversible ou anonymisées de façon irrémédiable.

Article 6 — Droits des personnes concernées

Conformément au RGPD et au UK GDPR, toute personne dont les données sont traitées dispose des droits suivants :

Droit d'accès (art. 15) — obtenir la confirmation du traitement et une copie des données détenues ;
Droit de rectification (art. 16) — faire corriger les données inexactes ou incomplètes ;
Droit à l'effacement (art. 17) — obtenir la suppression des données, sous réserve des obligations légales de conservation ;
Droit à la limitation (art. 18) — restreindre temporairement le traitement ;
Droit à la portabilité (art. 20) — recevoir les données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) ;
Droit d'opposition (art. 21) — s'opposer au traitement fondé sur l'intérêt légitime ;
Droit de retrait du consentement — retirable à tout moment, sans porter atteinte à la licéité du traitement antérieur.

Modalités d'exercice : adresser votre demande accompagnée d'un justificatif d'identité à contact@kanz-ai.fr. Réponse sous 30 jours calendaires, prorogeable de 60 jours en cas de complexité.

Voies de recours : en cas d'insatisfaction, vous pouvez introduire une réclamation auprès de l'ICO (Information Commissioner's Office, Royaume-Uni) ou de la CNIL (Commission Nationale de l'Informatique et des Libertés, France).

Article 7 — Transferts internationaux de données

Les données personnelles sont hébergées au sein de l'Union européenne (France — infrastructure OVH). Aucun transfert de données en dehors de l'Espace Économique Européen (EEE) n'est effectué sans la mise en place de garanties appropriées :

Décision d'adéquation de la Commission européenne ;
Clauses contractuelles types (SCC) approuvées par la Commission européenne ;
Règles d'entreprise contraignantes (BCR).

Article 8 — Mesures de sécurité

MDEVP LTD met en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour garantir la sécurité et la confidentialité des données :

Chiffrement TLS 1.3 pour l'ensemble des communications ;
Chiffrement au repos (AES-256) des données sensibles ;
Authentification multi-facteurs (MFA) pour l'accès aux systèmes d'administration ;
Sauvegardes chiffrées quotidiennes avec rétention de 30 jours ;
Contrôle d'accès basé sur les rôles (RBAC) et principe du moindre privilège ;
Surveillance continue et détection d'anomalies ;
Plan de réponse aux incidents conforme à l'article 33 du RGPD.

Article 9 — Cookies

Le Site utilise les catégories de cookies suivantes :

Type	Finalité	Durée	Consentement
Essentiels	Fonctionnement du site, session, sécurité	Session	Non requis
Préférences	Langue, affichage, personnalisation	13 mois	Non requis
Analytiques	Mesure d'audience anonymisée	13 mois	Requis

Aucun cookie à finalité publicitaire n'est déposé. L'utilisateur peut gérer ses préférences via les paramètres de son navigateur.

Article 10 — Sous-traitants et destinataires

Les données peuvent être communiquées aux catégories de destinataires suivantes, dans le strict respect du principe de minimisation :

Sous-traitant	Finalité	Localisation
OVH SAS	Hébergement des données	France (UE)
Stripe, Inc.	Traitement des paiements	Irlande (UE)
Meta Platforms	API WhatsApp / Messenger / Instagram	Irlande (UE)

Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.

Article 11 — Modifications de la politique

MDEVP LTD se réserve le droit de modifier la présente politique de confidentialité à tout moment. Toute modification substantielle sera notifiée aux utilisateurs disposant d'un compte actif par courrier électronique, au minimum 30 jours avant son entrée en vigueur.

La date de dernière mise à jour est indiquée en haut de ce document. Il est recommandé de consulter régulièrement cette page.