00Préambule
La présente Politique de confidentialité décrit la manière dont KommIA SAS (ci-après « le Prestataire » ou « nous ») collecte, utilise, partage et protège les données personnelles dans le cadre de l'utilisation du service SaaS « KommIA », accessible via une application mobile (iOS et Android) et le site web kommia.com.
Le Prestataire s'engage à assurer la conformité de ses traitements avec le Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD), la Loi Informatique et Libertés modifiée, la directive ePrivacy, ainsi que le Règlement (UE) 2024/1689 relatif à l'intelligence artificielle (AI Act) pour ce qui le concerne.
01Responsable du traitement
Délégué à la protection des données (DPO). À ce jour, KommIA n'a pas désigné de DPO au sens de l'article 37 du RGPD, les conditions de désignation obligatoire n'étant pas réunies. Pour toute question relative à vos données personnelles, contactez : contact@kommia.com.
02Données collectées
Dans le cadre de l'utilisation du service KommIA, les catégories de données suivantes peuvent être collectées :
- Données d'identification : nom, prénom, adresse email professionnelle, numéro de téléphone, fonction, nom de l'entreprise, numéro SIRET le cas échéant.
- Données de facturation : adresse postale, numéro de TVA intracommunautaire, informations relatives au moyen de paiement (traitées par Stripe, KommIA ne stocke pas vos données bancaires).
- Données techniques : adresse IP, type d'appareil, système d'exploitation, logs de connexion, identifiants de session, statistiques d'utilisation de l'application.
- Données de comptes sociaux : informations de profil public Instagram (nom, bio, photo de profil, nombre d'abonnés), statistiques de publications (portée, engagement, impressions), commentaires, messages privés (si la fonctionnalité est activée par le Client), historique de publications.
- Données traitées par l'IA : textes et instructions saisis par le Client pour la génération de contenu, contenus générés par les Fonctionnalités IA, données d'analyse et de recommandation.
- Données de cookies et traceurs : voir l'Article 10 ci-dessous pour le détail.
03Finalités et bases légales du traitement
Les données collectées sont utilisées pour les finalités suivantes :
| Finalité | Base légale | Données concernées |
|---|---|---|
| Fournir et gérer l'accès au service SaaS KommIA | Exécution du contrat art. 6.1.b RGPD |
Identification, comptes sociaux |
| Génération et optimisation de contenu par IA | Exécution du contrat art. 6.1.b RGPD |
Données IA, comptes sociaux |
| Gestion de la facturation et des paiements | Exécution du contrat art. 6.1.b RGPD |
Facturation |
| Support client et suivi technique | Exécution du contrat art. 6.1.b RGPD |
Identification, techniques |
| Amélioration du service et statistiques d'usage | Intérêt légitime art. 6.1.f RGPD |
Techniques, utilisation |
| Mesure de performance publicitaire (Meta Pixel) | Consentement art. 6.1.a RGPD |
Cookies, navigation |
| Obligations légales et fiscales | Obligation légale art. 6.1.c RGPD |
Facturation, identification |
04Traitements automatisés et intelligence artificielle
Le Service utilise des technologies d'intelligence artificielle (modèles de langage) pour :
- générer des suggestions de contenu pour les réseaux sociaux ;
- optimiser les textes et les visuels ;
- recommander des horaires de publication ;
- analyser les performances des publications.
Logique sous-jacente. Les données que vous fournissez (instructions, textes, données de votre compte social) sont transmises à des modèles d'IA tiers qui génèrent des suggestions. Ces suggestions sont des propositions automatisées, pas des décisions finales.
Intervention humaine. Vous conservez à tout moment le contrôle total sur la validation et la publication de tout contenu. Aucune publication n'est effectuée sans votre action explicite.
Droit d'opposition. Conformément à l'article 22 du RGPD, vous pouvez à tout moment demander que certains traitements ne soient pas soumis à un traitement automatisé en contactant contact@kommia.com.
05Hébergement des données
Les données sont hébergées sur les serveurs de :
Le Prestataire garantit que l'hébergement principal est effectué sur le territoire de l'Union européenne.
06Partage des données et sous-traitants
Les données personnelles peuvent être transmises aux sous-traitants suivants, exclusivement pour les besoins du service :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Services de paiement | Irlande (UE) | DPA Stripe, certifié PCI-DSS |
| Hostinger International LTD | Hébergement | Chypre (UE) | DPA Hostinger |
| OpenAI, L.L.C. | Génération de contenu IA | États-Unis | DPA OpenAI, CCT, EU-US Data Privacy Framework |
| Google LLC (Gemini API) | Génération de contenu IA | États-Unis / UE | DPA Google, CCT, EU-US Data Privacy Framework |
| PostHog Inc. | Analytics d'usage de l'application mobile (non utilisé sur le site web) | Allemagne (Frankfurt) — UE | DPA PostHog + liste sous-traitants |
| Meta Platforms Ireland Ltd. | Mesure publicitaire (Pixel) | Irlande (UE) + US | CCT Meta, consentement requis |
KommIA vous informera de tout ajout ou remplacement de sous-traitant au moins trente (30) jours avant sa mise en œuvre, par email ou notification dans l'application.
07Durée de conservation
| Catégorie de données | Durée | Justification |
|---|---|---|
| Données d'identification | Durée du contrat + 12 mois | Exécution du contrat + preuve |
| Données de facturation | Durée du contrat + 10 ans | Obligations comptables et fiscales |
| Données techniques (logs) | 12 mois glissants | Sécurité et diagnostic |
| Données de comptes sociaux | Durée du contrat + 30 jours | Portabilité post-résiliation |
| Données traitées par l'IA | Durée du contrat | Non conservées par les sous-traitants IA au-delà du traitement |
| Cookies publicitaires (Meta Pixel) | 13 mois maximum | Recommandation CNIL |
08Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit d'effacement : demander la suppression de vos données dans les conditions prévues par l'article 17 du RGPD.
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit à la limitation : demander la limitation du traitement dans les cas prévus par l'article 18 du RGPD.
- Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé.
- Droit relatif aux décisions automatisées : ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, et demander une intervention humaine.
- Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement effectué avant le retrait (applicable aux cookies et traceurs).
Comment exercer vos droits. Adressez votre demande à contact@kommia.com en précisant votre identité et le droit que vous souhaitez exercer. Nous pourrons vous demander une pièce d'identité pour vérifier votre identité.
Délai de réponse. Nous répondrons dans un délai d'un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes, auquel cas vous en serez informé dans le délai initial d'un mois.
Réclamation. En cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
09Sécurité des données
Le Prestataire met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données, conformément à l'article 32 du RGPD, et notamment :
- chiffrement des données en transit (TLS/HTTPS) et au repos ;
- contrôle d'accès strict basé sur le principe du moindre privilège ;
- authentification sécurisée des utilisateurs ;
- sauvegardes régulières et plan de continuité d'activité ;
- journalisation des accès aux données personnelles ;
- sensibilisation des employés et sous-traitants aux bonnes pratiques de sécurité ;
- tests de sécurité périodiques.
Notification de violations. En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, KommIA notifiera l'autorité de contrôle (CNIL) dans les 72 heures conformément à l'article 33 du RGPD, et vous informera sans délai indu si le risque est élevé conformément à l'article 34 du RGPD.
11Transfert de données hors de l'Union européenne
L'hébergement principal des données est effectué au sein de l'Union européenne.
Toutefois, certains sous-traitants (notamment les prestataires d'IA et Meta pour le pixel publicitaire) peuvent traiter des données dans des pays situés hors de l'Union européenne, notamment aux États-Unis. Dans ce cas, les transferts sont encadrés par :
- les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914) ;
- et/ou une décision d'adéquation de la Commission européenne (le cas échéant, le EU-US Data Privacy Framework).
Une évaluation de l'impact du transfert (Transfer Impact Assessment) est réalisée pour chaque sous-traitant concerné. Vous pouvez obtenir une copie des garanties appropriées en contactant contact@kommia.com.
12Modification de la politique de confidentialité
Le Prestataire se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, les utilisateurs seront informés par email au moins quinze (15) jours avant l'entrée en vigueur des modifications. La version en vigueur est celle publiée sur le site kommia.com et dans l'application mobile KommIA.
·Informations de contact
© 2025–2026 KommIA SAS · Tous droits réservés.