Politique de confidentialité
Kao est un assistant logiciel destiné aux conseillers en gestion de patrimoine (CGP) français. Cette politique décrit, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés, comment nous collectons, utilisons, conservons et partageons les données personnelles des utilisateurs du service Kao (« Service ») accessible sur getkao.fr.
1. Responsable de traitement
Le Service Kao est édité par Simon Ramos, exerçant en nom propre (ci-après « Kao » ou « nous »), responsable de traitement au sens du RGPD.
- Contact général et exercice des droits : hello@getkao.fr
- Site : https://getkao.fr
Kao n’a pas désigné de Délégué à la Protection des Données (DPO) à ce stade ; toute demande relative aux données personnelles est traitée par l’adresse ci-dessus.
2. Catégories de données traitées
2.1 Données de compte conseiller
- Identité : nom, prénom, adresse e-mail professionnelle.
- Cabinet : nom du cabinet, rôle, préférences (modèles de comptes rendus, signature, paramétrage e-mail).
- Journaux techniques : identifiant utilisateur, horodatages, IP.
2.2 Données clients du CGP
Dans le cadre de la mission du CGP, le Service traite des données personnelles des clients finaux du cabinet : identité, coordonnées, situation familiale et patrimoniale, objectifs, profil d’investisseur, documents (RIC, avis d’imposition, relevés, contrats). Pour ces données, le CGP est responsable de traitement et Kao agit en qualité de sous-traitantau sens de l’article 28 RGPD.
2.3 Données issues des intégrations Google
Lorsque vous connectez votre compte Google à Kao, nous accédons uniquement aux périmètres (« scopes ») que vous autorisez explicitement :
| Scope Google | Donnée accédée | Finalité dans Kao |
|---|---|---|
calendar.events.readonly | Vos événements de calendrier à venir. | Afficher vos prochains rendez-vous, les rapprocher automatiquement de vos fiches clients et préparer un compte-rendu. |
Limited Use — divulgation Google API Services : l’usage que fait Kao des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences Limited Use. En particulier : (i) ces données ne servent qu’à fournir et améliorer les fonctionnalités utilisateur visibles dans l’interface Kao ; (ii) elles ne sont jamais transférées à des tiers, sauf si nécessaire pour fournir ces fonctionnalités, pour des raisons de sécurité, ou en application d’une obligation légale ; (iii) elles ne sont jamais utilisées à des fins publicitaires, de revente ou de ciblage ; (iv) aucun humain ne les lit, hors cas autorisés par votre consentement, finalités de sécurité, conformité légale ou support ponctuel à votre demande.
2.4 Données issues des enregistrements de rendez-vous
Si vous activez la prise de notes automatique via un bot de réunion (Google Meet, Zoom, Teams), Kao traite l’audio du rendez-vous ainsi que sa transcription. La participation du bot est subordonnée à une attestation explicite de votre part que le consentement verbal a été obtenu en début de réunion, ou à un consentement écrit conservé dans votre cabinet.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fournir le Service au CGP (compte, authentification). | Exécution du contrat (art. 6.1.b RGPD). |
| Traiter les données clients du CGP pour produire CR, rapports d’adéquation, RIC, etc. | Sous-traitance pour le compte du CGP (art. 28 RGPD) ; la base légale est celle invoquée par le CGP vis-à-vis de son client. |
| Intégrations Google (calendrier, Drive, Gmail). | Consentement explicite donné lors du parcours OAuth (art. 6.1.a RGPD). |
| Sécurité, prévention des fraudes, journaux d’audit. | Intérêt légitime (art. 6.1.f RGPD). |
| Amélioration du Service (statistiques agrégées et anonymisées ; correction de bugs). | Intérêt légitime ; les données clients ne sont jamais utilisées pour entraîner des modèles d’IA. |
| Facturation et obligations comptables. | Obligation légale (art. 6.1.c RGPD). |
4. Durées de conservation
- Compte conseiller :pendant la durée de l’abonnement puis archivage 3 ans (preuve commerciale), suppression sur demande.
- Données clients du CGP :conservées dans votre espace tant que vous le décidez. La suppression d’un client ou la résiliation du Service entraîne la suppression effective sous 30 jours, sous réserve des obligations légales du CGP (conservation du dossier client réglementaire).
- Enregistrements audio et transcriptions :conservés tant que vous ne les supprimez pas ; l’artefact audio brut chez le fournisseur de bot est purgé après transfert vers Kao.
- Jetons OAuth Google : conservés chiffrés tant que la connexion est active ; supprimés immédiatement à la déconnexion via Réglages → Connecteurs.
- Journaux techniques : 12 mois maximum.
5. Destinataires et sous-traitants
Vos données sont strictement réservées aux personnes habilitées au sein de Kao. Nous recourons aux sous-traitants suivants, encadrés par un accord de traitement (DPA) conforme à l’article 28 RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement de l’application web. | États-Unis (SCC + DPF). |
| Supabase Inc. | Base de données, authentification, stockage de fichiers (chiffrés au repos). | Union européenne (Francfort). |
| Anthropic PBC | Modèles d’IA (Claude) pour la génération de CR et documents réglementaires. | États-Unis (SCC). Anthropic n’entraîne pas ses modèles sur les données reçues via API. |
| Groq, Inc. | Transcription audio (Whisper). | États-Unis (SCC). |
| Mistral AI | OCR de documents (PDF, scans). | Union européenne (France). |
| Recall.ai | Bot de prise de notes en visioconférence (Google Meet, Zoom, Teams). | États-Unis (SCC). |
| Google LLC | API Calendar, Drive, Gmail, Sheets (avec votre consentement explicite). | États-Unis (SCC + DPF). |
| Sentry | Suivi des erreurs techniques. | États-Unis (SCC). |
Aucune donnée personnelle n’est cédée ni vendue à des tiers à des fins commerciales ou publicitaires.
6. Transferts hors Union européenne
Lorsque des données sont transférées vers un pays tiers (notamment les États-Unis), le transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne et, lorsque cela s’applique, par la certification au cadre Data Privacy Framework (DPF).
7. Sécurité
- Chiffrement TLS 1.2+ en transit, chiffrement au repos côté Supabase.
- Authentification déléguée (Supabase Auth, OAuth Google), jetons OAuth stockés chiffrés.
- Isolation multi-tenant stricte par Row Level SecurityPostgreSQL.
- Accès aux fichiers via URLs signées à durée limitée (PII protégée).
- Journaux d’audit, suivi des erreurs et alerting.
- Revue régulière des accès et politique de moindre privilège pour l’équipe Kao.
8. Intelligence artificielle
Le Service s’appuie sur des modèles d’IA tiers pour produire des transcriptions, extractions et brouillons de documents.
- Les contenus que vous soumettez (audio, transcriptions, documents, champs clients) sont transmis aux fournisseurs strictement pour générer la sortie demandée puis ne sont pas réutilisés pour entraînerles modèles, conformément aux conditions d’usage API d’Anthropic, Groq et Mistral.
- Les documents générés par l’IA sont des brouillons : le CGP demeure responsable de leur revue, validation et conformité réglementaire (DDA, MIF II, ACPR).
- Une décision réglementaire (recommandation, profil d’investisseur, allocation) ne peut être prise par Kao seul ; elle requiert toujours la validation humaine du conseiller.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d’accès, de rectification et d’effacement.
- Droit à la limitation du traitement.
- Droit à la portabilité.
- Droit d’opposition (notamment pour les traitements fondés sur l’intérêt légitime).
- Droit de retirer votre consentement à tout moment.
- Droit de définir des directives relatives au sort de vos données après votre décès.
Pour les données clients traitées par votre CGP via Kao, ces droits s’exercent auprès du CGP, qui en est responsable de traitement. Pour vos données de compte conseiller, écrivez-nous à hello@getkao.fr. Nous répondons sous un délai maximum d’un mois.
Vous avez également le droit d’introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).
10. Cookies
Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement (session, authentification, préférences). Aucun cookie publicitaire ou de mesure d’audience tiers n’est déposé sans consentement.
11. Révocation des accès Google
Vous pouvez révoquer à tout moment les autorisations accordées à Kao :
- Depuis Kao, dans Réglages → Connecteurs en cliquant sur « Déconnecter ».
- Depuis votre compte Google : myaccount.google.com/permissions.
La révocation entraîne la suppression immédiate des jetons OAuth détenus par Kao.
12. Mises à jour
La présente politique peut être mise à jour pour refléter une évolution du Service, des sous-traitants ou de la réglementation. La date de dernière mise à jour figure en tête de page. Les modifications substantielles seront notifiées par e-mail et/ou dans l’application.
13. Contact
Toute question relative à cette politique : hello@getkao.fr.