Politique de Confidentialite et de Protection des Donnees Personnelles

Le responsable du traitement des donnees a caractere personnel collectees via le site klarvon.ai et les services associes est :

• Denomination :Appflavors, entreprise individuelle (micro-entreprise) au sens de l'article L.526-22 du Code de commerce
• Representant legal : Amaury Maarek
• Siege social :30 rue Geoffroy l'Asnier, 75004 Paris, France
• SIRET : 923 057 293 00014
• Email de contact : contact@klarvon.ai
• Contact protection des donnees : dpo@klarvon.ai

En l'absence de designation d'un Delegue a la Protection des Donnees (DPO) — non obligatoire pour une micro-entreprise au regard de l'article 37 du RGPD — le responsable de traitement est votre interlocuteur pour toute question relative a vos donnees personnelles.

La presente politique s'inscrit dans le cadre des textes suivants :

• Reglement (UE) 2016/679du 27 avril 2016 relatif a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel (RGPD)
• Loi n° 78-17 du 6 janvier 1978modifiee relative a l'informatique, aux fichiers et aux libertes (loi Informatique et Libertes)
• Reglement (UE) 2024/1689du 13 juin 2024 etablissant des regles harmonisees concernant l'intelligence artificielle (Reglement sur l'IA)
• Directive 2002/58/CEdu 12 juillet 2002 concernant le traitement des donnees a caractere personnel et la protection de la vie privee dans le secteur des communications electroniques (directive ePrivacy), transposee en droit francais a l'article 82 de la loi Informatique et Libertes
• Recommandations de la CNIL sur les systemes d'IA (fiches pratiques publiees en 2024-2025 sur la conformite des systemes d'intelligence artificielle au RGPD)

Conformement aux articles 13 et 14 du RGPD, nous vous informons des categories de donnees collectees et traitees :

3.1. Donnees fournies directement par vous

• Donnees d'identification : adresse email (obligatoire), nom (optionnel)
• Donnees d'entreprise :nom de l'entreprise, secteur d'activite, site web (optionnel)
• Reponses au questionnaire adaptatif : informations complementaires sur votre entreprise fournies lors du processus d'analyse (jusqu'a 3 rounds de questions generees par IA et adaptees a votre secteur)
• Messages de chat :questions posees a l'assistant IA sur vos rapports (historique limite a 20 messages par conversation)
• Preferences de compte : langue (fr/en), preferences de briefing

3.2. Donnees generees par notre systeme

• Donnees d'enrichissement :profil d'entreprise detecte par IA (secteur, modele economique, chiffre d'affaires estime, effectifs, dirigeants, actualites recentes, concurrents identifies, pays d'activite, levees de fonds, indicateurs cles)
• Rapports d'analyse strategique :modules generes par IA — Profil & Marche (profil, dimensionnement de marche TAM/SAM/SOM, PESTEL, tendances, Business Model Canvas), Paysage Concurrentiel (concurrents, forces de Porter, SWOT, positionnement), Consumer Insights (personas, segments de marche, parcours d'achat), Chaine de Valeur (activites primaires et support, analyse de marge), Positionnement Strategique (Blue Ocean, matrice Ansoff, analyse VRIO), Recommandations (synthese, plan d'action a 90 jours, matrice de risques, KPI)
• Alertes concurrentielles : notifications generees par IA sur les evolutions de votre marche (nouveau concurrent, changement de prix, levee de fonds, recrutements, nouveau produit, evolution de marche)
• Reponses du chat IA :reponses de l'assistant basees sur le contenu de vos rapports
• Versions de rapports : historique des mises a jour avec resume des differences entre versions
• Tagline IA : phrase de positionnement generee automatiquement pour votre entreprise
• Page de presentation d'entreprise :donnees structurees generees par IA pour la page publique de votre entreprise (metriques cles, equipe, these d'investissement, modele economique)
• Rapports modulaires : rapports generes individuellement par module avec un niveau de qualite associe (basic, advanced, professional) et des metadonnees de generation

3.3. Donnees techniques collectees automatiquement

• Adresse IP :collectee pour la securite et la limitation du nombre de requetes. Stockee temporairement dans Redis (60 secondes dans un sorted set, expirant automatiquement). L'IP source est extraite des en-tetes CF-Connecting-IP (Cloudflare), X-Real-IP (Nginx) ou X-Forwarded-For.
• Cookie de session : jeton JWT signe (HMAC-SHA256) stocke dans un cookie httpOnly (duree : 7 jours, renouvelable a chaque connexion)
• Cookie de langue : preference linguistique (fr/en) stockee dans un cookie (duree : 1 an)
• Identifiant de requete : identifiant unique aleatoire de 16 caracteres genere pour chaque requete HTTP, utilise pour la correlation des logs de diagnostic. Non persiste en base de donnees.
• Donnees de protection anti-abus :compteurs de tentatives de connexion par email (protection contre le brute force) et marqueurs d'utilisation unique des tokens (magic link, confirmation email), stockes temporairement dans Redis (15 minutes a 24 heures selon le type).
• Liste de revocation de sessions :en cas de deconnexion, les identifiants de session revoques sont stockes dans Redis (7 jours, correspondant a la duree maximale d'une session).
• Deduplication des evenements de paiement : identifiants d'evenements Stripe stockes dans Redis (72 heures) pour eviter le traitement en double des notifications de paiement.

3.4. Donnees que nous ne collectons pas

• Nous ne collectons aucune donnee de carte bancaire — celles-ci sont traitees exclusivement par Stripe (voir section 6)
• Nous n'utilisons aucuncookie publicitaire, pixel de suivi, ni outil d'analyse d'audience tiers
• Nous ne collectons aucune donnee de geolocalisation precise
• Nous ne procedons a aucunprofilage de personnes physiques au sens de l'article 4(4) du RGPD

Chaque traitement de donnees repose sur une base legale specifique conformement a l'article 6 du RGPD :

Precision sur l'interet legitime : l'interet legitime invoque repose sur la necessite (i) de proteger la plateforme contre les abus et les attaques automatisees (rate limiting, brute force), (ii) d'assurer le bon fonctionnement technique du service (journalisation), et (iii) de vous fournir des informations synthetiques sur vos analyses (briefings). Vous pouvez vous y opposer a tout moment (voir section 12). Nous avons conduit une mise en balance des interets conformement aux recommandations de la CNIL.

Conformement a l'article 13.2.e du RGPD, nous vous informons du caractere obligatoire ou facultatif de la fourniture de vos donnees et des consequences d'un defaut de fourniture :

Les donnees techniques (adresse IP, cookies de session) sont collectees automatiquement et sont necessaires au fonctionnement et a la securite du service. Aucune donnee n'est collectee en vertu d'une obligation legale ou reglementaire vous incombant.

Klarvon utilise l'intelligence artificielle (modeles Claude d'Anthropic, PBC, San Francisco, Etats-Unis) pour generer vos rapports strategiques. Conformement aux recommandations de la CNIL publiees en 2024-2025 sur la conformite des systemes d'IA au RGPD (fiches pratiques IA n° 1 a 7, portant sur les finalites, la base legale, les jeux de donnees, la minimisation, la transparence, les droits et la securite), voici le detail de ces traitements :

6.1. Donnees transmises a l'IA

Pour generer votre rapport, les donnees suivantes sont envoyees aux serveurs d'Anthropic via leur API :

• Donnees initiales :nom de l'entreprise, secteur declare, site web
• Donnees d'enrichissement :secteur detecte, description du marche, modele economique, effectifs estimes, chiffre d'affaires estime, annee de creation, pays d'activite, site web, levees de fonds, dirigeants, actualites recentes, indicateurs cles (utilisateurs, croissance, position de marche), concurrents identifies, sources
• Reponses au questionnaire : toutes vos reponses aux rounds de questions adaptatives (texte, choix multiples, valeurs numeriques)
• Pour les modules dependants : les agents Positionnement Strategique et Recommandations recoivent en complement les resultats complets des modules precedents (Profil & Marche, Paysage Concurrentiel) pour produire des analyses coherentes et contextualisees
• Pour le chat IA :votre question, l'historique de la conversation (20 derniers messages), et le contenu complet de votre rapport (les 6 modules)
• Pour les alertes concurrentielles :noms des concurrents identifies, nom de l'entreprise, secteur
• Pour les briefings : un resume synthetique de vos rapports et de vos alertes recentes

Chaque appel a l'IA est encadre par des prompts systeme pre-definis et des schemas de validation (Zod) qui controlent strictement le format des entrees et des sorties. Les entrees utilisateur sont nettoyees (sanitizeForPrompt) avec limitation de longueur avant transmission.

6.2. Nature du systeme d'IA et classification reglementaire

Klarvon utilise des modeles d'IA generative fournis par Anthropic en tant que fournisseur de modeles a usage general (GPAI) au sens du chapitre V du Reglement (UE) 2024/1689 sur l'intelligence artificielle. Notre utilisation de ces modeles pour produire des analyses strategiques d'entreprises ne releve pas des systemes d'IA a haut risque (annexe III du Reglement IA) car elle ne porte pas sur des personnes physiques et n'affecte pas leurs droits fondamentaux. Le module Consumer Insights genere des personas fictives representative de segments de marche — il ne s'agit pas de profils de personnes physiques reelles.

6.3. Garanties contractuelles et techniques

• Vos donnees ne sont jamais utiliseespour entrainer ou ameliorer les modeles d'IA d'Anthropic. Conformement a l'accord de traitement des donnees (DPA) signe avec Anthropic, les donnees transmises via l'API sont traitees uniquement pour fournir le service demande et sont supprimees des serveurs d'Anthropic dans un delai de 30 jours.
• Vos donnees ne sont jamais partageesentre clients ni reutilisees pour d'autres analyses que la votre
• Les agents d'analyse (Profil & Marche, Paysage Concurrentiel, Consumer Insights, Chaine de Valeur, Positionnement Strategique) disposent d'outils de recherche web (WebSearch, WebFetch) pour enrichir l'analyse avec des donnees publiques. L'agent Recommandations synthetise uniquement les donnees deja collectees, sans acces web. Aucune donnee personnelle supplementaire n'est collectee par ce biais.
• Un systeme de revue qualite multi-passes verifie la coherence et la completude des rapports generes avant publication
• Les sorties de l'IA sont validees par des schemas stricts (Zod) qui garantissent la structure et le format des donnees avant leur enregistrement en base de donnees

6.4. Decisions automatisees et profilage (article 22 du RGPD)

Klarvon ne prend aucune decision entierement automatisee produisant des effets juridiques vous concernant ou vous affectant de maniere significative au sens de l'article 22 du RGPD. Plus precisement :

• Les rapports sont des outils d'aide a la decision a vocation informative et strategique — ils analysent des donnees relatives a des entreprises (personnes morales), non des personnes physiques
• Aucune decision n'est prise automatiquement vous concernant sur la base de ces rapports — ils constituent un support d'analyse que vous etes libre d'utiliser ou non
• Nous ne procedons a aucun profilagede personnes physiques au sens de l'article 4(4) du RGPD. Aucune evaluation, notation ou categorisation de personnes physiques n'est effectuee
• Vous restez seul decideur quant a l'utilisation des analyses et recommandations fournies

Neanmoins, si vous estimez qu'un rapport contient des informations inexactes ou biaisees, vous pouvez nous contacter a dpo@klarvon.ai pour demander une explication sur la logique du traitement, contester le resultat, ou demander une intervention humaine.

6.5. Analyse d'impact (AIPD)

Conformement a l'article 35 du RGPD et aux lignes directrices de la CNIL (deliberation n° 2018-326 du 11 octobre 2018, liste des traitements necessitant une AIPD), nous avons evalue la necessite de realiser une analyse d'impact relative a la protection des donnees (AIPD). Nos traitements IA portent principalement sur des donnees d'entreprise (personnes morales) et non sur du profilage de personnes physiques a grande echelle. Neanmoins, en raison de l'utilisation de technologies innovantes (IA generative), une analyse de risques a ete conduite conformement aux criteres du CEPD (lignes directrices WP 248 rev.01) et les mesures de protection appropriees ont ete mises en place :

• Minimisation des donnees personnelles transmises a l'IA (seules les donnees strictement necessaires sont envoyees)
• Limitation des acces aux donnees brutes et aux prompts
• Chiffrement en transit de toutes les communications avec l'API d'Anthropic (TLS 1.2+)
• Accords de traitement des donnees (DPA) avec chaque sous-traitant incluant des mesures supplementaires
• Validation structurelle des sorties IA avant enregistrement

Vos donnees personnelles ne sont jamais venduesni partagees a des fins publicitaires ou commerciales avec des tiers. Conformement a l'article 28 du RGPD, des accords de traitement des donnees (DPA) sont en place avec chaque sous-traitant. Vos donnees sont transmises uniquement aux sous-traitants techniques suivants :

Donnees de paiement :vos numeros de carte bancaire ne transitent jamais par nos serveurs. Ils sont collectes et traites directement par Stripe sur sa page de paiement securisee (Stripe Checkout), dans un environnement certifie PCI-DSS niveau 1. Nous ne stockons que l'identifiant client Stripe et l'identifiant de session de paiement.

Aucun autre destinataire : en dehors des sous-traitants ci-dessus, vos donnees ne sont communiquees a aucun tiers, sauf obligation legale (autorite judiciaire, CNIL) ou avec votre consentement explicite.

Certaines de vos donnees sont transferees vers les Etats-Unis dans le cadre des sous-traitances decrites ci-dessus (articles 44 a 49 du RGPD). Ces transferts sont encadres par les mecanismes suivants :

• EU-US Data Privacy Framework (DPF) :Anthropic, Stripe et Cloudflare sont certifies au titre de ce cadre d'adequation adopte par la Commission europeenne le 10 juillet 2023 (decision d'adequation C(2023) 4745), confirme par le Tribunal de l'UE le 3 septembre 2025 (affaire T-553/23). Leur certification est verifiable sur dataprivacyframework.gov.
• Clauses contractuelles types (CCT) de la Commission europeenne : en complement du DPF, et pour Resend (non certifie DPF), nous appliquons les CCT conformement a la decision d'execution (UE) 2021/914 du 4 juin 2021, completees par un accord de traitement des donnees (DPA) incluant des mesures supplementaires (chiffrement, limitation d'acces, interdiction d'utilisation pour l'entrainement des modeles).
• Hebergement principal en UE :la base de donnees (PostgreSQL), le cache (Redis) et l'application sont heberges sur un VPS situe dans l'Union europeenne. Le transfert hors UE ne concerne que les appels aux API des sous-traitants americains listes ci-dessus.

Nous evaluons regulierement l'adequation des garanties en place, conformement aux exigences de l'arret Schrems II (CJUE, 16 juillet 2020, C-311/18) et aux recommandations 01/2020 du Comite europeen de la protection des donnees (CEPD).

Conformement au principe de limitation de la conservation (article 5.1.e du RGPD), nous conservons vos donnees uniquement pour la duree necessaire aux finalites pour lesquelles elles ont ete collectees :

A l'expiration de ces delais, les donnees sont supprimees de maniere irreversible. La suppression d'un compte entraine la suppression en cascade de l'ensemble des donnees associees (commandes, rapports, versions, messages, alertes, abonnements) conformement au schema de base de donnees (contraintes ON DELETE CASCADE).

Conformement a l'article 32 du RGPD, nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque :

Mesures techniques

• Chiffrement en transit : toutes les communications utilisent HTTPS/TLS (force via Strict-Transport-Security et Upgrade-Insecure-Requests en production)
• Authentification securisee :authentification par lien magique (magic link) avec tokens JWT signes avec HMAC-SHA256, a usage unique et a duree limitee (15 minutes), comparaison en temps constant (protection contre les attaques par timing et l'enumeration de comptes)
• Tokens a usage unique : chaque magic link et token de confirmation possede un identifiant unique (JTI) et est marque comme consomme dans Redis des sa premiere utilisation
• Protection des sessions : cookies httpOnly (inaccessibles au JavaScript), Secure (HTTPS uniquement en production), SameSite Lax. Revocation individuelle et globale des sessions via Redis.
• Rate limiting :limitation du nombre de requetes sur tous les points d'entree API via un algorithme de fenetre glissante atomique (script Lua Redis), avec des seuils adaptes par type d'endpoint (3 a 60 requetes/minute)
• Protection anti-brute-force : verrouillage progressif des tentatives de connexion par email
• En-tetes de securite : Content-Security-Policy (restreignant les scripts, styles, connexions et frames aux seuls domaines necessaires), X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Strict-Transport-Security, X-DNS-Prefetch-Control, Referrer-Policy
• Validation des entrees : toutes les donnees utilisateur sont validees par des schemas Zod avant traitement, avec echappement HTML systematique (prevention XSS)
• Acces restreint :les donnees sensibles (identifiants Stripe internes, tokens de session) sont exclus des reponses API. Chaque requete d'API verifie l'identite et les droits d'acces de l'utilisateur.

Mesures organisationnelles

• Journalisation : logs structures en JSON (production) avec identifiants de requete pour la tracabilite, sans donnees personnelles dans les logs. Requetes de base de donnees instrumentees avec alerte en cas de requete lente.
• Isolation des donnees :chaque client n'accede qu'a ses propres donnees via des controles d'autorisation systematiques sur chaque endpoint
• Minimisation des donnees : nous ne collectons que les donnees strictement necessaires a la fourniture du service
• Gestion des incidents : en cas de violation de donnees, nous nous engageons a notifier la CNIL dans un delai de 72 heures (article 33 du RGPD) et les personnes concernees si le risque est eleve (article 34 du RGPD)

Klarvon utilise uniquement des cookies fonctionnels strictement necessaires au fonctionnement du service :

Ces cookies sont exempts de consentement prealable conformement a l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiee (loi Informatique et Libertes), transposant l'article 5(3) de la directive ePrivacy 2002/58/CE, car ils sont strictement necessaires a la fourniture du service que vous avez explicitement demande. Cela est confirme par les lignes directrices de la CNIL sur les cookies et traceurs (deliberation n° 2020-091 du 17 septembre 2020) et la recommandation n° 2020-092.

Nous n'utilisons aucuncookie publicitaire, cookie analytique, pixel de suivi, ni outil de mesure d'audience tiers (pas de Google Analytics, pas de Meta Pixel, pas de tracker tiers d'aucune sorte).

En consequence, aucun bandeau de consentement aux cookies n'est affiche sur notre site, conformement aux recommandations de la CNIL qui confirment que les sites n'utilisant que des cookies strictement necessaires ne sont pas tenus d'afficher un tel bandeau. Vous etes neanmoins informe de leur existence et de leur finalite par la presente politique.

Lors du paiement, vous etes redirige vers la page securisee de Stripe (Stripe Checkout). Stripe peut deposer ses propres cookies de prevention de la fraude sur son domaine (stripe.com). Ces cookies sont geres par Stripe en tant que responsable de traitement independant pour sa propre prevention de la fraude et sont soumis a la politique de confidentialite de Stripe.

Klarvon est un service destine aux entreprises et aux professionnels. Conformement a l'article 8 du RGPD et aux articles 45 et suivants de la loi Informatique et Libertes, nous ne collectons pas sciemment de donnees personnelles de personnes agees de moins de 16 ans. Si nous apprenons que des donnees d'un mineur ont ete collectees par erreur, nous les supprimerons dans les meilleurs delais. Si vous etes parent ou tuteur et estimez que votre enfant nous a fourni des donnees, contactez-nous a dpo@klarvon.ai.

Conformement au RGPD et a la loi Informatique et Libertes (loi n° 78-17 du 6 janvier 1978 modifiee), vous disposez des droits suivants sur vos donnees personnelles :

• Droit d'acces (art. 15 RGPD) :obtenir la confirmation que vos donnees sont traitees et en recevoir une copie complete, ainsi que les informations prevues a l'article 15.1 (finalites, categories, destinataires, durees, droits)
• Droit de rectification (art. 16 RGPD) : corriger des donnees inexactes ou completer des donnees incompletes vous concernant
• Droit a l'effacement (art. 17 RGPD) : demander la suppression de vos donnees. La suppression de votre compte entraine la suppression en cascade de toutes les donnees associees, sous reserve des obligations legales de conservation (notamment les donnees comptables conservees 10 ans en vertu de l'art. L.123-22 du Code de commerce)
• Droit a la portabilite (art. 20 RGPD) :recevoir vos donnees dans un format structure, couramment utilise et lisible par machine (JSON). Ce droit s'applique aux donnees que vous nous avez fournies et qui sont traitees sur la base du contrat.
• Droit a la limitation du traitement (art. 18 RGPD) : demander la suspension du traitement de vos donnees dans les cas prevus par la loi (contestation de l'exactitude, traitement illicite, besoin pour un litige, opposition en attente de verification)
• Droit d'opposition (art. 21 RGPD) :vous opposer au traitement de vos donnees fonde sur l'interet legitime, notamment les briefings periodiques et la journalisation technique. En cas d'opposition, nous cesserons le traitement sauf motif legitime imperieux.
• Droit d'obtenir une explication sur le traitement IA : conformement aux recommandations de la CNIL sur la transparence des systemes d'IA, vous pouvez demander des explications sur la logique sous-jacente des rapports generes par IA, les donnees utilisees pour les produire, et contester le resultat ou demander une intervention humaine
• Droit de retirer votre consentement : lorsque le traitement est fonde sur le consentement, vous pouvez le retirer a tout moment sans affecter la licite du traitement effectue avant le retrait
• Droit de definir des directives post-mortem (art. 85 de la loi Informatique et Libertes) : vous pouvez definir des directives relatives a la conservation, l'effacement et la communication de vos donnees apres votre deces

Comment exercer vos droits

Adressez votre demande par email a dpo@klarvon.ai en precisant :

• Votre identite (nom, prenom, adresse email associee a votre compte Klarvon)
• Le droit que vous souhaitez exercer
• Toute information utile pour traiter votre demande

Nous pourrons vous demander une copie d'une piece d'identite en cas de doute raisonnable sur votre identite, conformement a l'article 12.6 du RGPD. Cette piece sera supprimee une fois la verification effectuee.

Delai de reponse :nous nous engageons a repondre dans un delai d'un mois a compter de la reception de votre demande (article 12.3 du RGPD). Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite ou de nombre eleve de demandes, auquel cas vous en serez informe dans le mois suivant la reception.

Gratuite :l'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondees ou excessives (notamment en raison de leur caractere repetitif), nous pourrons exiger le paiement de frais raisonnables ou refuser de donner suite, conformement a l'article 12.5 du RGPD.

Si vous estimez, apres nous avoir contactes, que le traitement de vos donnees n'est pas conforme a la reglementation, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle competente (article 77 du RGPD). Pour la France, il s'agit de la Commission Nationale de l'Informatique et des Libertes (CNIL) :

• En ligne : www.cnil.fr/fr/adresser-une-plainte
• Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Par telephone : 01 53 73 22 22

Nous vous encourageons a nous contacter en premier lieu a dpo@klarvon.ai afin que nous puissions tenter de resoudre votre preoccupation dans les meilleurs delais.

Nous nous reservons le droit de modifier cette politique de confidentialite a tout moment pour refleter les evolutions de nos pratiques, de la reglementation, ou des recommandations des autorites de controle. En cas de modification substantielle affectant la nature des traitements ou vos droits, vous en serez informe par email a l'adresse associee a votre compte au moins 30 jours avant l'entree en vigueur des changements.

La date de derniere mise a jour est indiquee en bas de cette page. Nous vous invitons a consulter regulierement cette page pour rester informe de nos pratiques en matiere de protection des donnees.

La presente politique est regie par le droit francais et le Reglement (UE) 2016/679 (RGPD). En cas de litige relatif a l'interpretation ou a l'application de cette politique, les tribunaux competents du ressort du siege social du responsable de traitement seront seuls competents.