Politique de confidentialité

Sommaire

Responsable du traitement
Données collectées (14 catégories détaillées)
Finalités et bases légales
Durée de conservation
Hébergement, sous-traitants et transferts
Cookies et traceurs
Vos droits
Sécurité des données et chiffrement
Mineurs
Modifications
Contact & réclamations

En résumé : KitaDi est une application de productivité personnelle hébergée en Suisse. Nous collectons uniquement les données strictement nécessaires à votre compte et à l'amélioration du service. Vos données ne sont jamais vendues ni transmises à des tiers à des fins commerciales. Tout est hébergé en Suisse (Infomaniak). Certaines fonctionnalités IA font appel à Anthropic et OpenAI (États-Unis) dans le cadre des Clauses Contractuelles Types européennes. Les données sensibles (coffre-fort, santé) sont chiffrées avec une clé que nous ne détenons pas.

1 Responsable du traitement

Dénomination sociale : TOOKANA SAS

Forme juridique : Société par Actions Simplifiée (SAS)

Pays : France

Email de contact : privacy@kitadi.com

Site web : https://kitadi.com

TOOKANA SAS est responsable du traitement de vos données personnelles dans le cadre de l'utilisation de l'application KitaDi accessible à l'adresse kitadi.com.

2 Données collectées

2.1 Données de compte

Lors de votre inscription, nous collectons :

Adresse e-mail (identifiant unique)
Mot de passe (haché avec bcrypt, jamais stocké en clair)
Prénom / nom (optionnel, pour personnaliser l'interface)
Date de création du compte

2.2 Données de navigation et d'utilisation

Adresse IP (anonymisée pour les statistiques)
Pages visitées et fonctionnalités utilisées
Type de navigateur et système d'exploitation
Horodatage des connexions

2.3 Données de contenu (si vous les renseignez)

KitaDi vous permet de stocker des données personnelles dans les modules suivants. Ces données sont entièrement sous votre contrôle et chiffrées pour les modules sensibles :

🔐 Coffre-fort

Mots de passe, codes, cartes. Chiffrement AES-256-GCM. Non accessibles par nos équipes.

💊 Santé

Informations médicales. Chiffrement AES-256-GCM. Strictement privées.

📁 Vie & Docs

Documents personnels. Certains champs optionnellement chiffrés.

💡 Idées & Notes

Contenu personnel non chiffré, accessible uniquement par vous.

2.4 Données de facturation

Dans le cadre d'un abonnement payant :

Historique des paiements (montant, date, statut)
Les données de carte bancaire sont traitées directement par Stripe (certifié PCI-DSS). Nous ne stockons jamais vos coordonnées bancaires complètes.

2.5 Données techniques

Logs d'erreurs applicatives (sans données personnelles de contenu)
Logs de sécurité : tentatives de connexion, accès au coffre-fort, audit trail

2.6 Coffre-fort numérique

Le coffre-fort stocke vos données les plus sensibles : identifiants et mots de passe, clés API, numéros de cartes bancaires, documents d'identité, codes d'accès et notes sécurisées. L'intégralité de ces données est chiffrée AES-256-GCM avec une clé dérivée de votre mot de passe personnel via Argon2id. TOOKANA SAS ne détient pas cette clé de déchiffrement et ne peut techniquement pas accéder à vos données.

2.7 Module Ma Santé

Ce module collecte des données de santé à caractère sensible (article 9 RGPD) : profil médical (groupe sanguin, numéro de sécurité sociale, allergies, antécédents), informations sur vos médecins, médicaments et posologies, journal de symptômes, événements médicaux et carnet de vaccination. Ces données sont intégralement chiffrées AES-256-GCM avec une clé que TOOKANA SAS ne détient pas et ne peut pas accéder. La base légale est votre consentement explicite recueilli lors de la première utilisation du module.

2.8 Journal de Vie et Capsules temporelles

Ce module collecte des données personnelles à caractère intime : entrées de journal quotidien (humeur, météo, contenu libre), timeline de vie (lieux, émotions, périodes), recettes familiales, citations et capsules temporelles. Les capsules temporelles peuvent inclure le nom et l'adresse email d'un destinataire tiers, stockés en clair dans notre base de données hébergée chez Infomaniak (Suisse). Ces personnes n'ont pas de compte KitaDi mais leurs coordonnées sont utilisées uniquement pour l'envoi de la capsule à la date programmée.

2.9 Mes dernières volontés (Succession)

Ce module collecte les coordonnées (nom et email) de vos personnes de confiance désignées pour recevoir vos dernières volontés. Ces données de tiers sont stockées en clair et utilisées uniquement pour la transmission de vos documents dans le cadre du mécanisme de veille configuré. Elles ne sont jamais partagées à d'autres fins.

2.10 Sécurité Numérique

Ce module analyse les messages et liens que vous lui soumettez afin de détecter les tentatives de phishing et arnaques. Les contenus analysés sont transmis à notre prestataire IA (Anthropic) pour analyse, puis les résultats sont chiffrés AES-256-GCM dans notre base de données. Aucun contenu analysé n'est conservé en clair.

2.11 Sticky Notes

Ce module collecte le contenu de vos notes rapides (texte, listes, images, dessins, mémos audio). Les mémos audio sont traités par transcription vocale via OpenAI Whisper et supprimés immédiatement après transcription. Le contenu textuel peut être amélioré via notre service IA (Anthropic).

2.12 QR Codes et Passes

Ce module stocke les photos de vos billets, passes et QR codes (titres de transport, cartes d'embarquement, billets d'événements). Ces images sont stockées dans notre espace de stockage sécurisé chez Infomaniak (Suisse) et ne sont jamais transmises à des tiers.

2.13 Abonnements et Crédits

Ce module collecte vos informations financières personnelles : abonnements (nom, montant, devise, période, banque, moyen de paiement), crédits (montant, taux, mensualités, établissement). Ces données ne sont pas chiffrées mais sont strictement isolées dans votre espace personnel et ne sont jamais transmises à des tiers.

2.14 Notifications push

Si vous activez les notifications push, nous stockons l'endpoint VAPID fourni par votre navigateur ainsi que le type d'appareil. Ces données techniques sont utilisées uniquement pour l'envoi de notifications et sont supprimées si vous désactivez les notifications ou supprimez votre compte.

3 Finalités et bases légales

Finalité	Données concernées	Base légale (RGPD)
Fourniture du service	Compte, contenu, sessions	Exécution du contrat (art. 6.1.b)
Authentification sécurisée	Email, IP, logs sécurité	Intérêt légitime (art. 6.1.f)
Facturation et gestion abonnement	Email, historique paiements	Exécution du contrat (art. 6.1.b) + Obligation légale (art. 6.1.c)
Mesure d'audience du site public	Analytics maison anonymisé (sans cookie tiers)	Intérêt légitime (art. 6.1.f)
Notifications et emails de service	Email	Exécution du contrat (art. 6.1.b)
Amélioration du produit	Données d'usage anonymisées	Intérêt légitime (art. 6.1.f)

4 Durée de conservation

Données	Durée de conservation
Données de compte actif	Durée de vie du compte
Données de compte supprimé	30 jours après suppression, puis effacement définitif
Données de facturation	10 ans (obligation légale comptable française)
Logs de sécurité	12 mois glissants
Logs serveur	6 mois

À l'expiration de la durée de conservation, les données sont supprimées de manière sécurisée et irréversible. Aucun archivage commercial n'est effectué.

5 Hébergement, sous-traitants et transferts

5.1 Hébergement principal

L'ensemble des données de KitaDi est hébergé exclusivement en Suisse par Infomaniak Network SA (Avenue de la Praille 26, 1227 Carouge), certifié ISO 27001. Le stockage des fichiers (pièces jointes, photos, documents) est assuré par le service S3 d'Infomaniak, également en Suisse.

5.2 Prestataires IA — Transferts hors UE

Certaines fonctionnalités de KitaDi font appel à des prestataires d'intelligence artificielle établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.

Prestataire	Rôle	Données transmises	Pays	Garantie
Anthropic	IA texte, analyse, OCR documents manuscrits	Contenu des prompts (texte saisi par l'utilisateur), images de documents scannés	USA	CCT Commission européenne
OpenAI (Whisper)	Transcription vocale	Fichiers audio (supprimés immédiatement après transcription)	USA	CCT Commission européenne

5.3 Authentification sociale — Transferts hors UE

KitaDi propose une connexion via des fournisseurs d'identité tiers. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.

Prestataire	Rôle	Données transmises	Pays	Garantie
Google	Authentification OAuth2	Adresse email et identifiant Google uniquement	USA	CCT Commission européenne
Apple	Authentification OAuth2	Adresse email et identifiant Apple uniquement	USA	CCT Commission européenne

5.4 Paiement

Stripe (États-Unis/Europe) est notre prestataire de paiement. KitaDi ne stocke jamais vos données de carte bancaire — elles sont traitées directement par Stripe, certifié PCI DSS niveau 1. Seuls votre email et un identifiant client Stripe sont conservés dans notre base de données. Les transferts sont encadrés par les CCT de la Commission européenne.

5.5 Principe général

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales. Les sous-traitants listés ci-dessus n'accèdent aux données que dans le strict cadre de la prestation fournie.

6 Cookies et traceurs

KitaDi utilise une seule catégorie de cookies (cookies nécessaires). KitaDi n'utilise aucun cookie publicitaire ou de tracking tiers. Aucun consentement n'est requis pour ces cookies techniques.

🔵 Nécessaires

Toujours actifs. Sessions Laravel, protection CSRF, authentification. Exemptés de consentement (directive ePrivacy).

Durée de vie des cookies

Cookie	Catégorie	Durée	Finalité
kitadi_session	Nécessaire	Session	Authentification Laravel
XSRF-TOKEN	Nécessaire	Session	Protection CSRF
kitadi_consent_v1	Nécessaire	1 an	Mémorisation de vos préférences cookies

7 Vos droits

Conformément au RGPD (Règlement UE 2016/679) et à la nLPD suisse (en vigueur depuis septembre 2023), vous disposez des droits suivants :

👁️ Droit d'accès

Obtenir une copie de toutes les données vous concernant que nous détenons.

✏️ Droit de rectification

Corriger toute donnée inexacte ou incomplète vous concernant.

🗑️ Droit à l'effacement

Demander la suppression de vos données (sous réserve d'obligations légales).

⏸️ Droit à la limitation

Limiter le traitement de vos données dans certaines circonstances.

📦 Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine.

🚫 Droit d'opposition

Vous opposer au traitement basé sur notre intérêt légitime.

Pour exercer ces droits, contactez-nous à privacy@kitadi.com. Nous répondrons dans un délai maximum de 30 jours conformément au RGPD.

Droit de retrait du consentement

KitaDi n'utilisant que des cookies techniques strictement nécessaires, exemptés de consentement par la réglementation, aucune action de votre part n'est requise concernant les cookies.

Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

France : Commission Nationale de l'Informatique et des Libertés (CNIL) ↗
Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) ↗

8 Sécurité des données

La sécurité de vos données est une priorité absolue dans la conception de KitaDi. Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

🔒 Chiffrement fort

AES-256-GCM pour le coffre-fort et les données de santé. Argon2id pour la dérivation des clés.

🛡️ Authentification

Mots de passe hachés bcrypt (coût 12). Double authentification TOTP disponible.

🔐 Transport sécurisé

HTTPS forcé sur toutes les pages. HSTS activé. En-têtes de sécurité (CSP, HSTS, X-Frame-Options).

📋 Anti brute-force

Limitation des tentatives de connexion. Verrouillage de compte automatique. Journaux d'audit.

🏗️ Isolation des données

Architecture multi-tenant : chaque espace utilisateur est isolé dans sa propre base de données.

💾 Sauvegardes

Sauvegardes régulières chiffrées. Option de sauvegarde sur votre propre Google Drive.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures suivant la détection, conformément à l'article 33 du RGPD.

Chiffrement côté client — données inaccessibles à TOOKANA SAS

Certains modules de KitaDi implémentent un chiffrement côté client où TOOKANA SAS ne détient pas la clé de déchiffrement :

Coffre-fort numérique — chiffrement AES-256-GCM, clé dérivée de votre mot de passe personnel via Argon2id. Aucun accès possible par TOOKANA SAS.
Module Ma Santé — chiffrement AES-256-GCM de l'intégralité des données médicales. Aucun accès possible par TOOKANA SAS.
Sécurité Numérique — résultats d'analyses chiffrés AES-256-GCM.

En cas d'oubli de votre mot de passe de coffre-fort, TOOKANA SAS est dans l'impossibilité technique de récupérer vos données chiffrées. Aucune "porte dérobée" n'existe dans notre architecture.

9 Mineurs

KitaDi est un service destiné aux personnes âgées de 16 ans ou plus. Nous ne collectons pas sciemment de données personnelles provenant de mineurs de moins de 16 ans. Si vous pensez qu'un enfant de moins de 16 ans nous a fourni des données personnelles, contactez-nous à privacy@kitadi.com afin que nous puissions les supprimer.

10 Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment pour refléter les évolutions légales, réglementaires ou fonctionnelles du service.

En cas de modifications substantielles, nous vous informerons par email (si vous êtes utilisateur enregistré) ou via une bannière visible sur le site, au moins 30 jours avant l'entrée en vigueur des changements.

La date de dernière mise à jour figure toujours en haut de cette page. Nous vous encourageons à la consulter régulièrement.

11 Contact et réclamations

Une question sur vos données ?

Notre équipe traite toutes les demandes relatives à la protection des données dans un délai de 30 jours.

✉️ Contacter privacy@kitadi.com

Objet recommandé : "Demande RGPD — [type de demande]"