Korya

Politique de confidentialité

Dernière mise à jour : février 2026

1. Qui sommes-nous ?

Le site korya.ai et le Service « Korya » sont édités par Korya SAS, société par actions simplifiée, dont le siège social est établi à Paris, France (SIRET en cours d'immatriculation).

Délégué à la Protection des Données (DPO) : privacy@korya.ai

2. Portée

La présente politique couvre le traitement des données lors de : visite du site, création de compte, connexion bancaire via Bridge (DSP2), alertes SMS (offre Pro, via Twilio), paiement (Stripe), utilisation de l'Assistant IA (Mistral AI).

3. Données que nous collectons

  • 3.1 Données de compte : Nom, email, téléphone (si alertes SMS activées), informations d'entreprise, paramètres.
  • 3.2 Données financières (lecture seule) : transactions, soldes, dates, montants, libellés, catégories. Aucun paiement initié.
  • 3.3 Données de conversation : questions, réponses générées, contexte de calcul/visualisation.
  • 3.4 Données techniques : adresses IP (pseudonymisées par hachage), sessions, logs applicatifs, navigateur/appareil, événements d'usage anonymisés.
  • 3.5 Données de paiement : traitées par Stripe ; numéros de carte non stockés chez Korya. Historique de facturation conservé.

4. Finalités et bases légales

FinalitéBase légale
Fournir le ServiceExécution du contrat
Connexion bancaire via BridgeExécution du contrat
Générer des réponses via l'Assistant IAExécution du contrat
Alertes SMS (offre Pro)Consentement explicite (opt-in)
Facturation et paiements (Stripe)Exécution du contrat / obligation légale
Sécuriser et améliorer le ServiceIntérêt légitime
Communications supportExécution du contrat
Prospection commercialeIntérêt légitime (droit d'opposition à tout moment)

Pour vous opposer à la prospection commerciale, écrivez à privacy@korya.ai.

5. IA et minimisation des données (Mistral AI)

Korya utilise l'API Mistral AI (modèles hébergés en Europe). Avant toute transmission, les données sont pseudonymisées : noms de clients/fournisseurs remplacés par des identifiants génériques, IBAN et SIREN supprimés. Seuls montants, dates, catégories et labels anonymisés sont envoyés à l'API. Mistral AI est liée à Korya par un accord de traitement des données (DPA). Les données ne sont pas utilisées pour entraîner les modèles de Mistral.

6. Connexion bancaire (Bridge)

La connexion à vos comptes bancaires est établie via Bridge SAS (agréé PASF, supervisé par l'ACPR), dans le cadre de la directive DSP2. L'accès est strictement en lecture seule. Bridge est soumis à ses propres obligations réglementaires. Vos identifiants bancaires ne sont jamais stockés chez Korya.

7. Alertes SMS (offre Pro)

Si vous activez les alertes SMS (offre Pro), votre numéro de téléphone est transmis à Twilio Inc. (sous-traitant, États-Unis) pour l'envoi des messages. Ce traitement repose sur votre consentement explicite (opt-in). Vous pouvez vous désabonner à tout moment en répondant STOP au SMS reçu ou depuis vos paramètres dans l'application.

8. Destinataires — Sous-traitants

Korya fait appel aux sous-traitants suivants. La liste complète avec les détails des transferts est disponible sur la page Sous-traitants.

Sous-traitantRôleLocalisation
Bridge SASConnexion bancaire (DSP2)France / UE
Twilio Inc.Alertes SMS (offre Pro)États-Unis — CCT
Stripe Inc.PaiementsÉtats-Unis — CCT
Mistral AIAnalyse IAFrance / UE
Vercel Inc.Hébergement applicationÉtats-Unis — CCT
Neon Inc.Base de données (AWS eu-west-1)États-Unis — CCT (données en UE)
Supabase Inc.AuthentificationÉtats-Unis — CCT

CCT = Clauses Contractuelles Types de la Commission européenne (art. 46 RGPD).

9. Transferts hors UE

Certains sous-traitants sont établis aux États-Unis. Les transferts de données personnelles sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, constituant des garanties appropriées au sens de l'article 46 du RGPD.

10. Durée de conservation

  • Données de compte et d'usage : durée du compte actif + 24 mois après clôture, puis suppression ou anonymisation.
  • Données de facturation : 10 ans conformément aux obligations légales comptables (article L123-22 du Code de commerce).
  • Logs techniques applicatifs : 12 mois glissants.
  • Codes OTP SMS : 10 minutes, puis suppression automatique.
  • Journaux d'audit sécurité : 24 mois.

11. Mineurs

Le Service est exclusivement destiné à des professionnels (personnes physiques majeures agissant dans un cadre professionnel ou personnes morales). Korya ne collecte pas sciemment des données de personnes de moins de 18 ans.

12. Vos droits

Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, opposition, limitation du traitement, portabilité. Pour les alertes SMS, vous disposez également du droit de retirer votre consentement à tout moment (sans remettre en cause la licéité du traitement antérieur).

Pour exercer vos droits : privacy@korya.ai. Réponse sous 30 jours. Vous pouvez également déposer une plainte auprès de la CNIL.

13. Sécurité

Korya met en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement des données en transit (TLS) et au repos (AES-256), hachage des adresses IP, contrôles d'accès à privilèges minimaux, journalisation des accès. Aucune mesure ne garantit un risque zéro ; tout incident sera notifié aux personnes concernées dans les délais prévus par le RGPD.

14. Cookies

Pour en savoir plus sur les cookies utilisés par Korya, consultez notre politique de cookies.

15. Modifications

Cette politique peut être modifiée. En cas de changement substantiel, vous serez informé préalablement par email ou notification dans le Service. La date de dernière mise à jour est indiquée en haut de cette page.

16. Contact DPO

Pour toute question relative à la protection de vos données : privacy@korya.ai