Korya

Politique de confidentialité

Dernière mise à jour : mars 2026

1. Qui sommes-nous ?

Le site korya.ai et le Service « Korya » sont édités par Garden Capital, société par actions simplifiée, SIREN 881 492 128, dont le siège social est établi en France.

Délégué à la Protection des Données (DPO) : contact@korya.ai

2. Portée

La présente politique couvre le traitement des données lors de : visite du site, création de compte, connexion bancaire via Bridge (DSP2), alertes SMS (offre Pro, via SMSFactor), paiement (Stripe), utilisation de l'Assistant IA (Mistral AI).

3. Données que nous collectons

  • 3.1 Données de compte : Nom, email, téléphone (si alertes SMS activées), informations d'entreprise, paramètres.
  • 3.2 Données financières (lecture seule) : transactions, soldes, dates, montants, libellés, catégories. Aucun paiement initié. Les identifiants bancaires ne sont pas conservés en clair par Korya. Certaines données de transaction peuvent être conservées de manière chiffrée pendant 24 mois maximum afin d'alimenter les analyses avancées du copilote financier (voir section 6bis ci-dessous).
  • 3.3 Données de conversation : questions, réponses générées, contexte de calcul/visualisation.
  • 3.4 Données techniques : adresses IP (pseudonymisées par hachage), sessions, logs applicatifs, navigateur/appareil, événements d'usage anonymisés.
  • 3.5 Données de paiement : traitées par Stripe ; numéros de carte non stockés chez Korya. Historique de facturation conservé.

4. Finalités et bases légales

FinalitéBase légale
Fournir le ServiceExécution du contrat
Connexion bancaire via BridgeExécution du contrat
Conservation historique bancaire chiffré (analyses avancées)Consentement (désactivable dans les paramètres)
Générer des réponses via l'Assistant IAExécution du contrat
Alertes SMS (offre Pro)Consentement explicite (opt-in)
Facturation et paiements (Stripe)Exécution du contrat / obligation légale
Sécuriser et améliorer le ServiceIntérêt légitime
Communications supportExécution du contrat
Prospection commercialeIntérêt légitime (droit d'opposition à tout moment)

Pour vous opposer à la prospection commerciale, écrivez à contact@korya.ai.

5. IA et minimisation des données (Mistral AI)

Korya utilise l'API Mistral AI (modèles hébergés en Europe). Avant toute transmission, les données sont pseudonymisées : noms de clients/fournisseurs remplacés par des identifiants génériques, IBAN et SIREN supprimés. Seuls montants, dates, catégories et labels anonymisés sont envoyés à l'API. Mistral AI est liée à Korya par un accord de traitement des données (DPA). Les données ne sont pas utilisées pour entraîner les modèles de Mistral.

6. Connexion bancaire (Bridge)

La connexion à vos comptes bancaires est établie via Bridge SAS (agréé PASF, supervisé par l'ACPR), dans le cadre de la directive DSP2. L'accès est strictement en lecture seule. Bridge est soumis à ses propres obligations réglementaires. Vos identifiants bancaires ne sont pas conservés en clair par Korya.

6bis. Données bancaires — Conservation et contrôle utilisateur

Korya ne conserve pas vos identifiants bancaires. Afin de permettre des analyses enrichies et un suivi historique, certaines données de transaction peuvent être conservées sous forme chiffrée pendant une durée maximale de 24 mois. Cette conservation a pour finalité l'amélioration des analyses, des comparaisons historiques et des fonctionnalités avancées du service (tendances, projections, comparaisons mensuelles). Les données ne sont pas revendues.

Deux modes sont disponibles depuis vos paramètres :

  • Mode Restreint : aucun historique bancaire n'est conservé par Korya au-delà du traitement nécessaire au service. Ce mode réduit la profondeur des analyses et la qualité des comparaisons dans le temps.
  • Mode Historique étendu (par défaut) : votre historique bancaire est conservé de manière chiffrée pendant 24 mois afin d'alimenter les analyses avancées du copilote financier. Ce mode permet des analyses plus pertinentes : tendances, comparaisons mensuelles, détection d'évolution, courbes sur 6 à 24 mois.

Vous pouvez modifier ce choix à tout moment depuis votre espace personnel (Paramètres → Banques). La désactivation entraîne la suppression des données de transaction conservées et peut réduire l'efficacité et la précision des analyses avancées du copilote financier.

7. Alertes SMS (offre Pro)

Si vous activez les alertes SMS (offre Pro), votre numéro de téléphone est transmis à SMSFactor pour l'envoi des messages. Ce traitement repose sur votre consentement explicite (opt-in). Vous pouvez vous désabonner à tout moment en répondant STOP au SMS reçu ou depuis vos paramètres dans l'application.

8. Destinataires — Sous-traitants

Korya fait appel aux sous-traitants suivants. La liste complète avec les détails des transferts est disponible sur la page Sous-traitants.

Sous-traitantRôleLocalisation
Bridge SASConnexion bancaire (DSP2)France / UE
SMSFactorAlertes SMS (offre Pro)France / UE
Stripe Inc.PaiementsÉtats-Unis — CCT
Mistral AIAnalyse IAFrance / UE
Vercel Inc.Hébergement applicationÉtats-Unis — CCT
Neon Inc.Base de données (AWS eu-west-1)États-Unis — CCT (données en UE)
Supabase Inc.AuthentificationÉtats-Unis — CCT

CCT = Clauses Contractuelles Types de la Commission européenne (art. 46 RGPD).

9. Transferts hors UE

Certains sous-traitants sont établis aux États-Unis. Les transferts de données personnelles sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, constituant des garanties appropriées au sens de l'article 46 du RGPD.

10. Durée de conservation

  • Données de compte et d'usage : durée du compte actif + 24 mois après clôture, puis suppression ou anonymisation.
  • Données de transaction bancaire (historique étendu activé) : 24 mois maximum, stockées de manière chiffrée. L'utilisateur peut désactiver cette conservation depuis ses paramètres ; les données sont alors supprimées dans un délai de 30 jours.
  • Données de facturation : 10 ans conformément aux obligations légales comptables (article L123-22 du Code de commerce).
  • Logs techniques applicatifs : 12 mois glissants.
  • Codes OTP SMS : 10 minutes, puis suppression automatique.
  • Journaux d'audit sécurité : 24 mois.

11. Mineurs

Le Service est exclusivement destiné à des professionnels (personnes physiques majeures agissant dans un cadre professionnel ou personnes morales). Korya ne collecte pas sciemment des données de personnes de moins de 18 ans.

12. Vos droits

Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, opposition, limitation du traitement, portabilité. Pour les alertes SMS, vous disposez également du droit de retirer votre consentement à tout moment (sans remettre en cause la licéité du traitement antérieur).

Pour exercer vos droits : contact@korya.ai. Réponse sous 30 jours. Vous pouvez également déposer une plainte auprès de la CNIL.

13. Sécurité

Korya met en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement des données en transit (TLS) et au repos (AES-256), hachage des adresses IP, contrôles d'accès à privilèges minimaux, journalisation des accès. Aucune mesure ne garantit un risque zéro ; tout incident sera notifié aux personnes concernées dans les délais prévus par le RGPD.

14. Cookies

Pour en savoir plus sur les cookies utilisés par Korya, consultez notre politique de cookies.

15. Modifications

Cette politique peut être modifiée. En cas de changement substantiel, vous serez informé préalablement par email ou notification dans le Service. La date de dernière mise à jour est indiquée en haut de cette page.

16. Contact DPO

Pour toute question relative à la protection de vos données : contact@korya.ai