Passer au contenu principal

POLITIQUE DE CONFIDENTIALITE

1. RESPONSABLE DU TRAITEMENT

KINMU DIGITAL S.L., société constituée selon le droit espagnol, dont le siège social est situé Calle Teide, 4, 28703 Madrid, Espagne, et titulaire du CIF B24996803, agit en tant que responsable du traitement des données personnelles conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et à la Loi organique 3/2018 du 5 décembre sur la protection des données personnelles et la garantie des droits numériques. Pour exercer vos droits en matière de protection des données, vous pouvez contacter le DPO de Kinmu à dpo@kinmu.app.

2. NATURE DES TRAITEMENTS ET CATEGORIES DE DONNEES

Kinmu traite des données personnelles issues de l'accès et de l'utilisation de la plateforme Kinmu (https://kinmu.app) et de ses applications mobiles associées. Le traitement est effectué dans le but spécifique de : (i) fournir des fonctionnalités de pointage et d'enregistrement de présence ; (ii) gérer les demandes d'absence, de congés et de repos ; (iii) maintenir les informations d'équipe, de département et de structure organisationnelle ; (iv) générer des rapports de présence et d'horaires ; (v) fournir une assistance via un chat d'intelligence artificielle ; (vi) respecter les obligations légales en matière d'enregistrement du temps de travail conformément à la législation espagnole ; (vii) détecter et prévenir la fraude, la falsification des données ou les comportements frauduleux dans le contrôle des présences ; (viii) garantir la sécurité et la disponibilité technique de la plateforme ; (ix) communiquer avec les utilisateurs au sujet de leur compte, des changements de politique, des mises à jour du service ou des questions de support technique ; (x) analyser les tendances d'utilisation et le fonctionnement technique uniquement sous forme anonymisée.

Les données personnelles traitées comprennent : nom complet, adresse e-mail, numéro d'employé attribué par l'entreprise cliente, enregistrements d'entrée et de sortie (date, heure, appareil utilisé), historique des absences et leur type (maladie, congé, vacances, etc.), jours de repos hebdomadaires, horaire contractuel, département et équipe d'affectation, photo de profil si fournie par l'utilisateur, coordonnées de contact (téléphone facultatif) et données techniques de session (adresse IP anonymisée, navigateur, appareil, horodatage d'accès).

Si l'utilisateur choisit d'utiliser des fonctionnalités spécifiques, les éléments suivants sont également traités : contenu des conversations avec le chat d'intelligence artificielle, données de validation via QR code ou biométrie (reconnaissance faciale) si cette fonctionnalité est mise en œuvre, et données de localisation uniquement si l'utilisateur autorise explicitement la fonction de pointage géolocalisé.

Kinmu ne collecte, ne demande ni ne traite : les coordonnées GPS exactes de l'appareil sauf si l'entreprise cliente active explicitement la fonction de contrôle des présences géolocalisé ; l'historique de navigation en dehors de la plateforme ; l'historique de communication ou des données de tiers sans consentement ; des données biométriques telles que les empreintes digitales ou la reconnaissance de l'iris sauf si la reconnaissance faciale est activée ; des données de santé, génétiques ou révélant l'origine ethnique, les opinions politiques, les croyances religieuses, l'affiliation syndicale ou la vie sexuelle de l'utilisateur.

3. BASE JURIDIQUE DU TRAITEMENT

Le traitement des données personnelles réalisé par Kinmu repose sur les bases juridiques suivantes conformément aux articles 6 et 9 du Règlement (UE) 2016/679 :

Article 6.1.a) - Consentement : Kinmu traite les données d'enregistrement d'entrée et de sortie, l'historique des absences et les données de département sur la base du consentement explicite fourni par l'utilisateur lors de la création de son compte et de l'acceptation des présentes Conditions et de la Politique de confidentialité. L'utilisateur peut retirer ce consentement à tout moment en contactant dpo@kinmu.app, le retrait étant effectif à compter de cette demande sans affecter la légalité des traitements antérieurs.

Article 6.1.c) - Respect d'une obligation légale : Kinmu traite les données afin de se conformer aux obligations découlant du Statut des travailleurs, du Décret royal 1619/2012 sur l'enregistrement des horaires de travail, des règlements de sécurité sociale et d'autres obligations d'enregistrement du temps de travail qui s'imposent aux entreprises espagnoles. Ces traitements sont obligatoires par la loi et ne peuvent être révoqués sans violer les obligations légales de l'entreprise cliente.

Article 6.1.f) - Intérêt légitime : Kinmu traite les données pour la détection de fraude dans le contrôle des présences, la détection de registres d'horaires falsifiés, l'investigation de comportements potentiellement frauduleux, la sécurité technique de la plateforme contre les cyberattaques, l'amélioration technique de la disponibilité et du fonctionnement de la plateforme sous forme anonymisée, et la protection des droits légaux de Kinmu dans les procédures administratives ou judiciaires. Ces traitements sont fondés sur un intérêt légitime prépondérant, l'utilisateur étant informé et disposant d'un droit d'opposition.

Article 9 - Données sensibles : Dans le cas exceptionnel où l'utilisateur fournit des données de santé (par exemple, pour justifier une absence médicale), Kinmu ne les traite qu'avec un consentement explicite distinct et exclusivement aux fins de gestion des absences de l'entreprise cliente, sans les utiliser à d'autres fins.

4. SOUS-TRAITANTS ET TRANSFERTS INTERNATIONAUX

4.1 Autorisation générale d'utiliser des sous-traitants

L'utilisateur autorise expressément Kinmu à désigner des sous-traitants pour la prestation de services spécifiques, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Kinmu déclare avoir effectué une diligence raisonnable dans la sélection des sous-traitants listés ci-dessous, en vérifiant qu'ils offrent des garanties suffisantes pour appliquer des mesures techniques et organisationnelles appropriées afin que le traitement soit conforme aux exigences du RGPD.

L'utilisateur reconnaît et accepte que :

  • Le recours à des sous-traitants est nécessaire à la fourniture du service.
  • Kinmu a signé ou adhéré aux accords de traitement des données (DPA) correspondants avec chaque sous-traitant.
  • Les sous-traitants sont responsables du respect de leurs propres obligations en matière de protection des données.

4.2 Liste actuelle des sous-traitants

Sous-traitant Fonction Localisation des serveurs Transferts internationaux
DigitalOcean, LLC Hébergement et infrastructure cloud Francfort, Allemagne (UE) Non applicable
Mistral AI Assistant conversationnel (chat IA) Paris, France (UE) Non applicable
Anthropic PBC Génération des politiques d'entreprise par IA États-Unis SCC + DPF
Resend, Inc. Envoi d'e-mails transactionnels Union européenne Non applicable
Stripe Payments Europe, Ltd. Traitement des paiements Irlande (UE) Non applicable
PostHog, Inc. Analyse d'utilisation du produit Francfort, Allemagne (UE) Non applicable

4.3 Détails des sous-traitants

DigitalOcean, LLC

  • Nom de l'entreprise : DigitalOcean, LLC
  • Adresse : 101 6th Ave, New York, NY 10013, États-Unis
  • Fonction : services d'hébergement web et d'infrastructure cloud pour la plateforme Kinmu.
  • Serveur : Francfort, Allemagne (UE)
  • Données traitées : toutes les données stockées sur la plateforme.
  • Garanties : DPA conforme au RGPD ; certifications SOC 2 Type II, ISO 27001.
  • Privacy Policy: https://www.digitalocean.com/legal/privacy-policy
  • Sub-processor list: https://www.digitalocean.com/legal/subprocessor-list

Mistral AI

  • Nom de l'entreprise : Mistral AI
  • Adresse : 15 rue des Halles, 75001 Paris, France
  • Fonction : fournisseur du modèle d'intelligence artificielle pour l'assistant conversationnel Kinmu. Traite les conversations du chat afin de générer des réponses contextuelles sur les horaires, les absences et les questions des utilisateurs.
  • Serveur : Paris, France (UE)
  • Données traitées : contenu des conversations avec l'assistant IA.
  • Garanties : DPA conforme au RGPD. Mistral AI s'engage contractuellement à ne pas utiliser les données des utilisateurs pour entraîner ses modèles. Les données restent dans l'Union européenne et ne sont pas transférées vers des pays tiers.
  • Privacy Policy: https://mistral.ai/terms/

Anthropic PBC

  • Nom de l'entreprise : Anthropic PBC
  • Adresse : 548 Market St, San Francisco, CA 94104, États-Unis
  • Fonction : fournisseur du modèle d'intelligence artificielle Claude, utilisé exclusivement pour la configuration des politiques d'entreprise via le langage naturel. Traite les instructions des administrateurs afin de générer des configurations de politiques du travail.
  • Serveur : États-Unis
  • Données traitées : instructions de configuration des politiques fournies par les administrateurs. Les données personnelles des utilisateurs ne sont pas traitées via ce service.
  • Garanties : clauses contractuelles types (CCT) de la Commission européenne ; certification selon le Data Privacy Framework (DPF) UE-États-Unis. Anthropic s'engage contractuellement à ne pas utiliser les données pour entraîner ses modèles.
  • Privacy Policy: https://www.anthropic.com/privacy

Resend, Inc.

  • Nom de l'entreprise : Resend, Inc.
  • Adresse : 2261 Market Street #4324, San Francisco, CA 94114, États-Unis
  • Fonction : envoi d'e-mails transactionnels incluant confirmation d'inscription, récupération de mot de passe, notifications de modification et avis administratifs.
  • Serveur : Union européenne
  • Données traitées : adresse e-mail et nom du destinataire.
  • Garanties : DPA conforme au RGPD ; infrastructure hébergée dans l'UE.
  • Privacy Policy: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Nom de l'entreprise : Stripe Payments Europe, Limited
  • Adresse : 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlande
  • Fonction : traitement sécurisé des paiements par carte et gestion des abonnements.
  • Serveur : Irlande (UE)
  • Données traitées : données de facturation et moyen de paiement.
  • Garanties : DPA conforme au RGPD ; certification PCI-DSS Niveau 1 ; SOC 2 Type II. Kinmu ne stocke, ne traite ni n'a accès aux données complètes de carte de crédit, Stripe étant le seul responsable de ces données sensibles.
  • Privacy Policy: https://stripe.com/es/privacy
  • Sub-processor list: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Nom de l'entreprise : PostHog, Inc.
  • Adresse : 2261 Market Street #4008, San Francisco, CA 94114, États-Unis
  • Fonction : analyse de l'utilisation du produit pour améliorer l'expérience utilisateur.
  • Serveur : Francfort, Allemagne (UE)
  • Données traitées : données de navigation anonymisées, événements d'utilisation de la plateforme. PostHog est configuré pour ne pas collecter de données personnelles identifiables.
  • Garanties : DPA conforme au RGPD ; infrastructure cloud UE hébergée en Allemagne ; SOC 2 Type II.
  • Privacy Policy: https://posthog.com/privacy

Fournisseurs de mesure du site public

Le site public de marketing peut également utiliser, sous réserve du consentement aux cookies, Google Tag Manager et Google Analytics 4 (Google), Meta Pixel et, s'il est configuré à l'avenir, TikTok Pixel. Ces fournisseurs servent uniquement à mesurer les sources de trafic, pages vues, clics CTA et conversions publicitaires sur le site public. Ils ne sont pas utilisés pour traiter les enregistrements authentifiés de suivi du temps dans l'application Kinmu.

4.4 Garanties de sécurité des sous-traitants

Kinmu exige contractuellement de tous ses sous-traitants qu'ils respectent des mesures de sécurité appropriées, notamment :

  • Chiffrement des données en transit via TLS 1.2 ou supérieur.
  • Chiffrement des données au repos via AES-256 ou équivalent.
  • Contrôles d'accès basés sur les rôles et principe du moindre privilège.
  • Audits de sécurité périodiques et certifications reconnues (SOC 2, ISO 27001).
  • Procédures documentées de réponse aux incidents.
  • Engagements de notification des violations de sécurité dans des délais compatibles avec le RGPD.

4.5 Transferts internationaux de données

Les données des utilisateurs résident principalement dans l'Union européenne. Pour les services impliquant des transferts vers les États-Unis, Kinmu assure un niveau de protection adéquat grâce à :

  • Clauses contractuelles types (CCT) : modules approuvés par la décision d'exécution (UE) 2021/914 de la Commission.
  • Data Privacy Framework (DPF) : pour les fournisseurs certifiés selon le cadre de confidentialité des données UE-États-Unis.
  • Évaluations d'impact du transfert (TIA) : Kinmu a réalisé les évaluations nécessaires pour vérifier l'efficacité pratique des garanties offertes.

Kinmu n'effectue pas de transferts internationaux de données en dehors du périmètre des sous-traitants indiqués dans la présente politique.

4.6 Modification des sous-traitants

Kinmu se réserve le droit d'ajouter, de remplacer ou de supprimer des sous-traitants si nécessaire pour la prestation du service, sous réserve que :

  • Le nouveau sous-traitant offre des garanties équivalentes ou supérieures à celles du sous-traitant remplacé.
  • Les utilisateurs soient notifiés au moins trente (30) jours à l'avance par une mise à jour de la présente Politique de confidentialité et, le cas échéant, par e-mail.
  • L'accord de traitement des données correspondant soit conclu avec le nouveau sous-traitant.

L'utilisateur qui n'est pas d'accord avec l'intégration d'un nouveau sous-traitant peut exercer son droit d'opposition en contactant dpo@kinmu.app dans les quinze (15) jours suivant la notification. Si l'opposition est fondée et que le service ne peut être fourni sans ce sous-traitant, l'utilisateur peut résilier le contrat sans pénalité.

4.7 Responsabilité concernant les sous-traitants

Kinmu sera responsable envers l'utilisateur du respect des obligations en matière de protection des données de ses sous-traitants, conformément à l'article 28.4 du RGPD. Toutefois, Kinmu ne sera pas responsable de :

  • La non-conformité des sous-traitants dépassant les instructions documentées de Kinmu.
  • Les décisions autonomes des sous-traitants contrevenant au DPA signé.
  • Les violations de sécurité dans les systèmes des sous-traitants qui n'ont pas été signalées à Kinmu en temps voulu.

En tout état de cause, la responsabilité de Kinmu sera limitée comme prévu dans les Conditions générales d'utilisation du service.

4.8 Avertissement concernant les services d'intelligence artificielle

L'utilisateur reconnaît et accepte expressément que :

  • Les réponses générées par les services d'intelligence artificielle (Mistral AI, Anthropic) sont indicatives et ne constituent pas un conseil juridique, professionnel ou du travail.
  • Kinmu ne garantit pas l'exactitude, l'exhaustivité ou l'adéquation des réponses générées par l'IA à des fins spécifiques.
  • L'utilisateur est seul responsable de vérifier et valider toute configuration de politique ou information fournie par l'assistant IA avant de l'appliquer.
  • Les fournisseurs d'IA traitent les données exclusivement pour générer des réponses en temps réel et s'engagent contractuellement à ne pas utiliser ces données pour l'entraînement de leurs modèles.

5. DUREE DE CONSERVATION DES DONNEES

Kinmu conserve les données personnelles pour des périodes déterminées par les obligations légales, les besoins opérationnels ou l'exécution des obligations contractuelles. Une fois la période de conservation atteinte, les données sont supprimées de manière sécurisée par destruction cryptographique ou suppression physique des supports.

Les données de contrôle des présences et d'enregistrement du temps de travail sont conservées pendant quatre ans à compter de leur création, cette période étant requise par la législation espagnole d'inspection du travail conformément aux règlements de sécurité sociale.

Les données de demandes d'absence, de congé et de repos sont conservées pendant quatre ans à compter de la fin de l'absence, afin de justifier auprès des autorités du travail la légalité de l'enregistrement des horaires.

Les données de structure organisationnelle, d'équipe, de département et de hiérarchie sont conservées tant que l'entreprise cliente est utilisatrice active de la plateforme, et sont supprimées trente jours après l'annulation de l'abonnement.

Les données des conversations du chat d'intelligence artificielle sont conservées pendant six mois à compter de la conversation et sont automatiquement supprimées sans intervention de l'utilisateur. L'utilisateur peut demander la suppression immédiate des conversations en contactant dpo@kinmu.app.

Les données techniques de session (adresse IP anonymisée, navigateur, horodatage) sont conservées pendant trente jours à des fins d'analyse de sécurité et de détection de schémas d'attaque.

Les données des utilisateurs supprimés sont conservées sous forme anonymisée pendant deux ans pour l'analyse statistique de l'utilisation de la plateforme, d'une manière qui ne permet pas l'identification directe ou indirecte de la personne.

Les données relatives à des procédures administratives, litiges ou enquêtes pour fraude sont conservées pendant la durée de la procédure plus six ans, conformément aux délais de prescription.

6. MESURES DE SECURITE

Kinmu met en œuvre des mesures techniques, organisationnelles et juridiques pour garantir la protection des données personnelles contre l'accès non autorisé, la divulgation accidentelle ou intentionnelle, l'altération, la destruction ou les dommages. Les mesures de sécurité comprennent : chiffrement des données en transit via le protocole TLS (Transport Layer Security) version 1.3 ou supérieure pour toutes les communications entre le client et les serveurs Kinmu ; chiffrement des données au repos via l'algorithme AES-256 pour tous les enregistrements stockés dans les bases de données ; hachage irréversible via l'algorithme bcrypt pour le stockage des mots de passe, rendant impossible la récupération des mots de passe ; segmentation réseau via des pare-feu, l'accès aux données étant restreint aux systèmes autorisés ; authentification multifacteur optionnelle pour les utilisateurs, avec possibilité d’activer un second facteur via une application d’authentification ; contrôle d'accès basé sur les rôles (RBAC) limitant l’accès aux données au personnel autorisé de Kinmu ; audit des accès via un journal détaillé de toutes les opérations sur les données sensibles avec horodatage, utilisateur responsable et action effectuée ; réponse aux incidents de sécurité avec protocole d’escalade vers le responsable sécurité en temps réel.

Les cookies et jetons d'authentification sont transmis avec des attributs de sécurité : indicateur HttpOnly empêchant la lecture via JavaScript et éliminant les vecteurs d'attaque XSS ; indicateur Secure limitant la transmission aux connexions HTTPS chiffrées ; attribut SameSite empêchant l'envoi de cookies intersites et éliminant les vecteurs d'attaque CSRF ; expiration automatique des sessions après trente minutes d'inactivité ; renouvellement automatique des jetons JWT toutes les six heures.

L'accès administratif à l'infrastructure est protégé par une authentification à deux facteurs, rendant impossible l'accès avec une seule accréditation ; des hôtes bastions intermédiaires pour l'accès aux serveurs de base de données ; interdiction absolue de stocker les accréditations dans le code source ou la configuration de l'application ; audit de tous les accès administratifs.

7. NOTIFICATION DE VIOLATION DE DONNEES

Si Kinmu détecte une Violation de Données compromettant les données personnelles des utilisateurs, notamment un accès non autorisé, une divulgation accidentelle, une modification ou une destruction de données, Kinmu procédera conformément à l'article 33 du Règlement (UE) 2016/679. Kinmu notifiera l'Autorité de contrôle de la protection des données (Agence espagnole de protection des données - AEPD) dans les soixante-douze (72) heures suivant la détection de la violation. Kinmu fournira à l'AEPD : une description de la nature de la violation, une estimation du nombre de personnes concernées, une description des données compromises, les conséquences probables de la violation, les mesures prises pour contenir la violation et les mesures proposées pour atténuer l'impact.

Si la violation de sécurité présente un risque élevé pour les droits et libertés des utilisateurs (incluant risque de discrimination, préjudice financier, usurpation d'identité ou divulgation publique de données sensibles), Kinmu notifiera l'utilisateur concerné sans délai injustifié par e-mail à l'adresse enregistrée, dans un langage clair et compréhensible. La notification comprendra : une description de la nature de la violation, le type de données compromises, les mesures techniques adoptées pour le confinement, les mesures recommandées à l'utilisateur pour son autoprotection, et une référence de contact chez Kinmu pour des demandes supplémentaires (dpo@kinmu.app).

Kinmu conservera un registre documenté de toutes les violations de sécurité, même si elles ne nécessitent pas de notification en raison d'un faible risque, ce registre étant disponible pour examen par l'AEPD en cas d'enquête.

8. DROITS DES UTILISATEURS

Conformément aux articles 15 à 22 du Règlement (UE) 2016/679, l'utilisateur dispose des droits suivants concernant ses données personnelles :

Droit d'accès (Article 15) : l'utilisateur a le droit d'obtenir la confirmation que Kinmu traite ou non ses données personnelles, et le cas échéant, d'en recevoir une copie dans un format structuré, couramment utilisé et lisible par machine. Ce droit peut être exercé une fois par mois civil sans frais. Pour exercer le droit d'accès, l'utilisateur doit contacter dpo@kinmu.app en indiquant « Demande d'accès au titre de l'article 15 RGPD », et Kinmu fournira une copie complète des données dans un délai maximal de trente jours.

Droit de rectification (Article 16) : l'utilisateur a le droit de demander la correction de données inexactes ou incomplètes. L'utilisateur peut mettre à jour directement sur la plateforme les informations de profil (nom, adresse e-mail, photographie), avec effet immédiat. Les données d'enregistrement de présence ne sont pas rectifiables par l'utilisateur lui-même, mais par l'administrateur de l'entreprise cliente ou sur demande auprès du support Kinmu.

Droit à l'effacement (Article 17) : l'utilisateur a le droit de demander la suppression de ses données personnelles dans certaines circonstances, notamment lorsque les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, lorsque l'utilisateur retire son consentement sur lequel le traitement est fondé, ou lorsque le traitement est illicite. Toutefois, Kinmu peut conserver des données s'il existe une obligation légale de conservation (respect de la législation du travail) ou un intérêt légitime prépondérant (défense de droits en justice). L'utilisateur qui souhaite exercer le droit à l'effacement doit contacter dpo@kinmu.app, et Kinmu évaluera la demande et répondra dans un délai de trente jours.

Droit à la limitation du traitement (Article 18) : l'utilisateur a le droit de demander la limitation du traitement de ses données, celles-ci étant conservées mais non traitées à certaines fins. Cette demande est utile lorsque l'utilisateur conteste l'exactitude des données (limitation pendant l'enquête), lorsque l'utilisateur considère le traitement illicite mais s'oppose à la suppression, ou lorsqu'il exerce le droit d'opposition. Les données limitées ne seront traitées que pour la défense des droits juridiques de Kinmu, le respect d'une obligation légale, ou avec le consentement explicite de l'utilisateur.

Droit à la portabilité des données (Article 20) : l'utilisateur a le droit de recevoir ses données personnelles dans un format structuré (généralement JSON ou CSV) et de les transmettre à un autre responsable du traitement. Ce droit permet à l'utilisateur de changer de plateforme tout en conservant son historique. Pour exercer ce droit, l'utilisateur doit contacter dpo@kinmu.app en indiquant « Demande de portabilité au titre de l'article 20 RGPD », et Kinmu fournira les données dans un format électronique structuré dans un délai maximal de trente jours. Les données exportées incluent : le profil utilisateur, l'historique de présence, les demandes d'absence, la configuration d'équipe/departement, et les conversations de chat IA.

Droit d'opposition (Article 21) : l'utilisateur a le droit de s'opposer au traitement de ses données fondé sur l'intérêt légitime de Kinmu. Les oppositions spécifiques incluent : opposition au traitement pour la détection de fraude (avec le risque que des comportements frauduleux ne soient pas détectés), opposition à l'analyse des tendances d'utilisation pour l'amélioration technique de la plateforme, opposition aux communications commerciales ou marketing de Kinmu. Toutefois, l'utilisateur ne peut pas s'opposer aux traitements obligatoires par la loi.

Droit de ne pas faire l'objet d'une décision automatisée (Article 22) : l'utilisateur a le droit de ne pas être soumis à des décisions produisant des effets juridiques ou l'affectant de manière significative lorsque ces décisions sont fondées uniquement sur un traitement automatisé (y compris le profilage). Toutefois, Kinmu ne met actuellement pas en œuvre de décisions automatisées affectant l'utilisateur au-delà de recommandations techniques ; toutes les décisions de nature professionnelle (approbation des absences, mesures disciplinaires, modifications contractuelles) relèvent d'une personne physique représentant l'entreprise cliente.

Pour exercer l'un de ces droits, l'utilisateur doit contacter dpo@kinmu.app en fournissant une identification claire de la demande, les données personnelles concernées et le fondement du droit exercé. Kinmu répondra dans un délai maximal de trente jours. Si la demande est particulièrement complexe ou nécessite une vérification d'identité supplémentaire, Kinmu pourra prolonger le délai jusqu'à soixante jours avec communication justifiée.

9. DONNEES DES MINEURS

La plateforme Kinmu n'est pas conçue ni destinée aux personnes de moins de dix-huit (18) ans. Kinmu ne collecte pas sciemment de données personnelles d'utilisateurs mineurs. Dans le cas exceptionnel où un mineur accède à la plateforme, Kinmu requiert le consentement d'un parent ou tuteur légal pour tout traitement. Si Kinmu découvre que des données personnelles ont été collectées auprès d'un mineur sans le consentement requis, ces données seront supprimées immédiatement.

10. COMMUNICATIONS ET MARKETING

Kinmu utilisera les données e-mail de l'utilisateur pour envoyer des communications transactionnelles essentielles au fonctionnement du service, notamment : confirmation d'inscription au compte, récupération de mot de passe, notifications de changements de politique ou de conditions de service, avis de sécurité, notifications de suspension ou d'annulation de compte, et réponses aux demandes de support technique.

Kinmu n'utilise pas les données personnelles des utilisateurs à des fins de marketing, de publicité ou de communications commerciales proactives adressées individuellement. Kinmu ne vend, ne cède ni ne commercialise les données personnelles des utilisateurs à des tiers à des fins de marketing ou de publicité. Si Kinmu met en œuvre des communications marketing à l'avenir (bulletins d'information, mises à jour de produits, promotions), un consentement explicite et séparé sera requis avant tout envoi, et l'utilisateur pourra se désinscrire à tout moment via le lien inclus dans chaque communication ou en contactant dpo@kinmu.app.

11. CONSENTEMENT POUR LE CHAT D'INTELLIGENCE ARTIFICIELLE

L'utilisation de la fonctionnalité de chat d'intelligence artificielle est optionnelle et requiert un consentement explicite et séparé de l'utilisateur, distinct du consentement général à l'utilisation de la plateforme. L'utilisateur sera expressément informé avant d'activer le chat IA que : (i) les conversations seront traitées par un tiers spécialisé (Mistral AI) dans le cadre d'un accord de traitement des données ; (ii) Mistral AI n'utilise pas les données de conversation pour entraîner ses modèles ; (iii) les conversations sont privées et non accessibles à un manager ou administrateur d'entreprise ; (iv) les réponses du chat sont indicatives et ne constituent pas une garantie d'exactitude légale ou professionnelle ; (v) l'utilisateur peut retirer son consentement en désactivant la fonctionnalité à tout moment sans pénalité.

Les données de conversation sont conservées pendant six mois, puis supprimées automatiquement. L'utilisateur peut demander une suppression immédiate en contactant dpo@kinmu.app.

12. MODIFICATIONS DE CETTE POLITIQUE

Kinmu se réserve le droit de modifier la présente Politique de confidentialité à tout moment afin de s’adapter aux changements législatifs, aux nouvelles pratiques de sécurité, à l’implémentation de nouvelles fonctionnalités ou aux changements d’architecture technique. Les modifications substantielles seront communiquées par e-mail au moins trente (30) jours à l'avance, et l'utilisateur pourra résilier son abonnement pendant la période de préavis sans pénalité s'il n'accepte pas les modifications.

La version en vigueur sera toujours accessible à l'adresse https://kinmu.app/fr/confidentialite. La poursuite de l'utilisation de la plateforme après la date d'entrée en vigueur des modifications vaut acceptation de ces modifications.

13. JURIDICTION ET AUTORITES DE CONTROLE

La présente Politique de confidentialité est régie par le droit espagnol et européen en matière de protection des données, l'autorité de contrôle compétente étant l'Agence espagnole de protection des données (AEPD). L'utilisateur a le droit de déposer une plainte auprès de l'AEPD s'il estime que le traitement de ses données par Kinmu viole la loi applicable ; les plaintes peuvent être soumises à l'adresse : www.aepd.es ou par courrier à : C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Spain
CIF: B24996803
https://kinmu.app