Politique de confidentialité

Le responsable du traitement des données personnelles collectées via le service Projeko (https://projeko.ai) est :

The Kreators AI — coordonnées complètes à retrouver dans les mentions légales.

Contact pour toute question relative à la protection des données : rgpd@projecko.fr.

Nous collectons les données suivantes :

• Données d'identification : nom, prénom, email professionnel, mot de passe (haché), photo de profil. Finalité : gestion du compte, authentification. Base légale : exécution du contrat.
• Données d'entreprise : raison sociale, SIRET, adresse, numéro de TVA, IBAN/BIC. Finalité : génération des devis, factures, suivi commercial. Base légale : exécution du contrat.
• Données métier : clients, chantiers, devis, factures, planning, photos de chantier, messages. Finalité : fourniture du Service. Base légale : exécution du contrat.
• Données de paiement : traitées exclusivement par notre prestataire Stripe ; aucune donnée de carte bancaire n'est stockée par Projeko. Base légale : exécution du contrat.
• Données de connexion et techniques : adresse IP, user-agent, journaux d'activité, timestamps. Finalité : sécurité, prévention de la fraude, mesure d'audience. Base légale : intérêt légitime (sécurité du Service).
• Cookies et traceurs : voir l'article 7 ci-dessous.

Vos données sont accessibles uniquement aux personnes autorisées au sein de The Kreators AI et à nos sous-traitants techniques, tous soumis à des obligations contractuelles strictes :

• Vercel Inc. (USA, hébergement applicatif en Europe / Francfort) — hébergement du site et des fonctions serverless.
• Supabase Inc. (Singapour, base de données en Europe / Francfort) — base de données PostgreSQL et stockage de fichiers.
• Stripe Payments Europe, Ltd. (Irlande) — traitement des paiements par carte bancaire.
• Resend, Inc. (USA) — envoi des emails transactionnels (lien magique, notifications).
• Anthropic PBC (USA) — assistance à la rédaction de devis par IA (Claude). Les prompts envoyés sont anonymisés : aucune donnée permettant d'identifier vos clients n'est transmise.
• Sentry (USA, région UE disponible) — collecte d'erreurs applicatives. Les données personnelles sont scrubbed (anonymisées) avant transmission.
• PostHog (UE, Francfort) — mesure d'audience anonyme. Activé uniquement après votre consentement explicite (voir bandeau cookies).

Certains de nos sous-traitants sont établis hors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, et le cas échéant par l'adhésion de notre sous-traitant au Data Privacy Framework (DPF) UE-USA.

• Compte actif : données conservées tant que le compte est actif.
• Après résiliation : données conservées 90 jours pour permettre une réactivation, puis supprimées définitivement (sauf obligations légales — voir ci-dessous).
• Factures et documents comptables : conservés 10 ans (article L.123-22 du Code de commerce).
• Journaux de sécurité : 12 mois.
• Cookies et traceurs : 13 mois maximum (recommandation CNIL).

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données :

• Droit d'accès (art. 15) — obtenir une copie de vos données.
• Droit de rectification (art. 16) — corriger une information inexacte.
• Droit à l'effacement (art. 17) — « droit à l'oubli » dans les limites légales.
• Droit à la limitation (art. 18) — geler le traitement.
• Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré (JSON).
• Droit d'opposition (art. 21) — notamment pour les traitements fondés sur l'intérêt légitime.
• Droit de définir vos directives post-mortem (art. 85 LIL).

Les droits d'accès, de rectification, d'effacement et de portabilité peuvent être exercés directement depuis l'espace « Réglages → Mes données » de votre compte. Vous pouvez également nous écrire à rgpd@projecko.fr (réponse sous 30 jours).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL.

Nous utilisons trois catégories de cookies :

• Cookies strictement nécessaires (toujours actifs) : session d'authentification, préférence cookies. Sans eux, le Service ne peut pas fonctionner.
• Cookies d'analyse (Sentry, PostHog) — activés uniquement après votre consentement explicite.
• Cookies marketing (à venir) — activés uniquement après votre consentement explicite.

Vous pouvez à tout moment modifier vos choix via le bandeau cookies (réaffiché en bas de page) ou en supprimant les cookies de votre navigateur.

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS de bout en bout, hachage des mots de passe (bcrypt 12 rounds), authentification à deux facteurs disponible, journalisation des accès, sauvegardes chiffrées, isolation multi-tenant.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous informerons sans délai conformément à l'article 34 du RGPD.

La présente politique peut être mise à jour à tout moment pour tenir compte des évolutions légales ou techniques. La date de dernière mise à jour figure en haut du présent document. En cas de modification substantielle, vous serez informés par email au moins 15 jours avant l'entrée en vigueur.