Accueil

>

Politique de sécurité et de confidentialité

Politique de sécurité et de confidentialité

Effective au 4 avril 2025

Chez Koncile, la protection de vos données personnelles et la sécurité de notre infrastructure sont au cœur de nos engagements. Nous mettons en œuvre des standards techniques et organisationnels élevés pour garantir la confidentialité, l’intégrité et la disponibilité des informations traitées sur notre plateforme.

Notre politique de sécurité ci-dessous détaille l’ensemble des mesures mises en place pour prévenir tout accès non autorisé, perte ou altération des données, en nous appuyant sur des technologies éprouvées, des protocoles stricts, et une culture de la sécurité partagée par toute l’équipe.

Dans le même temps, notre politique de confidentialité et RGPD assure une utilisation responsable des données personnelles, dans le respect du Règlement Général sur la Protection des Données (RGPD) et de la législation française applicable. Nous veillons notamment à ne collecter que les données strictement nécessaires, à en limiter l’usage à des finalités légitimes, et à offrir à chaque Utilisateur, Client ou Visiteur un contrôle effectif sur ses droits.

Cette politique a pour objectif de vous informer avec transparence sur nos pratiques, nos obligations et vos droits, que vous soyez Client, Utilisateur de nos Services ou Visiteur de notre site internet public.

Les termes commençant par une majuscule et non définis dans la présente politique de sécurité et de confidentialité ont le sens qui leur est attribué dans les documents contractuels applicables, à savoir le Contrat d'Abonnement et les Conditions Générales d’Utilisation.

Politique de sécurité des données

Cette liste pourra être amendée par Koncile à tout moment sous réserve que ces modifications ne réduisent pas substantiellement le niveau de sécurité prévu dans ce document. Toute modification fera l’objet d’une information des clients et testeurs du service.

I. Mesures de sécurité techniques

Authentification

  • Identifiant unique par utilisateur de mots de passe (notamment : authentification forte, limitation du nombre à 5 tentatives d’accès puis blocage, renouvellement périodique des mots de passe, stockage sécurisé des mots de passe)
  • Double authentification (2FA)
  • Journalisation des accès, des anomalies et des évènements liés à la sécurité
  • Authentification web encryptée (JWT tokens encrypté en sha-256 avec une clef secrete)

Enregistrement des accès et gestion des incidents

  • Protection des équipements de journalisation contre les accès non autorisés
  • Conservation des logs pendant 12 mois
  • Examen périodique des journaux d’évènements
  • Élaboration d’un plan de réponse aux incidents détaillé, incluant des procédures pour divers scénarios
  • Formation régulière du personnel sur les procédures de réponse aux incidents
  • Accès différenciés aux données par le personnel autorisé, tel que strictement nécessaire pour le développement ou la maintenance, en interne via une authentification 2FA
  • Accès aux données réservé avec justification appropriée

Résilience, sauvegarde et disponibilité des données

  • Réplication des données sur deux nœuds pour les bases de données et deux nœuds pour le stockage AWS
  • Hébergement des nœuds sur un datacenter spécifique
  • Capacité de basculement (failover) automatique des serveurs
  • Sauvegardes effectuées toutes les semaines
  • Processus de récupération vérifié toutes les semaines
  • Cryptage HTTPS des sauvegardes lors de leur transfert
  • Réplication des sauvegardes avec protection des accès par le système de gestion des droits AWS

Hébergement & réseau

  • Hébergement assuré par Amazon Web Services dans des serveurs localisés en UE, certifiés ISO 27001 et SOC 2
  • Transmission entre le serveur et des tiers cryptés en HTTPS de bout en bout
  • Division fonctionnelle du réseau Koncile en sous réseaux en vue d'assurer la sécurité : séparation des environnements de test et de production
  • Back-office Koncile isolé d'Internet à l'exception d'un seul point d'entrée proxy
  • Synchronisation des serveurs par un serveur AWS
  • Cloisonnement des sites web et réseaux wifi (HTTPS, TLS)
  • Accès limités aux outils et interfaces d’administration
  • Réalisation des mises à jour critiques sans délai

Sécurité des données et des flux

  • Outil de détection des pièces jointes malveillantes
  • Chiffrement des données (hachage, protection des clés secrètes…)
  • Système de détection d’intrusion (IDS) pour surveiller le trafic réseau et détecter les activités anormales ou suspectes en temps réel
  • Encryptage des données hébergées
  • Transfert de données en TLS/SSL avec HSTS et en mode de confidentialité de transmission parfaite

Sécurité physique des locaux et lieux de stockage des données

  • Alarme anti-intrusion
  • Vidéosurveillance 24/7
  • Contrôle des accès (badges, portes et armoire fermées à clé, conservation des accès physiques pendant 45 jours)
  • Supervision des visiteurs

Programme de sécurité collaborative

Koncile autorise la recherche de vulnérabilités de manière responsable et encadrée, à condition qu’elle ne compromette ni la disponibilité des services, ni l’intégrité ou la confidentialité des données. Toute tentative doit exclure l’ingénierie sociale, l’exploitation de données réelles, les attaques de type DDoS ou tout test sur des tiers. Les failles peuvent être signalées à contact@koncile.ai, accompagnées d’une description précise et d’un moyen de reproduction. Koncile s’engage à accuser réception sous 72h et à traiter le signalement avec sérieux, en concertation avec le chercheur, dans un esprit de collaboration constructive.

Périmètre autorisé : Site web public de Koncile (https://www.koncile.ai/), l’API publique (https://api.koncile.ai/), l’application (https://app.koncile.ai/) et la documentation (https://docs.koncile.ai/). Des identifiants de test ou une clé API peuvent être fournis via l’application.

II. Sécurité organisationnelle

Personnel

  • Vérification du background des candidats en application de la réglementation
  • Obligations de confidentialité et charte informatique
  • Formations sécurité obligatoires pour les salariés
  • Gestion des habilitations
  • Définition des profils d’habilitation
  • Suppression des habilitations non pertinentes
  • Sensibilisation du personnel et confidentialité des données
  • Sensibilisation du personnel aux risques liés aux libertés et à la vie privée
  • Engagement de confidentialité du personnel
  • Canal de signalement anonyme disponible pour remonter des comportements inappropriés ou des violations présumées

Continuité des Services

  • Procédure pour les événements de sécurité
  • Transmission des événements de sécurité à une personne dédiée (CTO), et à une seconde personne (« techlead ») en cas de carence du CTO
  • Analyse de l'événement par un membre de l'équipe d'urgence
  • Examen approfondi par l'équipe de maintenance, les services concernés et notamment le service juridique et communication
  • Automatisation des mises à jour de sécurité pour garantir l’application rapide des correctifs
  • Tests de restauration à partir de sauvegardes pour s’assurer de leur efficacité en cas de sinistre

Ressources numériques

  • Politique de sécurité des appareils centralisée (inventaire, verrouillage automatique, complexité des mots de passe, pare-feu, restrictions d'installation, mise à jour automatique)
  • Politique centralisée d'outils autorisés à traiter les données par type et classification
  • Accès au code-source contrôlé
  • Vérification des modifications par les pairs
  • Droits d'accès centralisés sur tous les logiciels SaaS
  • En cas de sous-traitance : vérification de la sécurité et de la conformité

Audits

  • Audits par AWS Cloudtrail pour évaluer la sécurité de l'application Koncile et de ses infrastructures
  • Mise en place d’un comité de conformité pour surveiller en permanence les obligations réglementaires

Politique de confidentialité et RGPD

Lorsque vous interagissez avec Koncile dans le cadre de l’accès à nos Services, ou en tant que visiteur, c’est-à-dire une personne consultant les sites publics de Koncile, à savoir https://www.koncile.ai et ses sous-domaines (ci-après, les « Visiteurs »), certaines de vos données personnelles peuvent être traitées par Koncile.

La présente politique de confidentialité a pour objectif d’informer, lorsque Koncile agit en tant que responsable de traitement, sur les traitements de données qu’elle met en œuvre, tant pour les Clients et Clients potentiels dans le cadre de l’utilisation des Services, que pour les Visiteurs lors de la navigation sur nos sites publics.

Collecte, traitement et stockage des données personnelles

Koncile s’engage à protéger la confidentialité de ses Clients, Utilisateurs et Visiteurs, et à utiliser leurs données personnelles conformément au Règlement (UE) 2016/679 (le « RGPD ») et à la loi française n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés (ensemble, les « Réglementations Applicables »).

Koncile ne vend en aucun cas les données personnelles et ne les partage qu’avec des tiers agissant pour son compte, dans le seul but de permettre la fourniture de ses Services, conformément aux Réglementations Applicables.

Catégories de données personnelles collectées

Koncile peut être amené à traiter les catégories suivantes de données personnelles :

  • Données de visite du site internet public : les adresses de protocole Internet (IP), la région ou la localisation générale depuis laquelle votre ordinateur ou appareil accède à Internet, le type de navigateur, le système d’exploitation, ainsi que d’autres données relatives à l’utilisation du site, notamment l’historique des pages consultées.
  • Données d’identification : nom, prénom, adresse e-mail professionnelle, numéro de téléphone, identifiant et mot de passe utilisateur.
  • Données de connexion : adresse IP, journaux de connexion, horodatage, API utilisée.
  • Données de facturation : informations de paiement stockées par Koncile ou un prestataire de paiement (Stripe)

Désignation d’un délégué à la protection des données personnelles et sous-traitance

Afin de garantir la conformité de l’entreprise aux exigences des Règlementations Applicables et de veiller à la protection effective des données personnelles, un délégué à la protection des données (DPO) est désigné. Ce dernier agit en toute indépendance, conseille la direction et les équipes sur les obligations réglementaires, contrôle le respect du RGPD au sein de l’organisation, et sert de point de contact avec les autorités de contrôle. Il est également chargé de traiter les demandes des personnes concernées relatives à leurs droits.

Koncile peut partager les données personnelles avec des sous-traitants techniques, strictement dans la mesure nécessaire à la fourniture des Services. Koncile s’engage à ne collaborer qu’avec des sous-traitants ultérieurs qui présentent des garanties suffisantes en matière de sécurité et de conformité aux Règlementations Applicables. Ces sous-traitants doivent démontrer leur capacité à mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité et la confidentialité des données personnelles. En outre, toutes les données traitées doivent être stockées exclusivement en Union Européenne.

Conformément à l’article 28 du RGPD, un contrat de sous-traitance est systématiquement conclu avec chaque sous-traitant ultérieur. Ce contrat précise l’objet et la durée du traitement, la nature et la finalité des traitements, les catégories de données concernées ainsi que les obligations du sous-traitant en matière de confidentialité, de sécurité, de notification des violations de données, d’assistance à l’exécution des droits des personnes concernées et de suppression ou restitution des données à la fin de la prestation.

Avant toute acquisition ou mise en service de nouveaux équipements informatiques ou composants du système d’information, une procédure de vérification est réalisée afin d’évaluer leur conformité aux exigences réglementaires (notamment en matière de protection des données personnelles) ainsi que leur niveau de sécurité. Cette évaluation inclut, le cas échéant, une analyse d’impact relative à la protection des données (DPIA), ainsi qu’un audit de sécurité technique et organisationnelle. Aucun équipement ne peut être intégré au système d’information sans validation préalable.

Chaque contrat conclu avec un tiers – qu’il s’agisse d’un prestataire, d’un sous-traitant ou d’un partenaire – contient une clause spécifique relative à la sécurité des données. Cette clause précise les obligations en matière de confidentialité, les mesures à mettre en œuvre pour garantir la sécurité des informations, ainsi que les modalités d’intervention en cas d’incident ou de violation de données. Le cadre contractuel prévoit également une obligation d’information rapide, une coopération en cas d’enquête ou d’audit, et, le cas échéant, une répartition des responsabilités.

Finalités et bases légales du traitement

Koncile traite les données personnelles collectées via le site public ou dans le cadre de la fourniture des Services, en tant que responsable de traitement, aux fins suivantes :

  • Amélioration de la conception du site internet public, diagnostic des problèmes sur notre serveur, analyser des tendances, suivi les déplacements des Visiteurs et compréhension des préférences des utilisateurs.
  • Gestion des demandes de contact et démonstrations des Services sur la base de mesures pré-contractuelles.
  • Création de Comptes d'Utilisateur et gestion de l’accès sécurisé aux Services dans le cadre de l’exécution d'un Contrat d'Abonnement.
  • Facturation et gestion des abonnements, conformément à l’exécution du Contrat d'Abonnement
  • Maintenance technique et gestion des interruptions de service, fondées sur l’intérêt légitime de Koncile d’assurer la continuité de ses Services.
  • Envoi de communications marketing et de prospection (y compris newsletters), fondé sur notre intérêt légitime à promouvoir ses Services.

Si les données personnelles nécessaires à l’exécution de l’accord ne sont pas fournies, Koncile ne sera pas en mesure de remplir ses obligations contractuelles.

Durée de conservation des données

Koncile conserve les données personnelles selon les périodes suivantes :

  • Les données d’identification sont conservées pendant la durée de la relation contractuelle, et jusqu’à trois (3) ans après la fin de celle-ci pour des finalités de prospection commerciale.
  • Les données de connexion sont conservées pendant une durée maximale de 12 mois à des fins de sécurité et de maintenance.
  • Les données de facturation sont conservées pendant la durée de l’abonnement et les périodes de prescription légales applicables.

Droits des personnes concernées

Conformément aux Réglementations Applicables, les Utilisateurs disposent des droits suivants :

  • Droit d’accès, de rectification et d’effacement de leurs données personnelles ;
  • Droit à la limitation du traitement ou d’opposition au traitement ;
  • Droit à la portabilité des Données ;
  • Droit de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs données personnelles après leur décès. 

Les Utilisateurs peuvent également retirer leur consentement à tout moment, en envoyant une demande à dpo@koncile.ai. En cas de suppression d’un Compte d'Utilisateur, Koncile peut conserver certaines données personnelles pour respecter ses obligations légales.

Si vous estimez que vos droits ne sont pas respectés, vous avez la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente (en France, la CNIL).

Modifications de la politique de confidentialité

Koncile se réserve le droit de modifier cette politique de confidentialité pour se conformer aux évolutions légales ou techniques. Nous pouvons vous notifier de tout changement substantiel de cette politique de confidentialité, avant la date effective des changements, en vous envoyant un email ou par tout autre moyen raisonnablement visible et accessible.

Par conséquent, nous vous recommandons de lire régulièrement cette politique de confidentialité.

Solution

Koncile Extract

Koncile Control

Modèles d'extraction

Documentation

Blog

Documentation

Comparatif des OCR

Tout savoir sur l'OCR

Identité

Document d'identité

Permis de conduire

Justificatif de domicile

Achats

Facture

Devis

Reçu

Transport & Logistique

Facture transport routier

Facture transport maritime

Facture transport express

Immobilier

Quittance de loyer

Juridique

Bail d'habitation

Finance & Comptabilité

RIB

Relevé de compte

A propos

Politique de sécurité et confidentialité

Mentions légales

Conditions générales

Statut

96 bis Boulevard Raspail,
Paris, 75006, France

contact@koncile.ai

+33 9 75 86 62 90

Logo Entrepreneur First en noir et blanc.Logo de la French Tech en noir et blanc.Logo de Bpifrance en noir et blanc.Logo Agoranov en noir et blanc.

@2025