Kaléo.

Politique de confidentialité.

Version : brouillon 2026-05-17 · À valider par avocat NC avant lancement public.

1. Responsable du traitement

Kaléo SAS, RIDET [À COMPLÉTER], siège social [À COMPLÉTER]. Le directeur de la publication est [À COMPLÉTER].

2. Données collectées

Dans le cadre de l'utilisation de la Plateforme, Kaléo collecte :

  • Pour le Pro : nom, prénom, téléphone, email, dénomination sociale, RIDET, adresse, régime fiscal, IBAN/BIC (chiffrés AES-256-GCM), credentials epaync (chiffrés).
  • Pour ses clients : nom, type (B2C/B2B), RIDET si B2B, téléphone, email, adresse — saisis par le Pro.
  • Pour les signatures : nom du signataire, téléphone, IP, userAgent, géolocalisation IP approximative (ville/pays).
  • Logs techniques : sessions et accès aux pages (durées de conservation précisées au point 6). Les transactions de paiement, en tant que pièces comptables, sont conservées selon l'obligation légale (voir point 6).

3. Finalités

  • Fourniture du service (création devis/factures, signature, paiement).
  • Facturation et tenue de la comptabilité (obligation légale 6 ans).
  • Conformité avec les obligations comptables et fiscales NC.
  • Communication transactionnelle (envoi de devis/factures, relances).

Aucune utilisation à des fins de prospection commerciale sans consentement explicite. Aucun cookie de tracking publicitaire.

4. Sécurité

  • IBAN et credentials epaync chiffrés en base via AES-256-GCM avec une clé `ENCRYPTION_KEY` détenue uniquement par l'Éditeur.
  • OTP SMS hashés bcrypt (saltRounds 10), validité 10 minutes, 3 tentatives max.
  • Sessions cookies httpOnly Same-Site=Lax, 30 jours.
  • Headers de sécurité strict (CSP, HSTS, X-Frame-Options DENY).
  • Backup quotidien chiffré, conservé 6 ans (Vultr Object Storage).

5. Sous-traitants

  • Vultr Holdings Corp. (Matawan, NJ, USA) — hébergement serveurs et stockage objet, région SGP1 Singapour.
  • Resend Inc. (San Francisco, CA, USA) — envoi d'emails transactionnels.
  • Prestataire SMS local (Nouvelle-Calédonie, raccordé OPT) — envoi de SMS (OTP, relances), une fois activé. Aucun envoi SMS via un tiers n'est actif à ce jour.
  • epaync (Nouméa, NC) — encaissement de paiements carte bancaire calédonienne.
  • Sentry, Inc. — collecte d'erreurs serveur (sans PII).
  • Plausible Insights OÜ (Estonie) — analytics web sans cookie ni tracking individuel.

6. Conservation

Les données de facturation (devis, factures, signatures, transactions) sont conservées 6 ans conformément à l'obligation comptable calédonienne, y compris après résiliation du compte. Les données de session et logs techniques sont conservés 12 mois.

7. Droits du Pro et de ses clients

Conformément à la loi n° 78-17 « Informatique et Libertés » telle qu'applicable en Nouvelle-Calédonie (sous le contrôle de la CNIL), le Pro et ses clients disposent des droits suivants : accès, rectification, opposition au traitement, portabilité et effacement, sous réserve des données que l'Éditeur doit conserver au titre de ses obligations comptables et fiscales. Chacun peut également introduire une réclamation auprès de la CNIL.

Pour exercer ces droits : contact@kaleo.nc.

8. Mises à jour

Cette politique peut évoluer. Les utilisateurs seront informés par email au moins 30 jours avant toute modification substantielle.