Politique de Confidentialité
Version 1.0 — Applicable à compter du 14 avril 2026
PRÉAMBULE
La société ZAODIS (SARL au capital de 1 €, SIRET 10093032000013, 9 Loti de l'Air, 34230 Adissan), éditrice du service IKauto (ci-après « IKauto »), attache une importance primordiale à la protection des données personnelles de ses utilisateurs.
La présente Politique de Confidentialité est établie conformément :
- Au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »), notamment ses articles 13, 14, 15 à 22 ;
- À la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « LIL »).
ARTICLE 1 — RESPONSABLE DE TRAITEMENT
ZAODIS
SARL au capital de 1 €
SIRET : 10093032000013
Siège social : 9 Loti de l'Air, 34230 Adissan
Email de contact RGPD : bonjour@ikauto.io
Site : ikauto.io
Toute demande relative à vos données personnelles doit être adressée à : bonjour@ikauto.io (objet : « RGPD – [Nature de la demande] »).
ARTICLE 2 — DONNÉES COLLECTÉES ET FINALITÉS
IKauto collecte et traite les catégories de données suivantes, selon les finalités et bases légales précisées ci-après.
2.1 Tableau des traitements
| Catégorie | Données traitées | Finalité | Base légale RGPD (art. 6) | Durée de conservation |
|---|---|---|---|---|
| Données d'identification | Email, numéro WhatsApp | Création et gestion du compte, communication | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 5 ans (prescription de droit commun, art. 2224 Code civil) |
| Données de localisation / domicile | Adresse domicile | Calcul des distances IK (point de départ) | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 1 an |
| Données techniques du véhicule | Puissance fiscale (CV) | Application du barème URSSAF | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 1 an |
| Données kilométriques | Trajets (origine/destination/distance) | Calcul IK, génération notes de frais | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 3 ans (délai de reprise de l'administration fiscale — art. L. 169 LPF) |
| Photos / contenu OCR | Photos tickets, cartes de visite | Extraction automatique des données (OCR) | Exécution du contrat (art. 6.1.b) | 72 heures maximum après traitement, puis suppression automatique |
| Données de facturation | Identifiant Stripe, historique paiements | Gestion des abonnements et facturation | Obligation légale (art. 6.1.c) — art. L. 123-22 C. com. | 10 ans (obligation comptable) |
| Données de connexion | Logs n8n (horodatages, actions) | Débogage, sécurité du service | Intérêt légitime (art. 6.1.f) — sécurité de l'infrastructure | 90 jours glissants |
| Données Google Sheet / Calendar | Notes de frais, événements agenda | Stockage et mise à disposition au Client | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 30 jours (export possible) |
2.2 Absence de traitement de catégories particulières
IKauto ne collecte pas et ne traite pas de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, données biométriques, etc.).
2.3 Données de mineurs
Le service IKauto est exclusivement destiné aux professionnels. IKauto ne collecte pas sciemment de données relatives à des mineurs.
2.4 Données de tiers apparaissant dans les photos OCR
Les photos transmises par le Client (tickets de caisse, cartes de visite) peuvent contenir des données personnelles de tiers (noms, adresses, numéros de téléphone de contacts professionnels, coordonnées de commerçants).
Base légale : Ces données sont traitées par IKauto sur le fondement de l'intérêt légitime d'IKauto et de son Client (art. 6.1.f RGPD) à permettre l'archivage automatisé des dépenses et contacts professionnels. Conformément à l'article 14.5.b du RGPD, l'obligation d'information des personnes tierces ne s'applique pas dès lors qu'elle s'avèrerait impossible ou exigerait des efforts disproportionnés, ce qui est le cas pour des données extraites ponctuellement de photos de tickets et cartes de visite.
La balance des intérêts est assurée par les mesures suivantes :
- Minimisation temporelle : les photos sont supprimées automatiquement sous 72 heures après traitement OCR ;
- Minimisation des données : seules les informations pertinentes (nom, adresse, montant) sont extraites et stockées dans le Google Sheet du Client ;
- Absence de réutilisation : IKauto ne réutilise, ne revend et ne transmet jamais les données de tiers à quelque fin que ce soit ;
- Pas de profilage : aucune base de données de contacts tiers n'est constituée par IKauto.
Le Client est responsable de s'assurer que l'utilisation qu'il fait des données de tiers extraites est conforme au RGPD et aux obligations de loyauté envers les personnes concernées.
ARTICLE 3 — DESTINATAIRES ET SOUS-TRAITANTS
IKauto fait appel aux sous-traitants et destinataires suivants, liés par des accords de traitement des données (DPA) conformes à l'article 28 du RGPD :
3.1 Sous-traitants principaux
| Sous-traitant | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Hostinger International Ltd | Hébergement infrastructure n8n (VPS) | Europe (Lituanie — datacenter Kaunas) | Conforme RGPD — DPA disponible |
| Supabase Inc. | Base de données PostgreSQL (config clients) | eu-west-3 (Paris, France) | Conforme RGPD — DPA disponible — projet configuré en région UE |
| Google LLC (Google Workspace) | Google Sheets, Google Calendar, Google Maps API | UE (données configurées en région EU) | Clauses Contractuelles Types (CCT) — conforme Décision d'adéquation UE-USA |
| OpenAI, Inc. | OCR / Vision API (analyse de photos) | États-Unis | Accord de traitement des données (DPA) — CCT — politique Zero Data Retention disponible pour l'API |
| Twilio Inc. (WhatsApp Business Platform) | Routage et délivrance des messages WhatsApp | États-Unis + UE | DPA Twilio — CCT — conformité RGPD déclarée |
| Stripe, Inc. | Traitement des paiements | États-Unis + UE | Conforme PCI DSS niveau 1 — DPA — CCT — certifié Data Privacy Framework |
| Meta Platforms Ireland Ltd | Infrastructure WhatsApp (sous-jacente) | UE (Irlande) — siège européen | Conforme RGPD — DPA Meta |
| Vercel, Inc. | Hébergement site vitrine ikauto.io | États-Unis | Clauses Contractuelles Types (CCT) + Data Privacy Framework |
3.2 Transferts hors Union européenne
Certains sous-traitants (OpenAI, Twilio, Stripe, Google) traitent des données hors de l'Union européenne. Ces transferts sont encadrés par :
a) Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), signées avec chaque sous-traitant concerné ;
b) Data Privacy Framework UE-États-Unis : Stripe et Google sont certifiés au titre du Data Privacy Framework, cadre d'adéquation reconnu par la Décision d'adéquation de la Commission européenne du 10 juillet 2023.
c) Mesures techniques supplémentaires : minimisation des données transmises à chaque sous-traitant, notamment politique de suppression des photos OCR sous 72 heures.
ARTICLE 4 — DROITS DES PERSONNES
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
| Droit | Description | Délai de réponse |
|---|---|---|
| Droit d'accès (art. 15 RGPD) | Obtenir une copie de vos données et informations sur leur traitement | 1 mois (prorogeable à 3 mois si complexité) |
| Droit de rectification (art. 16 RGPD) | Corriger vos données inexactes ou incomplètes | 1 mois |
| Droit à l'effacement (art. 17 RGPD) | Demander la suppression de vos données (sous conditions légales) | 1 mois |
| Droit à la limitation (art. 18 RGPD) | Restreindre temporairement le traitement de vos données | 1 mois |
| Droit à la portabilité (art. 20 RGPD) | Recevoir vos données dans un format structuré et lisible par machine | 1 mois |
| Droit d'opposition (art. 21 RGPD) | Vous opposer au traitement basé sur l'intérêt légitime | Immédiat (traitement suspendu) |
| Droit de retrait du consentement (art. 7 RGPD) | Retirer votre consentement à tout moment (si applicable) | Immédiat |
4.1 Procédure d'exercice des droits
Pour exercer l'un de ces droits :
- Adressez votre demande par email à bonjour@ikauto.io (objet : « RGPD – [Type de demande] ») ;
- Joignez une copie de votre pièce d'identité pour permettre la vérification de votre identité ;
- IKauto accusera réception et répondra dans le délai légal applicable.
4.2 Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous disposez du droit de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Tél : +33 (0)1 53 73 22 22
www.cnil.fr
ARTICLE 5 — DURÉES DE CONSERVATION JUSTIFIÉES
5.1 Principe de minimisation temporelle
Conformément au principe de limitation de la conservation (art. 5.1.e RGPD), IKauto ne conserve les données que le temps strictement nécessaire à leurs finalités :
- Photos transmises pour OCR : supprimées automatiquement sous 72 heures après traitement. Cette durée minimale est justifiée par la nécessité d'un traitement en file d'attente et de la possibilité de relancer l'analyse en cas d'erreur technique.
- Données kilométriques : conservées 3 ans correspondant au délai de contrôle fiscal (délai de reprise de l'administration fiscale en matière de BIC/BNC — art. L. 169 du Livre des Procédures Fiscales).
- Données de facturation : conservées 10 ans conformément à l'obligation comptable (art. L. 123-22 du Code de commerce).
- Données de configuration (email, adresse, CV) : conservées pendant la durée de l'abonnement, puis 5 ans au titre de la prescription de droit commun (art. 2224 du Code civil) pour permettre la gestion des litiges éventuels.
Après résiliation, les données d'identification (email, identifiant WhatsApp) sont archivées en base restreinte pendant 5 ans (prescription de droit commun, art. 2224 Code civil), accessibles uniquement pour la gestion des litiges. L'adresse domicile et la puissance fiscale sont supprimées dans les 30 jours suivant la résiliation.
5.2 Suppression effective
À l'expiration des délais de conservation, les données sont supprimées ou anonymisées de manière irréversible dans les systèmes d'IKauto et de ses sous-traitants.
ARTICLE 6 — SÉCURITÉ DES DONNÉES
IKauto met en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD, notamment :
- Chiffrement des données en transit : HTTPS/TLS pour toutes les communications ;
- Isolation multi-tenant : les données de chaque client sont strictement isolées (clé primaire
user_idWhatsApp dans Supabase, Google Sheet et Calendar dédiés par client) ; - Accès restreints : les credentials et clés API sont stockés dans les variables d'environnement chiffrées de l'infrastructure n8n, avec rotation périodique ;
- Row Level Security (RLS) activée sur la table Supabase pour prévenir les accès inter-clients ;
- Sauvegarde de la base Supabase quotidienne (selon les niveaux de service Supabase).
ARTICLE 7 — VIOLATION DE DONNÉES PERSONNELLES
Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, IKauto :
- Notifiera la CNIL dans les 72 heures suivant la détection de l'incident ;
- Informera les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD) ;
- Documentera l'incident dans un registre interne des violations.
Pour signaler un incident de sécurité, utilisez le formulaire de contact disponible sur ikauto.io.
ARTICLE 8 — COOKIES ET TECHNOLOGIES SIMILAIRES
À la date de mise en ligne du présent document, le site ikauto.io n'utilise que des cookies strictement nécessaires au fonctionnement technique. Si le site évolue et intègre des services tiers susceptibles de déposer des cookies non essentiels, une bannière de consentement conforme sera mise en place. Le consentement aux cookies peut être géré via la bannière présente sur le site.
ARTICLE 9 — DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
Compte tenu de la taille et du volume de traitements d'IKauto, la désignation d'un DPO n'est pas obligatoire au sens de l'article 37 du RGPD. Le responsable des questions RGPD est joignable à l'adresse bonjour@ikauto.io.
ARTICLE 9 BIS — REGISTRE DES ACTIVITÉS DE TRAITEMENT
Conformément à l'article 30 du RGPD, IKauto tient un registre interne des activités de traitement. Ce registre est tenu en interne et peut être communiqué à la CNIL sur demande dans le cadre de ses pouvoirs de contrôle.
ARTICLE 10 — MISE À JOUR DE LA POLITIQUE
IKauto se réserve le droit de modifier la présente Politique de Confidentialité pour refléter les évolutions légales, réglementaires ou techniques. Toute modification substantielle sera notifiée au Client par email avec un préavis de 30 jours. La Politique en vigueur est accessible en permanence sur ikauto.io/confidentialite.