RGPD & Données

Dernière mise à jour : avril 2026 · S'applique à tous les clients de la plateforme Kairo

1. Vue d'ensemble

La plateforme Kairo est conçue et exploitée au sein de l'Union européenne. PiirZ Digital Limited est immatriculée à Malte, État membre de l'UE. Le Règlement général sur la protection des données (UE 2016/679) s'applique directement à nos opérations.

Nous traitons la protection des données comme une exigence d'ingénierie, pas comme une case à cocher de conformité. Cette page explique comment les obligations RGPD se répartissent entre Kairo et nos clients de la plateforme, et quels engagements nous prenons.

2. Rôles de responsable et sous-traitant

Le RGPD distingue les responsables du traitement (qui déterminent pourquoi et comment les données sont traitées) des sous-traitants (qui traitent les données pour le compte d'un responsable).

Contexte	Votre organisation	Kairo / PiirZ Digital
Plateforme Kairo (usage DMO / opérateur)	Responsable du traitement	Sous-traitant
Interactions visiteurs via votre assistant Kairo	Responsable du traitement (vos visiteurs sont vos personnes concernées)	Sous-traitant
Site Kairo (kairo.ai) et demandes directes	—	Responsable du traitement
Données employés/contractuels Kairo	—	Responsable du traitement

En tant que sous-traitant pour vous, nous agissons uniquement sur vos instructions documentées et ne traitons pas de données personnelles à nos propres fins au-delà de ce qui est nécessaire à la fourniture du service.

3. Data Processing Agreement (DPA)

Toutes les souscriptions à la plateforme Kairo incluent un Data Processing Agreement répondant aux exigences de l'article 28 RGPD. Le DPA couvre :

• Objet, durée, nature et finalité du traitement
• Catégories de données personnelles traitées et personnes concernées
• Obligations et droits du responsable (votre organisation)
• Nos engagements en tant que sous-traitant : confidentialité, sécurité, gestion des sous-traitants ultérieurs, assistance pour les droits des personnes concernées, suppression ou retour des données à la fin du contrat
• Clauses contractuelles types pour les transferts hors EEE, le cas échéant

Le DPA est intégré par référence dans tous les Order Forms. Pour demander une copie ou proposer des amendements, contactez legal@kairo.ai.

4. Sous-traitants ultérieurs

Nous mobilisons un ensemble limité de sous-traitants ultérieurs pour fournir la plateforme. Nous évaluons la conformité RGPD de chaque sous-traitant avant son onboarding et imposons contractuellement des obligations de protection des données.

Les catégories actuelles de sous-traitants incluent l'infrastructure cloud, les API de modèles IA, l'email transactionnel et les analytics. Nous tenons une liste précise des sous-traitants, fournie sur demande.

Nous notifions aux clients actifs tout changement substantiel de notre liste de sous-traitants au moins 30 jours à l'avance. Les clients qui s'y opposent par écrit dans cette fenêtre peuvent résilier leur contrat sans pénalité.

5. Localisation et transferts

Le traitement principal des données a lieu au sein de l'Espace économique européen (EEE). Plus précisément :

• Les données de la plateforme et les contenus client sont stockés dans des datacenters EEE
• Les API de modèles IA peuvent impliquer des transferts hors EEE ; ces derniers sont couverts par des clauses contractuelles types et, lorsque disponibles, par des mesures techniques supplémentaires (chiffrement en transit et au repos)
• Nous ne transférons pas de données personnelles vers des pays sans décision d'adéquation ou garanties appropriées

6. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque, dont :

• Chiffrement en transit (TLS 1.2+) et au repos (AES-256 ou équivalent)
• Contrôles d'accès fondés sur le principe du moindre privilège ; les accès en production sont journalisés et auditables
• Analyse régulière des dépendances et des vulnérabilités
• Formation à la protection des données et obligations de confidentialité pour les employés
• Procédures de réponse aux incidents avec délais d'escalade définis

7. Demandes des personnes concernées

Lorsque vos visiteurs ou utilisateurs exercent leurs droits RGPD (accès, effacement, portabilité, opposition) auprès de vous, nous sommes tenus de vous assister pour y donner suite. Nous nous engageons à :

• Répondre aux demandes documentées d'extraction ou de suppression de données dans les 72 heures
• Fournir des outils self-serve dans la plateforme lorsque c'est techniquement possible
• Maintenir des journaux d'audit qui appuient vos obligations de réponse

Si un visiteur final nous contacte directement, nous le redirigerons vers vous comme responsable concerné (sauf lorsque nous agissons comme responsable de plein droit).

8. Notification de violation

En cas de violation de données personnelles affectant vos données :

• Nous vous notifierons sans retard injustifié et dans les 36 heures de notre prise de connaissance de la violation
• La notification précisera la nature de la violation, les conséquences probables, les catégories de données affectées et nos premières mesures de mitigation
• Nous fournirons des mises à jour continues à mesure que l'enquête progresse

Cela vous permet de respecter votre propre obligation de notification sous 72 heures à l'autorité de contrôle au titre de l'article 33 RGPD.

9. AIPD et consultations

Si votre utilisation de la plateforme Kairo implique un traitement à haut risque déclenchant une Analyse d'impact sur la protection des données (AIPD) au titre de l'article 35 RGPD, nous fournirons les informations raisonnablement nécessaires à la réalisation de cette analyse, dont nos mesures techniques et organisationnelles de sécurité et les détails sur les sous-traitants.

Nous ne considérons pas actuellement que l'usage standard de la plateforme Kairo constitue un traitement « à haut risque » au sens des lignes directrices de l'EDPB, mais nous reconnaissons que cette appréciation dépend de votre configuration et de votre cas d'usage spécifiques.

10. Contact

Pour les questions RGPD, les demandes de DPA ou l'assistance aux personnes concernées :

PiirZ Digital Limited — Protection des données
Malte
privacy@kairo.ai

Autorité de contrôle : Information and Data Protection Commissioner (IDPC), Malte