Politique de confidentialité
La présente Politique de confidentialité décrit comment KnowStack (« nous », « notre » ou « nos ») collecte, utilise, stocke et protège vos informations lorsque vous utilisez notre plateforme de gestion des connaissances.
Dernière mise à jour : 22 mars 2026
1. Introduction
La présente Politique de confidentialité s'applique à tous les utilisateurs de KnowStack, accessible à l'adresse knowstack.ai. Elle décrit nos pratiques en matière de collecte, d'utilisation, de stockage, de partage et de protection de vos données personnelles.
Responsable du traitement : Nest Artem Dolmatov, ul. Wroclawska 79, 30-017 Cracovie, Pologne
Contact : [email protected]
Nous nous engageons à protéger votre vie privée et à traiter vos données personnelles de manière licite, loyale et transparente. Pour toute question concernant cette politique, veuillez nous contacter à l'aide des coordonnées ci-dessus.
2. Données collectées
Données de compte
Lors de la création d'un compte, nous collectons :
- Adresse e-mail
- Nom
- Mot de passe (stocké sous forme de hachage bcrypt — nous ne stockons jamais de mots de passe en clair)
- Nom de la société / organisation
- Avatar de profil (facultatif, stocké dans le cloud)
- Secret d'authentification à deux facteurs (chiffré, si vous activez la 2FA)
Données des services connectés
Avec votre autorisation explicite, nous accédons aux données des services que vous connectez et les traitons :
- Données e-mail (Gmail, IMAP) : messages e-mail incluant objets, informations expéditeur/destinataire, corps du message et horodatages. Pour Gmail, nous utilisons OAuth 2.0 avec une portée en lecture seule — nous ne voyons ni ne stockons jamais votre mot de passe Google.
- Contenu de sites web : contenu publiquement accessible des pages web aux URL que vous fournissez pour exploration.
- Documents téléversés : fichiers que vous téléversez (PDF, DOCX, TXT, CSV, Markdown) — jusqu'à 50 Mo par fichier.
- Messages Slack : messages de canaux, fils de discussion et métadonnées des espaces de travail connectés via OAuth.
- Messages Telegram : messages de discussion et métadonnées des comptes que vous authentifiez.
- Transcriptions de réunions : contenu des transcriptions et métadonnées (titre, date, participants, durée) à partir des fichiers téléversés.
Données d'utilisation
Nous collectons automatiquement :
- Adresses IP et géolocalisation approximative (au niveau pays/ville)
- Type de navigateur, système d'exploitation et informations sur l'appareil
- Pages visitées, fonctionnalités utilisées et actions effectuées dans le Service
- Opérations IA réalisées (type, modèle utilisé, jetons traités, coût)
- Horodatages de vos interactions avec le Service
Données de facturation
Lorsque vous souscrivez à un plan payant, nous collectons et stockons :
- Identifiant client Stripe (le traitement des paiements est géré par Stripe — nous ne stockons pas les numéros complets de cartes bancaires)
- Détails du moyen de paiement (marque de carte et 4 derniers chiffres uniquement)
- Historique des factures et montants des paiements
- Registre d'utilisation IA (type d'opération, coût, période de facturation)
3. Bases juridiques du traitement (article 6 du RGPD)
Nous traitons vos données personnelles sur les bases juridiques suivantes :
| Base juridique | Activité de traitement |
|---|---|
| Exécution du contrat (art. 6, §1, b) |
Création et gestion de compte ; fourniture du Service incluant la génération de Bases de connaissances, les fonctions IA et les connexions aux sources de données ; traitement des abonnements et paiements ; assistance client |
| Intérêt légitime (art. 6, §1, f) |
Surveillance de la sécurité et prévention de la fraude ; amélioration du service et débogage ; journalisation d'activité à des fins d'audit ; analyses d'utilisation pour améliorer les fonctionnalités |
| Consentement (art. 6, §1, a) |
Cookies analytiques (Google Analytics) — uniquement avec votre consentement explicite via notre bandeau ; connexion de sources de données tierces optionnelles ; communications marketing (le cas échéant) |
| Obligation légale (art. 6, §1, c) |
Tenue des registres comptables et fiscaux ; réponse aux demandes légales des autorités ; conformité aux réglementations sur la protection des données |
4. Comment nous utilisons vos données
Nous utilisons les données collectées pour :
- Fournir, maintenir et améliorer le Service
- Générer et organiser des Bases de connaissances à partir de vos sources de données connectées
- Traiter les requêtes IA en utilisant le contenu de votre Base de connaissances comme contexte
- Authentifier votre identité et gérer votre compte et autorisations
- Traiter les paiements et gérer votre abonnement
- Envoyer des communications liées au service (vérification de compte, alertes de sécurité, notifications de facturation, mises à jour des tickets de support)
- Répondre à vos questions et demandes de support
- Surveiller et analyser les schémas d'utilisation pour améliorer la plateforme
- Détecter, prévenir et traiter les menaces de sécurité et problèmes techniques
- Respecter les obligations légales
Ce que nous NE faisons PAS :
- Vendre vos données personnelles à des tiers — jamais
- Utiliser vos données à des fins publicitaires ou de ciblage
- Utiliser vos données pour entraîner, développer ou améliorer des modèles d'IA généralistes
- Partager le contenu de votre Base de connaissances avec d'autres utilisateurs ou organisations
- Accéder à vos comptes connectés sans votre autorisation explicite
- Utiliser les données obtenues via les API Google à des fins autres que la fourniture du Service
5. Traitement des données par IA
Lorsque vous utilisez les fonctionnalités IA, vos données sont traitées comme suit :
Quelles données sont envoyées aux fournisseurs d'IA
- Le contenu textuel de vos sources de données connectées, documents ou Bases de connaissances — uniquement les portions pertinentes pour l'opération IA spécifique que vous initiez
- Vos requêtes de recherche lorsque vous utilisez la recherche basée sur l'IA
- Les invites système et paramètres de configuration (qui ne contiennent pas de données personnelles)
Quelles données NE sont PAS envoyées aux fournisseurs d'IA
- Vos identifiants de compte, mot de passe ou jetons d'authentification
- Vos informations de facturation ou détails de paiement
- Votre adresse IP ou empreinte de navigateur
- Les données d'autres Comptes d'entreprise ou utilisateurs
Traitement des données par les fournisseurs d'IA
- Les données sont transmises aux fournisseurs d'IA via des connexions chiffrées (TLS)
- Les fournisseurs d'IA traitent les données uniquement pour générer la sortie demandée (extraction de connaissances, résumé, résultats de recherche, etc.)
- Nous exigeons que les fournisseurs d'IA ne conservent pas vos données au-delà de la fenêtre de traitement nécessaire pour générer une réponse
- Nous exigeons que les fournisseurs d'IA n'utilisent pas vos données pour entraîner, améliorer ou développer leurs modèles
Minimisation des données
Nous appliquons les principes de minimisation en n'envoyant que le contenu nécessaire à l'opération concernée. Par exemple, lors de la génération d'une Base de connaissances à partir d'e-mails, nous envoyons le contenu textuel des e-mails mais pas les en-têtes, les métadonnées des pièces jointes ou les identifiants de compte.
6. Sous-traitants ultérieurs
Pour fournir le Service, nous faisons appel aux sous-traitants ultérieurs suivants. Chacun a été évalué quant à ses pratiques de protection des données :
| Fournisseur | Finalité | Données traitées | Localisation |
|---|---|---|---|
| Railway | Hébergement applicatif et infrastructure | Toutes les données applicatives | UE |
| AWS S3 | Stockage de fichiers (documents, exports, avatars) | Fichiers téléversés, exports BC | UE |
| Stripe | Traitement des paiements | Données de facturation, moyen de paiement | É.-U. |
| OpenRouter | Routage de modèles IA et passerelle API | Contenu soumis au traitement IA | É.-U. |
| Anthropic | Traitement IA (modèles Claude) | Contenu soumis au traitement IA | É.-U. |
| OpenAI | Traitement IA (modèles GPT) | Contenu soumis au traitement IA | É.-U. |
| Google AI | Traitement IA (modèles Gemini) | Contenu soumis au traitement IA | É.-U. |
| Meta AI | Traitement IA (modèles Llama) | Contenu soumis au traitement IA | É.-U. |
| Firecrawl | Extraction de contenu de sites web | URL fournies par l'utilisateur | É.-U. |
| Authentification OAuth et API Gmail | Adresse e-mail, profil, contenu d'e-mails | É.-U. | |
| Resend | Livraison d'e-mails transactionnels | Adresse e-mail, contenu des notifications | É.-U. |
| Sentry (optionnel) | Surveillance des erreurs et diagnostic | Données d'erreur, traces de pile (sans contenu utilisateur) | É.-U. |
| Google Analytics | Analyse d'utilisation du site (sur consentement) | Données d'utilisation anonymisées, adresse IP (tronquée) | É.-U. |
| Hotjar | Enregistrement de session et analyse comportementale, uniquement sur les pages marketing publiques (sur consentement) | Interactions anonymisées, mouvements de souris, profondeur de défilement, vues de pages ; le texte affiché et les valeurs des champs de formulaire sont masqués | UE |
Nous fournirons un préavis d'au moins 14 jours par e-mail avant d'engager un nouveau sous-traitant ultérieur qui modifie de manière significative le traitement de vos données personnelles. En cas d'objection à un nouveau sous-traitant, vous pouvez résilier votre abonnement dans les 30 jours suivant la notification.
7. Transferts internationaux de données
Notre infrastructure applicative principale est hébergée dans l'Union européenne (Railway EU). Vos données de compte, Bases de connaissances et sources de données connectées sont stockées dans l'UE.
Cependant, certaines activités de traitement impliquent le transfert de données à des sous-traitants ultérieurs situés aux États-Unis, en particulier :
- Traitement IA (OpenRouter, Anthropic, OpenAI, Google AI, Meta AI)
- Traitement des paiements (Stripe)
- Livraison d'e-mails (Resend)
- Exploration de sites (Firecrawl)
Pour les transferts de données personnelles depuis l'EEE vers des pays n'ayant pas reçu de décision d'adéquation de la Commission européenne, nous nous appuyons sur :
- Les clauses contractuelles types de l'UE (CCT) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914), intégrées à nos accords avec les sous-traitants
- Les décisions d'adéquation, le cas échéant
- Des mesures supplémentaires, notamment le chiffrement en transit (TLS 1.2+) et les engagements contractuels des fournisseurs à ne pas utiliser les données pour l'entraînement de modèles
8. Conservation des données
Nous conservons vos données pendant la durée minimale nécessaire à la finalité de leur collecte :
| Type de données | Durée de conservation | Base |
|---|---|---|
| Données de compte | Compte actif + 30 jours après suppression | Exécution du contrat ; période de grâce de suppression |
| Bases de connaissances et contenu | Jusqu'à suppression ou fermeture du compte | Exécution du contrat |
| Sources de données connectées | Jusqu'à déconnexion ou fermeture du compte | Exécution du contrat |
| Journaux d'activité | 120 jours ; anonymisés à la suppression du compte | Intérêt légitime (sécurité, audit) |
| Notifications dans l'application | 90 jours | Exécution du contrat |
| Journaux de traitement IA | Conservés pour la facturation ; supprimés à la suppression du compte | Exécution du contrat ; obligation légale |
| Registres comptables et fiscaux | 7 ans à compter de la date de transaction | Obligation légale |
| Exports BC | 7 jours après création | Exécution du contrat |
| Invitations d'équipe | 7 jours (expiration automatique) | Exécution du contrat |
| Tickets de support | Jusqu'à résolution + période d'archivage raisonnable | Exécution du contrat ; intérêt légitime |
Lorsque les données ne sont plus nécessaires à leur finalité initiale et qu'aucune obligation légale de conservation ne s'applique, elles sont supprimées ou anonymisées.
9. Vos droits (RGPD)
Si vous résidez dans l'Espace économique européen (EEE), au Royaume-Uni ou dans une juridiction dotée de lois similaires sur la protection des données, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (art. 15) : demander une copie des données personnelles que nous détenons à votre sujet et des informations sur leur traitement
- Droit de rectification (art. 16) : demander la correction de données personnelles inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données personnelles (« droit à l'oubli »), sous réserve des obligations légales de conservation
- Droit à la limitation (art. 18) : demander la limitation du traitement de vos données personnelles dans certaines circonstances (par ex. pendant la vérification de leur exactitude)
- Droit à la portabilité (art. 20) : demander vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transfert à un autre responsable du traitement
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur nos intérêts légitimes. Nous cesserons le traitement à moins de démontrer des motifs légitimes impérieux
- Droit de retirer le consentement (art. 7, §3) : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment, sans affecter la licéité du traitement antérieur
- Décision automatisée (art. 22) : KnowStack ne prend pas de décisions automatisées produisant des effets juridiques ou similairement significatifs vous concernant. Les fonctions IA sont des outils nécessitant votre initiative et votre vérification.
Comment exercer vos droits
Pour exercer l'un de ces droits, contactez-nous à [email protected] avec « Privacy Request » en objet. Nous :
- Vérifierons votre identité avant de traiter la demande
- Répondrons sous 30 jours (prolongeable jusqu'à 60 jours pour les demandes complexes, avec notification)
- Donnerons suite à la demande gratuitement, sauf demandes manifestement non fondées ou excessives
Droit d'introduire une réclamation
Si vous estimez que notre traitement de vos données personnelles enfreint la législation applicable sur la protection des données, vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale. Une liste des autorités de contrôle de l'UE est disponible à l'adresse edpb.europa.eu. En France, il s'agit de la CNIL.
Révocation de l'accès aux services connectés
Vous pouvez déconnecter les services intégrés à tout moment dans les paramètres de votre compte KnowStack. Pour les services Google, vous pouvez également révoquer l'accès via les autorisations de votre compte Google.
10. Suppression de compte
Vous pouvez supprimer votre compte à tout moment dans les paramètres de votre compte. Le processus de suppression fonctionne comme suit :
- Période de grâce : après votre demande de suppression, une période de grâce de 10 jours s'applique, durant laquelle vous pouvez annuler la suppression et restaurer votre compte
- E-mails de rappel : vous recevrez des e-mails de rappel 3 jours et 1 jour avant la suppression
- Décisions d'entreprise : si vous êtes le seul administrateur d'un Compte d'entreprise, vous devez soit transférer la propriété à un autre utilisateur, soit confirmer que les données de l'entreprise doivent être supprimées
- Ce qui est supprimé : vos données de compte, Bases de connaissances, sources de données connectées, documents, journaux IA, notifications et données d'entreprise associées (si marquées pour suppression)
- Révocation du jeton Gmail : si vous avez connecté Gmail, nous révoquerons nos jetons d'accès OAuth
- Anonymisation des journaux d'activité : les journaux d'activité sont anonymisés (identifiants personnels supprimés) plutôt que supprimés, afin de préserver l'intégrité de l'audit
- Registres de facturation : les registres de transactions sont conservés 7 ans, comme requis par la loi
- Achèvement : toutes les données personnelles sont supprimées ou anonymisées dans les 30 jours suivant la fin de la période de grâce
11. Conformité aux services API Google
L'utilisation et le transfert d'informations reçues des API Google par KnowStack respectent la Google API Services User Data Policy, y compris les exigences de Limited Use.
Intégration Gmail
Lorsque vous connectez votre compte Gmail :
- Nous utilisons OAuth 2.0 pour une authentification sécurisée — nous ne voyons ni ne stockons jamais votre mot de passe Google
- Nous demandons uniquement la portée
gmail.readonly— accès en lecture à vos e-mails pour l'extraction de connaissances - Le contenu des e-mails est traité pour extraire des connaissances et constituer vos Bases de connaissances
- Nous n'utilisons pas les données Gmail à des fins publicitaires
- Nous ne partageons pas les données Gmail avec des tiers, sauf si nécessaire à la fourniture du Service (par ex. envoi de contenu aux fournisseurs d'IA pour traitement à votre demande)
- Vous pouvez révoquer l'accès à tout moment via les paramètres KnowStack ou via les autorisations de votre compte Google
Google OAuth (connexion)
Si vous utilisez « Se connecter avec Google » :
- Nous recevons votre adresse e-mail et les informations de profil de base
- Nous utilisons ces informations uniquement pour créer et authentifier votre compte
- Nous n'accédons à aucun autre service Google sans consentement explicite supplémentaire
12. Cookies et suivi
Nous utilisons des cookies et technologies similaires en trois catégories :
- Cookies essentiels : nécessaires à l'authentification, à la sécurité (protection CSRF) et aux fonctionnalités de base du site. Ils ne peuvent pas être désactivés.
- Stockage des préférences : mémorise vos paramètres comme la préférence de thème (mode clair/sombre). Utilise le localStorage du navigateur.
- Cookies analytiques : cookies Google Analytics, déposés uniquement avec votre consentement explicite via notre bandeau. Ils nous aident à comprendre comment les visiteurs utilisent notre site.
Nous n'utilisons pas de cookies à des fins publicitaires, de suivi intersites ou de revente de données à des tiers.
Pour les détails complets sur chaque cookie utilisé, leurs finalités et la gestion de vos préférences, consultez notre Politique en matière de cookies.
Vous pouvez vous désinscrire de Google Analytics sur tous les sites en installant le module complémentaire de désactivation de Google Analytics.
13. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles complètes pour protéger vos données :
- Chiffrement en transit : toutes les données transmises entre votre navigateur et nos serveurs sont chiffrées avec TLS 1.2 ou supérieur
- Chiffrement au repos : les données sensibles, y compris les identifiants tiers et jetons d'authentification, sont chiffrées avec AES-256-GCM (chiffrement authentifié)
- Sécurité des mots de passe : les mots de passe sont hachés avec bcrypt avec un facteur de travail approprié — nous ne stockons jamais de mots de passe en clair
- Isolation des données : les données de chaque Compte d'entreprise sont logiquement isolées. Les utilisateurs ne peuvent accéder qu'aux données des Comptes d'entreprise autorisés et selon les rôles attribués.
- Contrôles d'accès : contrôle d'accès basé sur les rôles (RBAC) granulaire avec autorisations au niveau de la Base de connaissances et de la section
- Protection CSRF : le motif double-submit cookie empêche les attaques de falsification de requête intersites
- Politique de sécurité du contenu : en-têtes CSP stricts empêchant les attaques de script intersites (XSS)
- Infrastructure : hébergée sur une infrastructure cloud conforme SOC 2 avec mises à jour de sécurité régulières
- Gestion des sessions : les sessions authentifiées disposent d'un délai d'expiration glissant d'1 heure
Bien que nous mettions en œuvre des mesures de sécurité robustes, aucune méthode de transmission ou de stockage n'est sûre à 100 %. Nous ne pouvons garantir une sécurité absolue, mais nous nous engageons à protéger vos données au mieux et à traiter rapidement toute vulnérabilité découverte.
14. Notification de violation de données
En cas de violation de données personnelles :
Notification à l'autorité de contrôle (art. 33 du RGPD)
Lorsque cela est faisable, nous notifierons l'autorité de contrôle compétente dans les 72 heures après en avoir pris connaissance, dès lors que la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. La notification comprendra :
- La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées
- Le nom et les coordonnées de notre référent en matière de protection des données
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets
Notification aux personnes concernées (art. 34 du RGPD)
Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons sans délai indu par e-mail, en décrivant la nature de la violation, ses conséquences probables et les mesures que nous avons prises. Nous fournirons également des recommandations sur les mesures que vous pouvez prendre pour vous protéger.
Réponse aux violations
Nous maintenons un plan de réponse aux incidents incluant des procédures de confinement, d'enquête, de remédiation et de notification. Nous menons des examens post-incident pour prévenir les récidives.
15. Vie privée des enfants
KnowStack est conçu pour un usage professionnel et n'est pas destiné aux enfants.
- Le niveau gratuit (plan Starter) requiert que les utilisateurs aient au moins 16 ans
- Les plans payants requièrent que les utilisateurs aient au moins 18 ans
- Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans
- Si nous découvrons que nous avons collecté des données personnelles d'un enfant de moins de 16 ans, nous supprimerons ces données immédiatement
- Si vous pensez que nous avons collecté par inadvertance des données d'un enfant de moins de 16 ans, contactez-nous à [email protected]
16. Droits des résidents de Californie (CCPA/CPRA)
Si vous êtes résident de Californie, le California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA), vous confère des droits supplémentaires :
Catégories d'informations personnelles collectées
- Identifiants : nom, adresse e-mail, adresse IP, ID de compte
- Informations commerciales : plan d'abonnement, historique des paiements, registres d'utilisation IA
- Activité internet ou réseau électronique : pages visitées, fonctionnalités utilisées, type de navigateur
- Informations professionnelles ou d'emploi : nom de la société/organisation (si fourni)
- Inférences : aucune — nous ne créons pas de profils de consommateurs
Vos droits selon CCPA/CPRA
- Droit de savoir : vous pouvez demander les catégories et éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet
- Droit à la suppression : vous pouvez demander la suppression de vos informations personnelles, sous réserve d'exceptions légales
- Droit à la rectification : vous pouvez demander la correction d'informations personnelles inexactes
- Droit de refuser la vente/le partage : nous ne vendons ni ne partageons vos informations personnelles à des fins de publicité comportementale intercontextuelle. Aucun opt-out n'est nécessaire.
- Droit à la non-discrimination : nous ne vous discriminerons pas pour avoir exercé vos droits à la confidentialité
Pour exercer ces droits, contactez-nous à [email protected]. Nous vérifierons votre identité avant de traiter les demandes. Vous pouvez également désigner un mandataire autorisé pour effectuer des demandes en votre nom.
17. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité à tout moment et à notre seule discrétion. Les modifications prennent effet à la date indiquée dans la politique mise à jour.
Lorsque nous apportons des modifications :
- Nous mettrons à jour la date « Dernière mise à jour » en haut de cette page
- Nous vous informerons des modifications en envoyant une notification à l'adresse e-mail associée à votre compte
- La politique mise à jour sera publiée sur cette page et entrera en vigueur à la date indiquée dans la notification, ou, si aucune date n'est indiquée, à la publication
En continuant d'accéder ou d'utiliser le Service après la prise d'effet d'une Politique de confidentialité mise à jour, vous acceptez d'être lié par la politique révisée. Tous les utilisateurs existants sont réputés avoir accepté la politique mise à jour à sa date de prise d'effet. Si vous n'acceptez pas la politique révisée, votre seul recours est de cesser d'utiliser le Service et de supprimer votre compte.
18. Nous contacter
Pour toute question concernant la présente Politique de confidentialité, nos pratiques en matière de données ou pour exercer vos droits à la confidentialité, contactez-nous :
E-mail: [email protected]
Opérateur: Nest Artem Dolmatov
Adresse: ul. Wroclawska 79, 30-017 Krakow, Poland
Pour les demandes relatives à la protection des données, veuillez indiquer « Privacy Request » dans l'objet de votre e-mail. Nous nous efforçons de répondre dans un délai de 30 jours.