Legal · DPA

Data Processing Agreement

Dernière mise à jour : 28 mars 2026

Ce Data Processing Agreement (DPA) est conclu entre Kronvex (le Sous-traitant) et le Client (le Responsable de traitement), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il s'applique à tout abonnement payant ou demo actif sur kronvex.io. Pour toute question : hello@kronvex.io

1. Identification des Parties

Sous-traitant (Kronvex)
Dénomination : Kronvex
Forme juridique : [À COMPLÉTER — SIRET en cours d'obtention]
Siège social : [À COMPLÉTER — adresse complète]
Contact DPA : hello@kronvex.io
Site : https://kronvex.io

Responsable de traitement (le Client)
Toute personne physique ou morale ayant souscrit un abonnement Kronvex (Demo, Dev, Starter, Pro, Growth, Scale ou Enterprise) ou utilisant l'API via une clé active. Les coordonnées du Client sont celles renseignées lors de la souscription.

2. Objet et finalité du traitement

Dans le cadre de l'exécution du contrat de service Kronvex, le Sous-traitant est amené à traiter des données personnelles pour le compte et selon les instructions du Responsable de traitement.

La finalité du traitement est la suivante : fourniture d'une API REST de mémoire persistante pour agents d'intelligence artificielle — stockage, rappel et injection de contexte sémantique à travers des sessions distinctes, au bénéfice exclusif du Client.

3. Nature des données traitées

Les catégories de données susceptibles d'être traitées par Kronvex pour le compte du Client sont :

Mémoires sémantiques : textes libres soumis via /remember — contenu déterminé exclusivement par le Client ;
Vecteurs d'embedding : représentations numériques à 1 536 dimensions générées à partir du texte par OpenAI text-embedding-3-small, stockées en base pgvector ;
Identifiants d'agents : UUID générés par Kronvex, sans lien direct avec une personne physique identifiable ;
Métadonnées d'appels API : timestamps, scores de confiance, compteurs d'accès — à des fins de facturation et d'optimisation des quotas ;
Données de compte : adresse email, nom, données de paiement (traitées par Stripe, hors périmètre direct Kronvex).

Avertissement : Kronvex est une API générique. Le contenu des mémoires est entièrement déterminé par le Client. Il appartient au Client de s'assurer que les données soumises à l'API sont conformes au RGPD et aux lois applicables, notamment en ce qui concerne les données sensibles (Art. 9 RGPD).

4. Personnes concernées

Les personnes concernées sont celles dont les données sont intégrées dans les mémoires soumises par le Client. Il peut s'agir, selon l'usage du Client : d'utilisateurs finaux des agents IA, de collaborateurs, de prospects, ou de toute autre personne dont les informations sont incluses dans le contenu mémorisé.

5. Durée du traitement

Le traitement est effectué pendant toute la durée de l'abonnement actif du Client. À l'expiration ou la résiliation de l'abonnement, les données sont conservées pendant une période de 30 jours afin de permettre une éventuelle réactivation ou export, puis supprimées définitivement.

Le Client peut demander la suppression immédiate de l'ensemble de ses données à tout moment via hello@kronvex.io. La suppression sera effectuée dans un délai de 72 heures.

6. Obligations du Sous-traitant (Art. 28 RGPD)

6.1 Traitement sur instruction

Kronvex traite les données personnelles uniquement sur instruction documentée du Responsable de traitement, conformément aux appels API reçus. En cas d'obligation légale contraire, Kronvex en informera le Client dans les meilleurs délais, sauf si la loi l'interdit.

6.2 Confidentialité

Kronvex s'engage à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

6.3 Sécurité des données

Kronvex met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Les mesures actuellement en place sont décrites à la section 10 du présent DPA.

6.4 Sous-traitants ultérieurs

Kronvex ne fait appel à de nouveaux sous-traitants ultérieurs qu'après information préalable du Responsable de traitement, conformément à la section 8 du présent DPA. Kronvex reste responsable du respect par ses sous-traitants ultérieurs des obligations du présent DPA.

6.5 Droits des personnes concernées

Kronvex s'engage à aider le Responsable de traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition). Les demandes sont à adresser à hello@kronvex.io.

6.6 Notification des violations de données

En cas de violation de données à caractère personnel, Kronvex notifiera le Responsable de traitement dans un délai de 72 heures après en avoir pris connaissance, par email à l'adresse de compte du Client. La notification comprendra, dans la mesure du possible, la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises pour y remédier.

6.7 Analyse d'impact (AIPD)

Kronvex s'engage à aider le Responsable de traitement à réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD) et à la consultation préalable de l'autorité de contrôle compétente, en fournissant les informations pertinentes sur l'infrastructure technique.

6.8 Sort des données en fin de contrat

À la fin de la relation contractuelle, Kronvex s'engage, au choix du Responsable de traitement, à restituer l'ensemble des données personnelles ou à les détruire, et à détruire les copies existantes, sauf obligation légale de conservation.

7. Obligations du Responsable de traitement

Disposer d'une base légale valide (Art. 6 RGPD) pour les traitements effectués via l'API Kronvex ;
Informer les personnes concernées conformément aux Art. 13 et 14 RGPD ;
Ne soumettre à l'API que des données conformes à la finalité déclarée de l'agent IA ;
Signaler immédiatement à Kronvex tout incident de sécurité dont il aurait connaissance ;
S'assurer que les clés API sont gardées confidentielles et ne sont pas partagées ou exposées publiquement.

8. Sous-traitants ultérieurs

Kronvex fait appel aux sous-traitants ultérieurs suivants pour l'exécution du service :

Sous-traitant	Rôle	Localisation	Données traitées
Supabase Inc.	Base de données PostgreSQL + pgvector	Francfort, Allemagne (UE)	Mémoires, embeddings, métadonnées, comptes
Railway Corp.	Hébergement de l'API (compute)	UE	Logs d'exécution transitoires, aucune persistance
OpenAI, LLC	Génération d'embeddings (text-embedding-3-small)	États-Unis	Texte soumis via /remember et /recall (uniquement pour vectorisation)

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Kronvex informera le Responsable de traitement par email au moins 30 jours à l'avance. Le Responsable de traitement peut s'y opposer par écrit dans ce délai.

9. Transferts hors Union Européenne

Les données sont stockées et traitées dans l'Union Européenne (Supabase Frankfurt, Railway EU). Un seul transfert hors UE est effectué :

OpenAI (États-Unis) — génération d'embeddings uniquement
Le texte des mémoires est transmis à l'API OpenAI uniquement pour générer des vecteurs d'embedding. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission Européenne (Décision d'exécution 2021/914). OpenAI agit en qualité de sous-traitant et ne conserve pas les données à des fins d'entraînement de modèles (conformément aux Data Processing Addendum d'OpenAI pour les clients API).

Les vecteurs résultants sont stockés exclusivement dans l'UE. Le texte original n'est pas conservé par OpenAI au-delà de la durée de la requête.

Aucune autre donnée n'est transférée hors de l'Union Européenne.

10. Mesures de sécurité

Kronvex met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :

Chiffrement au repos : AES-256 sur l'ensemble des données stockées dans Supabase ;
Chiffrement en transit : TLS 1.3 sur toutes les communications API (HTTPS obligatoire) ;
Authentification des accès API : clés hachées SHA-256 en base de données, jamais stockées en clair ;
Isolation des données : chaque clé API donne accès exclusivement aux agents et mémoires qui lui appartiennent ;
Localisation EU : base de données PostgreSQL + pgvector hébergée à Francfort, Allemagne ;
Contrôle d'accès interne : accès à la base de données limité aux composants strictement nécessaires au service ;
Rate limiting : protection contre les attaques par force brute et les abus de quotas ;
Journalisation : les appels API sont tracés à des fins d'audit et de détection d'anomalies.

11. Audits et contrôles

Kronvex s'engage à mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA, et à permettre la réalisation d'audits, y compris des inspections, par le Responsable de traitement ou un auditeur mandaté par lui.

Les demandes d'audit sont à formuler par écrit à hello@kronvex.io avec un préavis de 30 jours ouvrés. Kronvex peut demander que l'auditeur signe un accord de confidentialité préalablement à toute transmission d'information sensible.

12. Restitution et suppression des données

À tout moment, le Client peut exporter ses données via les endpoints API (GET /api/v1/agents, /recall). Aucun outil d'export en masse n'est actuellement disponible dans le dashboard ; une demande d'export complet peut être adressée à hello@kronvex.io.

Sur résiliation du contrat, Kronvex supprime définitivement l'ensemble des données du Client dans un délai de 30 jours suivant la date effective de résiliation. Une confirmation de suppression est envoyée par email au Client.

13. Durée et résiliation du DPA

Le présent DPA entre en vigueur à la date de souscription du Client et reste en vigueur pendant toute la durée de la relation contractuelle. Il prend fin automatiquement à l'expiration ou la résiliation du contrat de service Kronvex. Les obligations relatives à la confidentialité et à la sécurité survivent à la résiliation du DPA.

14. Droit applicable et juridiction compétente

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). En cas de litige relatif au présent DPA, les parties s'engagent à chercher une résolution amiable. À défaut, les tribunaux compétents sont ceux du ressort du siège social de Kronvex.

15. Modifications

Kronvex se réserve le droit de modifier le présent DPA pour refléter des changements légaux, réglementaires ou techniques. Les modifications substantielles sont notifiées par email au moins 30 jours avant leur entrée en vigueur. La poursuite de l'utilisation du service vaut acceptation du DPA modifié.

Contact Data Protection
Pour toute question relative au présent DPA, droits des personnes concernées ou demande d'audit :
hello@kronvex.io — Kronvex, [À COMPLÉTER — SIRET en cours d'obtention]

Ce DPA constitue une annexe aux Conditions Générales de Vente (cgv) et à la Politique de confidentialité de Kronvex. En cas de conflit, les dispositions du présent DPA prévalent pour les aspects relatifs au traitement des données.