Kito

Politique de confidentialité

Conforme au RGPD (UE 2016/679), à la LOPDGDD (LO 3/2018), à la LSSI-CE (Ley 34/2002) et à la Google API Services User Data Policy. Version 1.0, en vigueur depuis le 25/06/2026.

Cette politique explique quelles données personnelles Kito collecte, pourquoi, sur quelle base légale, avec qui elles sont partagées, combien de temps elles sont conservées et quels sont vos droits. Elle s'applique au site letkito.com et à l'application app.letkito.com.

1. Qui est responsable de vos données ?

Responsable du traitement : LOUIS MAS, autónomo, NIE Z0613253D, Avinguda de les Drassanes, 27, 08001, Barcelone, Espagne, info@letkito.com. Coordonnées complètes dans les mentions légales. Pour toute question : info@letkito.com.

2. Deux rôles distincts

  1. Pour votre compte, le site et le marketing → Kito est responsable du traitement (compte, facturation, support, statistiques, marketing).
  2. Pour les avis Google de votre établissement (qui contiennent les noms et commentaires de vos clients) → Kito agit comme sous-traitant (art. 28 RGPD) pour votre compte. C'est vous, le commerçant, qui êtes responsable des données de vos clients ; Kito ne fait que les traiter selon vos instructions. Voir l'annexe DPA des CGU.

3. Quelles données nous traitons

3.1 Compte et facturation (Kito = responsable)

  • Identité : nom, e-mail, mot de passe (haché, jamais en clair).
  • Connexion via Google (« Se connecter avec Google ») : nom, e-mail, identifiant Google, uniquement pour vous authentifier.
  • Données d'établissement : nom du commerce, type d'activité, site web, profil de voix/ton, langues, instructions de réponse.
  • Facturation : données de paiement, gérées par Stripe ; nous ne stockons pas votre numéro de carte.

3.2 Données Google Business Profile (Kito = sous-traitant)

Quand vous connectez votre compte Google (scope business.manage), Kito accède à : la liste de vos établissements et avis ; le contenu des avis (note, texte, langue, nom public de l'auteur, date) ; les réponses existantes et générées ; un jeton OAuth stocké chiffré, accessible uniquement par notre back-end.

Usage strictement limité. Ces données Google ne servent qu'à fournir la fonctionnalité visible : lire vos avis, générer une réponse et la publier sur Google avec votre accord. Voir la section 8 (Limited Use).
Conservation limitée à 30 jours. Conformément aux conditions des Business Profile APIs, le contenu des avis issu de Google n'est mis en cache que de façon temporaire, 30 jours au maximum, de manière sécurisée et sans agrégation ; il est ensuite rafraîchi depuis l'API Google ou supprimé. Voir les sections 8 et 10.

3.3 Navigation, cookies et mesure (Kito = responsable)

Sur le site et l'application : adresse IP, type d'appareil/navigateur, pages vues, événements d'usage, identifiants de cookies. Détail en section 9.

4. Pourquoi et sur quelle base légale

FinalitéBase légale (RGPD)
Créer et gérer votre compte, fournir le ServiceExécution du contrat (art. 6.1.b)
Connecter Google, générer/publier les réponsesExécution du contrat + instructions client (art. 28)
Facturation, obligations comptables/fiscalesObligation légale (art. 6.1.c)
Sécurité, prévention de la fraude, logsIntérêt légitime (art. 6.1.f)
Mesure d'audience, amélioration produitConsentement (art. 6.1.a)
Communications liées au service & emails de cycle de vie (Loops)Exécution du contrat (art. 6.1.b) ; consentement pour les emails purement marketing (art. 6.1.a)
Marketing, publicité, retargeting (Meta, GTM…)Consentement (art. 6.1.a)

Vous pouvez retirer votre consentement à tout moment (section 11) sans affecter la licéité des traitements déjà effectués.

5. Intelligence artificielle

Kito utilise des modèles d'IA pour générer les réponses et construire votre profil de voix à partir de sources publiques (réponses déjà publiées, site web).

  • Le contenu envoyé à l'IA n'est traité que pour produire la réponse ou le profil.
  • Nos fournisseurs d'IA sont sous accord de traitement (DPA) et en non-rétention / non-entraînement : vos données et celles de vos clients ne servent pas à entraîner des modèles d'IA généralistes.
  • L'ensemble du traitement des données client passe par Mistral AI (IA européenne, hébergée dans l'UE). Seule la construction initiale de votre profil de voix, réalisée à partir de données publiques uniquement (vos réponses déjà publiées, votre site web), peut faire appel à Claude (Anthropic). Voir la liste en section 7.
Une réponse générée est une proposition : en mode hybride, rien n'est publié sans votre validation ; en mode automatique, vous nous donnez une instruction permanente de publier les réponses aux avis positifs en votre nom (les avis négatifs ou sensibles restent en attente de validation), désactivable à tout moment.

6. Accès humain à vos données

Nous ne lisons pas vos données Google de façon routinière. Un membre de l'équipe ne peut y accéder que : (a) avec votre accord explicite (support sur un avis précis) ; (b) pour des raisons de sécurité ; (c) pour respecter la loi ; ou (d) sur des données agrégées/anonymisées. Conforme à la règle d'accès humain de la Google API Services User Data Policy.

7. Sous-traitants

Nous ne vendons jamais vos données. Chaque sous-traitant est lié par un accord conforme à l'art. 28 RGPD :

Sous-traitantRôleLocalisation / Garantie
SupabaseHébergement & base de donnéesUE (Paris) / DPA + CCT
Mistral AITraitement des données client & génération des réponses (IA)UE (France) / DPA, non-rétention
Anthropic (Claude)Construction du profil de voix (données publiques uniquement)Hors UE / DPA + CCT, non-entraînement
GoogleBusiness Profile API & OAuthHors UE / Clauses contractuelles types
Stripe (paiement)Paiement & facturationHors UE / DPA + CCT
PostHogAnalytics produitUE / DPA
LoopsEmailing (communications liées au service & cycle de vie)Hors UE (US) / DPA, CCT + EU-US Data Privacy Framework
Google Tag Manager / MetaMarketing & publicité (avec consentement)Hors UE / CCT
Important : les données Google issues des avis (§3.2) ne sont jamais transmises à PostHog, Google Tag Manager, Meta, Loops ni à aucune régie publicitaire. Loops ne reçoit que votre adresse e-mail et l'état de votre cycle de vie (liste d'attente, essai, client), jamais les avis ni les données de vos clients. Ces outils n'opèrent que sur le site et l'usage produit (§9). Nous vous informons 30 jours à l'avance avant d'ajouter un sous-traitant traitant les données de vos clients.

8. Conformité Google « Limited Use »

L'utilisation et le transfert par Kito des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences Limited Use.

Concrètement, les données obtenues via les API Google :

  • servent uniquement à fournir des fonctionnalités visibles dans Kito (lecture des avis, génération et publication des réponses) ;
  • ne sont pas vendues ni transférées à des tiers à des fins publicitaires, de courtage de données, de retargeting ou de publicité ciblée ;
  • ne sont pas utilisées pour déterminer une solvabilité ni à des fins de crédit ;
  • ne sont pas utilisées pour entraîner ou améliorer des modèles d'IA généralistes ;
  • ne sont stockées que temporairement (30 jours au maximum), de façon sécurisée et sans agrégation, conformément aux conditions de stockage des Business Profile APIs ;
  • ne sont lues par un humain que dans les cas restreints de la section 6.

9. Cookies et technologies similaires

9.1 Principe (consentement)

À votre première visite, un bandeau de cookies vous permet d'Accepter ou de Refuser sur un pied d'égalité (mêmes emplacement et format). Aucun cookie non essentiel n'est déposé avant votre consentement. Vous pouvez modifier ou retirer votre choix via « Gérer les cookies » en pied de page. Conformément à la Guía de cookies de l'AEPD (2024), ni le défilement, ni la navigation continue, ni des cases pré-cochées ne valent consentement.

9.2 Catégories

CatégorieExemples / TiersBase légale
Techniques (essentiels)Supabase Auth, cookie de consentementExemptés
Mesure d'audiencePostHogConsentement
Marketing / publicitéGoogle Tag Manager, Meta PixelConsentement

Le détail complet (nom de chaque cookie, tiers, finalité, durée) est présenté dans une seconde couche accessible depuis le gestionnaire de cookies, comme l'exige l'AEPD. Les cookies de mesure et de marketing ne sont chargés qu'après votre consentementvia le bandeau ; vous pouvez le modifier ou le retirer à tout moment via « Gérer les cookies » en pied de page.

10. Durées de conservation

DonnéeDurée
Compte et établissementDurée du contrat + suppression sous 30 jours après résiliation
Contenu des avis Google (texte, nom de l'auteur, note, date, métadonnées d'établissement)Cache temporaire 30 jours maximum (limite des Business Profile APIs, §8), puis rafraîchi depuis l'API Google ou supprimé. Supprimé immédiatement à la déconnexion de Google ou à la résiliation.
Réponses que vous publiez (journal d'action)Journal minimal (identifiant d'avis, horodatage, statut) tant que le compte est actif ; le texte d'avis associé n'est pas conservé au-delà de 30 jours
Jetons OAuth GoogleJusqu'à déconnexion ou résiliation, puis suppression
FacturationDurée légale comptable/fiscale espagnole (jusqu'à 6 ans)
Logs techniques / sécurité12 mois
CookiesSelon la seconde couche (généralement ≤ 13 mois)

11. Vos droits

Vous disposez des droits d'accès, rectification, effacement, limitation, opposition, portabilité et du droit de retirer votre consentement. Écrivez à info@letkito.com ; réponse sous un mois.

  • Déconnexion Google : révocable à tout moment depuis vos paramètres Kito ou via myaccount.google.com/permissions.
  • Réclamation : auprès de l'autorité compétente, en Espagne l'AEPD (aepd.es).

12. Sécurité

Chiffrement en transit (HTTPS/TLS), chiffrement des jetons OAuth au repos, cloisonnement multi-locataire au niveau base de données (RLS), accès aux secrets restreint au back-end, moindre privilège.

13. Mineurs

Le Service s'adresse à des professionnels ; il n'est pas destiné aux mineurs et nous ne collectons pas sciemment leurs données.

14. Modifications

Nous pouvons mettre à jour cette politique. En cas de changement substantiel (notamment de la manière dont les données Google sont utilisées), nous vous en informerons et, le cas échéant, vous demanderons un nouveau consentement avant toute nouvelle utilisation.