Document v1 — revue juridique en cours. Cette version reflète notre compréhension des obligations applicables (RGPD, AI Act, Code de la consommation). Pour un engagement contractuel sensible, contacter legal@inkore.io pour la version signable.

Données personnelles

Politique de confidentialité

Version 1.0 · En vigueur depuis le 30 avril 2026

1. Qui sommes-nous ?

La présente politique décrit comment inkore(« inKore », « nous ») collecte et traite les données personnelles dans le cadre de l'exploitation de la plateforme accessible via inkore.io et ses sous-domaines.

Le responsable du traitement au sens du RGPD est inkore, dont le siège est situé 60 rue François 1er 75008 Paris FRANCE (RCS Paris (en cours d'immatriculation), 101937332). Pour toute question relative aux données personnelles, écrire à privacy@inkore.io.

2. Données collectées

2.1 Données fournies directement par l'utilisateur

Adresse e-mail (création de compte, OTP magic link)
Nom du workspace, brand kit, ICP, ton de voix, exemples
Documents uploadés sur les projets (briefs, contrats, decks)
Tâches, listes, projets, commentaires saisis dans la plateforme
Clé API Anthropic personnelle (BYOK), chiffrée au repos

2.2 Données collectées automatiquement

Logs techniques anonymisés (timestamp, user-agent, IP partielle pendant 30 j max)
Métriques d'utilisation des agents (coût, tokens, durée d'exécution)
Erreurs et stack traces via Sentry (sans payload utilisateur identifiant)
Mesure d'audience anonymisée si l'utilisateur a accepté les cookies

2.3 Données issues de tiers

Statut d'abonnement et historique de paiement (via Stripe)
Sorties des modèles Claude (Anthropic) générées à partir de vos prompts — stockées dans votre workspace pour validation et historique

3. Finalités et bases légales

Finalité	Base légale	Conservation
Authentification + accès au compte	Exécution du contrat (art. 6.1.b)	Durée du compte + 30 j
Génération AI + persistance des contenus	Exécution du contrat (art. 6.1.b)	Durée du compte + 30 j
Facturation Stripe	Obligation légale (art. 6.1.c)	10 ans (art. L123-22 C.com)
Sécurité, prévention de la fraude	Intérêt légitime (art. 6.1.f)	12 mois
Mesure d'audience anonymisée	Consentement (art. 6.1.a)	13 mois
Communications produit (newsletter)	Consentement (art. 6.1.a)	Jusqu'à désinscription

4. Sous-traitants et destinataires

Pour faire fonctionner la plateforme, nous utilisons les sous-traitants suivants. Aucun ne reçoit vos données personnelles à d'autres fins que celles décrites ci-dessous. La liste détaillée (avec adresses, certifications, garanties RGPD) est fournie dans le DPA.

Supabase Inc. — Base de données + auth, hébergement EU-Frankfurt (eu-central-1)
Vercel Inc. — Hébergement web, edge déployé en EU (Paris cdg1)
Anthropic PBC — Génération AI (Claude), zéro entraînement sur vos prompts (politique API)
Stripe Payments Europe Ltd. — Paiements, conforme PCI-DSS niveau 1
Resend Inc. — Envoi d'e-mails transactionnels
Sentry Inc. — Monitoring d'erreurs (auto-hébergé EU)
PostHog Inc. — Mesure d'audience (instance EU, Frankfurt) — uniquement après consentement

5. Transferts hors UE

La plateforme est conçue pour héberger vos données dans l'UE (Allemagne, France, Irlande). Anthropic est basé aux États-Unis ; les appels API peuvent être routés via des datacenters américains. Le transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne. Nous publions la liste des sous-processeurs hors UE dans le DPA.

Pour les workspaces sur l'offre Enterprise EU, un mode strict (uniquement zones EU, sans appel hors UE) est disponible sur demande. Contacter legal@inkore.io.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Accès : obtenir une copie de vos données
Rectification : corriger des données inexactes
Effacement : demander la suppression du compte et des données associées
Limitation : geler le traitement le temps d'une vérification
Portabilité : recevoir vos données dans un format structuré (JSON)
Opposition : refuser un traitement basé sur l'intérêt légitime
Retrait du consentement : à tout moment, sans affecter la licéité du traitement antérieur

Pour exercer ces droits : écrire à privacy@inkore.io. Réponse sous 30 jours. En cas de désaccord, vous pouvez saisir la CNIL.

7. Sécurité

Chiffrement TLS 1.3 en transit, AES-256 au repos (clés gérées par AWS KMS)
Clés API stockées chiffrées (rotation possible à tout moment via /dashboard/settings/integrations)
Isolation des workspaces via Row-Level Security PostgreSQL
Authentification par e-mail OTP, sans mot de passe stocké en clair
Audit log des actions sensibles conservé 12 mois

8. IA et entraînement

inKore n'entraîne aucun modèle avec vos prompts ou vos contenus. Anthropic, notre fournisseur de modèles, garantit également par sa politique commerciale (Commercial Terms of Service) que les données API ne sont pas utilisées pour entraîner ses modèles publics. Les prompts et les sorties sont stockés dans votre workspace pour historique et audit, et restent votre propriété intellectuelle.

9. Mineurs

La plateforme est réservée aux professionnels et n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs.

10. Modifications

Cette politique peut évoluer. Les changements substantiels sont notifiés par e-mail et via une bannière in-app au moins 30 jours avant entrée en vigueur. La version actuelle est toujours accessible sur cette page avec sa date d'effet.