Koproz

Légal

Politique de confidentialité

Version v1.1 — en vigueur depuis le 31 mai 2026.

Le traitement de vos données chez Koproz

Vos données et celles de votre copropriété sont traitées et hébergées en Europe. Vos procès-verbaux, vos documents et vos échanges ne quittent pas l'Union européenne, y compris lors de leur analyse par l'intelligence artificielle.

Où vos données sont traitées

Vos documents sont stockés sur une infrastructure située en Europe. Leur analyse automatique — lecture, extraction des informations, réponses de l'assistant — est réalisée par des services d'intelligence artificielle opérés en Europe, encadrés par un contrat de sous-traitance conforme au RGPD. Aucune de vos données n'est utilisée pour entraîner des modèles.

Ce que fait l'analyse automatique

Quand vous déposez un procès-verbal, Koproz en extrait les informations utiles à la gestion de votre copropriété : adresse, copropriétaires, décisions, montants. Ces informations alimentent votre tableau de bord et l'assistant, qui cite toujours ses sources.

Vous pouvez rester discret dans les échanges

Chaque copropriétaire peut masquer ses coordonnées — email, téléphone — voire son nom, vis-à-vis des autres membres. Vous restez joignable et vous participez aux échanges sans diffuser vos coordonnées à tout l'immeuble.

Les documents officiels ne sont pas modifiés

En revanche, les documents que vous déposez — procès-verbaux notamment — sont conservés tels quels et restent accessibles à votre copropriété. Les noms qui y figurent ne sont pas masqués : ce sont des documents officiels, dans lesquels ces informations apparaissent déjà légitimement, et que nous ne dénaturons pas. Le masquage concerne la façon dont vous apparaissez dans l'application, pas le contenu des actes de votre copropriété.

Base légale et vos droits

Le traitement des données des copropriétaires repose sur l'intérêt légitime de gestion et de mise en relation au sein de la copropriété. Vous disposez d'un droit d'accès, de rectification et d'opposition. Les invitations envoyées par email indiquent leur origine et leur finalité, et permettent de se désinscrire à tout moment.

Le détail technique et juridique complet figure ci-dessous.

1. Responsable du traitement

Inafest SAS, dont le siège social est au 25 rue de Ponthieu, 75008 Paris (France), est responsable du traitement des données personnelles collectées via le Service Koproz.

Délégué à la protection des données : dpo@inafest.fr.

2. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Gestion du compte utilisateur: création, authentification, suivi de l'abonnement. Base légale : exécution du contrat (CGU).
  • Fourniture du service : centralisation des documents, extraction par IA, collaboration entre copropriétaires. Base légale : exécution du contrat.
  • Notifications : emails transactionnels (validations, invitations, alertes projet). Base légale : intérêt légitime à vous tenir informé.
  • Sécurité : détection des fraudes, anti-spam, rate-limiting. Base légale : intérêt légitime à protéger le Service.
  • Amélioration produit: mesure d'audience anonymisée. Base légale : intérêt légitime, données pseudonymisées.

3. Données collectées

  • Identité : nom, prénom, adresse email, téléphone (optionnel).
  • Identifiants techniques : email normalisé (anti-doublon), mot de passe hashé (argon2id), cookies de session.
  • Contenu : documents que vous chargez (PV d'AG, devis, photos), messages échangés avec d'autres copropriétaires.
  • Données extraites : copropriétaires identifiés dans les documents, dates de décisions, montants, lots, tantièmes (extraction par IA).
  • Métadonnées techniques : adresse IP (hashée pour rate-limit), user agent, logs d'activité (durée 30 jours glissants).
  • Données de souscription : statut d'abonnement, historique de paiement (le détail bancaire est géré par Stripe, jamais stocké chez nous).

4. Sous-traitants et destinataires

Koproz repose sur les sous-traitants suivants. Tous les sous-traitants qui traitent le contenu de vos documents (procès- verbaux, devis, échanges) opèrent dans l'Union européenne.L'unique exception est VirusTotal (États-Unis), à qui n'est transmis qu'un empreinte cryptographique (hash) du fichier, jamais son contenu.

  • Google Cloud Platform— hébergement, base de données, stockage de fichiers, file de tâches. Région : Belgique (europe-west1) et Pays-Bas (europe-west4 pour l'OCR et l'IA).
  • Google Document AI — extraction OCR des documents scannés (~5 % des chargements). Région : Pays-Bas (europe-west4).
  • Google Vertex AI (Claude par Anthropic)— classification, extraction par IA et assistant de copropriété. Région : Pays-Bas (europe-west4). Hébergement Google sous DPA, modèle Claude opéré sur l'infrastructure Vertex EU. Transit uniquement (pas de stockage durable, pas d'entraînement sur vos données).
  • Mistral AI— génération d'embeddings vectoriels pour la recherche sémantique. Région : Union européenne (Frankfurt). Transit uniquement, pas de stockage durable, DPA signé.
  • VirusTotal (États-Unis)— antivirus. Seul le hash SHA-256 du fichier est transmis. Le contenu du fichier ne quitte jamais l'Union européenne.
  • Mailgun — envoi des emails transactionnels et invitations. Région : Union européenne (Frankfurt).
  • Sentry— capture d'erreurs applicatives. Région : Union européenne (Frankfurt). Filtrage PII actif (email, nom, téléphone retirés des logs).
  • PostHog— mesure d'audience produit. Région : Union européenne (Frankfurt). Events anonymisés (identifiant interne uniquement).
  • Upstash — rate-limit applicatif via Redis. Région : Belgique (GCP europe-west1).
  • Base Adresse Nationale (data.gouv.fr / IGN)— autocomplétion d'adresses françaises. Service public, hébergé en France.

5. Durée de conservation

  • Compte actif : durée de la souscription.
  • Compte résilié : 12 mois après résiliation, puis suppression. Possibilité de portabilité préalable sur demande.
  • Documents : tant que la copropriété est active, ou jusqu'à suppression manuelle par leur propriétaire.
  • Logs de sécurité (IP hashée, audit, rate-limit) : 30 jours glissants.
  • Données de facturation : 10 ans (obligation légale comptable).
  • Tickets support : 24 mois, puis archivage anonymisé.

6. Vos droits

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

  • Accès : obtenir une copie de vos données.
  • Rectification : corriger des données inexactes.
  • Effacement : supprimer votre compte et vos données.
  • Limitation : suspendre temporairement le traitement.
  • Portabilité : récupérer vos données dans un format structuré.
  • Opposition : refuser un traitement basé sur l'intérêt légitime.

Pour exercer ces droits, contactez le délégué à la protection des données : dpo@inafest.fr. Délai de réponse : 30 jours maximum.

En cas de difficulté, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), cnil.fr.

7. Cookies

Koproz utilise un nombre limité de cookies, tous strictement nécessaires au fonctionnement du Service :

  • Cookie de session (Better Auth) : maintien de la connexion, durée 30 jours.
  • Cookie de vérification CSRF : sécurité.

Aucun cookie tiers de tracking publicitaire n'est utilisé. La mesure d'audience PostHog repose sur un identifiant interne anonyme stocké en local, sans traçage croisé.

8. Sécurité

Inafest met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications en TLS 1.2+.
  • Chiffrement au repos des bases de données et des fichiers (GCP par défaut).
  • Mots de passe hashés en argon2id (jamais stockés en clair).
  • Authentification à 2 facteurs disponible (à venir).
  • Logs d'audit conservés 30 jours.
  • Backups DB quotidiens.
  • Rate-limiting et détection anti-fraude (signups en masse, emails jetables, alias).

9. Modifications de la politique

Inafest peut faire évoluer la présente politique. Toute modification substantielle est notifiée par email aux Utilisateurs au moins 30 jours avant son entrée en vigueur.