Politique de confidentialité
Dernière mise à jour : 6 mars 2026
La présente politique de confidentialité décrit comment OXCA SAS collecte, utilise et protège vos données personnelles dans le cadre de l'utilisation du service Krelio, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- OXCA SAS
- SIRET : 894 325 414 00015
- RCS : Marseille
- Email : oxca.fr@gmail.com
2. Délégué à la protection des données
Le délégué à la protection des données (DPO) est Joseph Cascales.
Pour toute question relative à la protection de vos données, vous pouvez le contacter à l'adresse : oxca.fr@gmail.com
3. Données collectées
3.1 Données d'inscription
- Nom et prénom
- Adresse email
- Mot de passe (hashé, non stocké en clair)
- Nom de l'entreprise / workspace
3.2 Données de profil et workspace
- Raison sociale, adresse, SIRET, numéro de TVA
- Logo et informations légales (pour la facturation)
3.3 Données d'utilisation du service
- Contacts, organisations, deals, devis, factures saisis par l'utilisateur
- Interactions, rappels, notes
- Pièces jointes et fichiers uploadés
- Données de formulaires de capture (leads)
3.4 Données techniques
- Adresse IP
- Type de navigateur et système d'exploitation
- Date et heure de connexion
- Pages consultées
3.5 Données de paiement
Les données de carte bancaire sont collectées et traitées exclusivement par Stripe. OXCA SAS ne stocke aucune donnée de carte bancaire.
4. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat |
| Fourniture du service CRM | Exécution du contrat |
| Facturation et gestion des abonnements | Exécution du contrat / Obligation légale |
| Envoi de notifications et rappels | Exécution du contrat |
| Suggestions IA (relances, résumés) | Exécution du contrat |
| Support technique | Intérêt légitime |
| Amélioration du service | Intérêt légitime |
| Prévention de la fraude | Intérêt légitime |
5. Base légale du traitement
Les traitements de données personnelles sont fondés sur :
- L'exécution du contrat (article 6.1.b du RGPD) : les données nécessaires à la fourniture du service
- L'obligation légale (article 6.1.c du RGPD) : conservation des factures, obligations comptables
- L'intérêt légitime (article 6.1.f du RGPD) : amélioration du service, support, sécurité
- Le consentement (article 6.1.a du RGPD) : envoi de communications commerciales (le cas échéant)
6. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de la relation contractuelle + 3 ans |
| Données CRM (contacts, deals...) | Durée de la relation contractuelle + 30 jours après résiliation |
| Factures et données comptables | 10 ans (obligation légale) |
| Données de connexion (logs) | 12 mois |
| Corbeille (données supprimées) | 30 jours avant suppression définitive |
| Données de leads (formulaires) | Durée de la relation contractuelle |
7. Destinataires des données
Vos données personnelles sont destinées à :
- L'équipe technique de OXCA SAS (administration du service)
- Les sous-traitants listés ci-dessous (hébergement, paiement)
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales ou publicitaires.
8. Sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Infomaniak Network SA | Hébergement du service | Suisse (décision d'adéquation UE) |
| Stripe Inc. | Traitement des paiements | États-Unis (clauses contractuelles types) |
| Anthropic | Suggestions IA (relances, résumés) | États-Unis (clauses contractuelles types) |
| Google (Calendar API) | Synchronisation calendrier (si activée par l'utilisateur) | États-Unis (clauses contractuelles types) |
Chaque sous-traitant est lié par un accord de traitement de données (DPA) conforme à l'article 28 du RGPD.
9. Transferts hors UE
Certains sous-traitants (Stripe, Anthropic, Google) sont situés aux États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types (CCT) de la Commission européenne
- Le cas échéant, le Data Privacy Framework UE-US
L'hébergement principal du service est assuré par Infomaniak en Suisse, pays reconnu par la Commission européenne comme offrant un niveau de protection adéquat.
10. Cookies
10.1 Cookies utilisés
Krelio utilise exclusivement des cookies strictement nécessaires au fonctionnement du service :
| Cookie | Finalité | Durée |
|---|---|---|
PHPSESSID |
Session utilisateur (authentification) | Session |
REMEMBERME |
Connexion persistante (si activée) | 30 jours |
krelio-cookie-consent |
Mémorisation du choix cookies | localStorage (persistant) |
krelio-theme |
Préférence mode clair/sombre | localStorage (persistant) |
10.2 Cookies tiers
Krelio n'utilise aucun cookie de tracking, de publicité ou d'analyse (pas de Google Analytics, pas de Facebook Pixel, pas de cookie de retargeting).
10.3 Gestion des cookies
Vous pouvez gérer vos préférences via le bandeau cookies affiché lors de votre première visite, ou via les paramètres de votre navigateur.
11. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données
- Droit à la limitation du traitement (art. 18) : demander la suspension du traitement de vos données
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (CSV, PDF)
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement
Pour exercer ces droits, contactez notre DPO à l'adresse oxca.fr@gmail.com. Nous nous engageons à répondre dans un délai d'un mois.
La fonction d'export (CSV, PDF) disponible dans le service vous permet d'exercer directement votre droit à la portabilité.
12. Sécurité des données
OXCA SAS met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS)
- Mots de passe hashés (algorithme bcrypt)
- Isolation des données par workspace (architecture multi-tenant)
- Contrôle d'accès basé sur les rôles (propriétaire, administrateur, membre)
- Protection contre les attaques CSRF, XSS et injection SQL
- Limitation du taux de requêtes (rate limiting) sur les formulaires
- En-têtes de sécurité HTTP (HSTS, X-Content-Type-Options, X-Frame-Options)
- Sauvegardes régulières
13. Mineurs
Le service Krelio est destiné à un usage professionnel et n'est pas conçu pour les personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs.
14. Modifications de la politique
La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. En cas de modification substantielle, les utilisateurs seront informés par email ou notification dans le service.
La date de dernière mise à jour est indiquée en haut de cette page.
15. Contact et réclamation
Pour toute question relative à la protection de vos données :
- DPO : Joseph Cascales
- Email : oxca.fr@gmail.com
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22