Politique de confidentialité
Service Olia — En vigueur à compter du 20 avril 2026 — Version 1.0
Préambule
La présente politique de confidentialité (ci-après « Politique ») a pour objet d'informer les utilisateurs du service Olia (ci-après le « Service »), édité par Kema Studio, Lda, des modalités de traitement de leurs données à caractère personnel.
Elle est établie en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), et de la loi portugaise n° 58/2019 du 8 août 2019 assurant l'exécution du RGPD au Portugal.
1. Responsable de traitement
1.1. Pour les données des Utilisateurs du Service
Kema Studio est responsable de traitement pour les données suivantes :
- Données d'identification et de contact des Utilisateurs (nom, prénom, courriel, téléphone, données de facturation) ;
- Données de connexion et d'usage du Service ;
- Données relatives à la facturation et au paiement ;
- Données de navigation sur le site olia-app.fr (cookies).
1.2. Pour les données saisies dans le Service par l'Utilisateur
Pour les Données que l'Utilisateur saisit, importe ou fait transiter via le Service dans le cadre de son activité professionnelle (informations sur ses clients, ses dossiers, ses factures, son activité), l'Utilisateur est responsable de traitement et Kema Studio est sous-traitant au sens de l'article 28 du RGPD.
Les modalités de ce traitement sont précisées dans l'Accord de traitement des données (DPA).
2. Coordonnées du responsable de traitement
Kema Studio, Lda — Rua Leite de Vasconcelos, 85, 8 E, 1170-199 Lisboa, Portugal
NIPC : 519361776 — Courriel : hello@kema-studio.com
Délégué à la protection des données (DPO)
Raphaël Macquet — raphael@kema-studio.com
3. Données collectées, finalités, bases légales et durées
3.1. Données d'inscription et de gestion du compte
Catégories : nom, prénom, courriel professionnel, mot de passe chiffré, barreau de rattachement, nom du cabinet.
Finalité : création et gestion du compte utilisateur, authentification, communication relative au Service.
Base légale : exécution du contrat (art. 6.1.b RGPD).
Durée : pendant la durée de l'Abonnement, puis 30 jours après résiliation, sous réserve des durées de conservation légales.
3.2. Données de facturation et de paiement
Catégories : dénomination, adresse de facturation, n° de TVA, factures émises, historique des paiements, identifiant client Stripe.
Finalité : facturation, recouvrement, obligations comptables et fiscales.
Base légale : exécution du contrat et obligation légale (art. 6.1.b et c RGPD).
Durée : 10 ans à compter de la clôture de l'exercice (Código do IVA, régime SAF-T Portugal).
Important : Kema Studio ne stocke pas les données bancaires. Elles sont traitées par Stripe Payments Europe Ltd (PCI-DSS niveau 1).
3.3. Données de connexion et d'usage
Catégories : adresse IP, identifiants de session, horodatage, pages consultées, actions, terminal et navigateur.
Finalité : sécurité, prévention de la fraude, amélioration du Service.
Base légale : intérêt légitime (art. 6.1.f RGPD).
Durée : 12 mois (journaux), 6 mois (analyse d'usage).
3.4. Données de support
Catégories : historique des échanges (courriels, tickets).
Durée : 3 ans à compter du dernier échange.
3.5. Données de prospection
Base légale : consentement ou intérêt légitime pour la prospection B2B (art. L. 34-5 CPCE).
Durée : 3 ans à compter du dernier contact ou jusqu'au retrait du consentement.
4. Données clients et dossiers saisies par l'Utilisateur
Dans le cadre de son utilisation du Service, l'Utilisateur peut être amené à saisir des données relatives à ses propres clients et dossiers, susceptibles d'être couvertes par le secret professionnel de l'avocat (art. 66-5 de la loi n° 71-1130 du 31 décembre 1971).
Pour ces données, Kema Studio agit en qualité de sous-traitant et non de responsable de traitement. Les modalités sont précisées dans l'Accord de traitement des données (DPA).
Les collaborateurs de Kema Studio ayant accès à ces données sont tenus à une obligation de confidentialité renforcée, visant explicitement le respect du secret professionnel des avocats.
Dans le cadre de l'import de factures, le Service met en œuvre une reconnaissance optique (OCR) du document via un sous-traitant établi dans l'Union européenne, sous régime de Zero Data Retention et sans réutilisation à des fins d'entraînement. L'extraction des données et leur rattachement à un dossier sont réalisés par Kema Studio dans son infrastructure ; les données extraites sont soumises à la validation de l'Utilisateur.
5. Destinataires des données
- Personnels habilités de Kema Studio (développement, support, facturation) ;
- Sous-traitants techniques listés à l'article 6 ;
- Autorités administratives ou judiciaires dans les cas prévus par la loi.
Kema Studio ne commercialise pas les données personnelles des Utilisateurs.
6. Sous-traitants
6.1. Sous-traitants techniques et opérationnels
- Supabase Inc. — base de données et authentification — hébergement AWS eu-north-1 (Stockholm, UE).
- Vercel Inc. — hébergement de l'application — infrastructure edge avec stockage UE.
- Stripe Payments Europe Ltd — paiements et abonnements — Irlande.
- Invopop — émission de factures électroniques conformes — Espagne.
- Resend — envoi d'emails transactionnels.
- Amplitude — analyse d'usage pseudonymisée.
- Sentry — supervision technique et remontée d'erreurs.
- Mistral AI (France, Union européenne) — reconnaissance optique (OCR) des factures importées.
6.2. Transferts hors Union européenne
Les données sont hébergées et traitées dans l'UE chaque fois que techniquement possible. Lorsqu'un transfert hors UE est nécessaire, il est encadré par une décision d'adéquation (Data Privacy Framework), les clauses contractuelles types (CCT) de la Commission européenne et des mesures techniques et organisationnelles complémentaires.
7. Sécurité
- Chiffrement des communications (TLS 1.2 ou supérieur) ;
- Chiffrement des données au repos au niveau de l'infrastructure ;
- Contrôle des accès et authentification forte ;
- Journalisation des accès aux données sensibles ;
- Sauvegardes régulières et testées ;
- Plan de réponse aux incidents de sécurité ;
- Engagement de confidentialité des personnels et sous-traitants.
En cas de violation de données susceptible d'engendrer un risque, Kema Studio notifie la CNPD (Portugal) dans un délai de 72 heures.
8. Droits des personnes concernées
- Droit d'accès (art. 15 RGPD)
- Droit de rectification (art. 16 RGPD)
- Droit à l'effacement (art. 17 RGPD)
- Droit à la limitation (art. 18 RGPD)
- Droit à la portabilité (art. 20 RGPD)
- Droit d'opposition (art. 21 RGPD)
- Droit de retirer son consentement à tout moment
- Droit de définir des directives relatives au sort des données après le décès
8.1. Exercice des droits
Par courriel à raphael@kema-studio.com ou par courrier au siège social, accompagnés d'un justificatif d'identité si nécessaire. Réponse sous un mois (prolongeable de deux mois).
8.2. Réclamation
- CNPD — Av. D. Carlos I, 134, 1º, 1200-651 Lisboa, Portugal — www.cnpd.pt
- CNIL — 3 Place de Fontenoy, 75007 Paris — www.cnil.fr
- Toute autre autorité de contrôle de l'État membre de résidence habituelle.
9. Cookies
9.1. Cookies utilisés
Strictement nécessaires (sans consentement) : session, authentification, sécurité, préférences linguistiques.
Soumis à consentement : Google Analytics / Amplitude (mesure d'audience), Meta (pixel publicitaire), LinkedIn (pixel publicitaire).
9.2. Gestion du consentement
À votre première visite, une bannière vous permet d'accepter, refuser ou paramétrer les cookies non essentiels. Vous pouvez modifier vos préférences via le lien « Gérer mes cookies » disponible en bas de page. La durée n'excède pas 13 mois.
10. Modifications
La présente Politique peut être modifiée. Toute modification substantielle est notifiée aux Utilisateurs par courriel ou dans le Service.
11. Contact
Pour toute question : raphael@kema-studio.com