Politique de confidentialité
Dernière mise à jour : mai 2026
1. Responsable du traitement
Thomas Collomb — Auto-entrepreneur
SIRET : 898 552 955 00020
138 Cours Berriat, 38000 Grenoble
contact@getkora.tech
2. Données collectées
Kora traite uniquement les données strictement nécessaires à chaque finalité :
| Traitement | Données | Base légale | Durée |
|---|---|---|---|
| Authentification | Email, nom, photo (Google OAuth) | Exécution du contrat | Durée du compte + 3 ans |
| Profil alimentaire standard | Régime vegan, végétarien | Consentement | Durée du compte |
| Profil alimentaire sensible | Halal, casher (convictions religieuses — art. 9 RGPD) | Consentement explicite | Durée du compte |
| Objectif nutritionnel | goalType bulk/cut/recomp | Consentement | Local uniquement — jamais transmis |
| Historique scans | Images de menus, résultats IA | Exécution du contrat | 90 jours |
| Analytics visiteurs | IP hashée + user-agent hashé | Consentement (bannière) | 13 mois |
| Abonnement restaurateur | Coordonnées professionnelles, paiement Stripe | Contrat + obligation légale | 10 ans (comptabilité) |
| Avis restaurants | Note, commentaire, date | Consentement | Durée du compte |
| Logs techniques | Erreurs serveur (Vercel) | Intérêt légitime | 30 jours |
Les données stockées dans votre navigateur (objectif nutritionnel, favoris anonymes, historique repas, thème) restent exclusivement locales et ne sont jamais transmises à Kora.
3. Sous-traitants et transferts hors UE
Kora fait appel aux prestataires suivants, tous soumis à des garanties contractuelles (Clauses Contractuelles Types) pour les transferts vers des pays tiers :
Supabase Inc.
Base de données et authentification — États-Unis (données EU-West / Francfort)
Garantie : Clauses Contractuelles Types (CCT)
Vercel Inc.
Hébergement de l'application — États-Unis
Garantie : CCT
OpenAI LLC
Analyse IA des images de menus scannés — États-Unis
Garantie : Data Processing Agreement (DPA)
Stripe Inc.
Traitement des paiements abonnements restaurateurs — États-Unis
Garantie : DPA Stripe (automatique)
4. Cookies et traceurs
- Cookies de session Supabase Auth — nécessaires au fonctionnement du service. Exemptés de consentement (art. 82 loi Informatique et Libertés).
- Beacon analytics (IP et user-agent hashés quotidiennement) — soumis à votre consentement via la bannière affichée à votre première visite. Vous pouvez retirer votre consentement à tout moment en vidant vos données de navigation locales.
- localStorage (objectif nutritionnel, historique repas, favoris, thème) — données purement locales à votre appareil, jamais transmises à Kora.
5. Photos de menus scannés
Les photos que vous prenez ou importez pour scanner un menu sont transmises à l'API OpenAI (GPT-4 Vision) afin d'en extraire les informations nutritionnelles. Elles sont traitées en mémoire et ne sont pas conservées par OpenAI au-delà du traitement (conformément au DPA OpenAI). Elles ne sont pas stockées de façon permanente par Kora.
6. Vos droits (RGPD)
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Accès — obtenir une copie de vos données personnelles.
- Rectification — corriger des données inexactes.
- Effacement — supprimer votre compte depuis votre profil ou par email.
- Portabilité — recevoir vos données dans un format structuré.
- Opposition — vous opposer au traitement analytics à tout moment.
- Limitation — demander la suspension temporaire d'un traitement.
Pour exercer vos droits : contact@getkora.tech
Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes