Karium

Politique de Confidentialité

Dernière mise à jour : 8 février 2026

1. Préambule

La société KARIUM SAS, société par actions simplifiée au capital de 1 000 euros, dont le siège social est situé au 200 Rue de la Croix Nivert, 75015 Paris (ci-après « KARIUM » ou « Nous »), attache une importance particulière à la protection de la vie privée et des données à caractère personnel de ses utilisateurs.

La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet de vous informer, de manière transparente et complète, sur les traitements de données à caractère personnel mis en œuvre dans le cadre de l'utilisation :

  • du site internet accessible à l'adresse karium.fr (ci-après le « Site ») ;
  • des applications mobiles KARIUM disponibles sur l'App Store (iOS) et Google Play Store (Android) (ci-après les « Applications »).

Cette Politique est établie conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »).

2. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via le Site et les Applications est :

KARIUM SAS

200 Rue de la Croix Nivert, 75015 Paris

Email : contact@karium.fr

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse : dpo@karium.fr

3. Définitions

Au sens de la présente Politique, les termes ci-après ont la signification suivante :

  • « Données à caractère personnel » ou « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
  • « Traitement » : toute opération ou ensemble d'opérations effectuées sur des données personnelles, telles que la collecte, l'enregistrement, la conservation, la modification, l'extraction, la consultation, l'utilisation ou l'effacement.
  • « Sous-traitant » : toute personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
  • « Service » : l'ensemble des fonctionnalités proposées par KARIUM via le Site et les Applications, notamment l'assistant d'aide à la cotation NGAP.
  • « Utilisateur » ou « Vous » : toute personne physique utilisant le Site, les Applications ou le Service.

4. Données collectées

Dans le cadre de l'utilisation du Site, des Applications et du Service, nous sommes susceptibles de collecter les catégories de données suivantes :

4.1. Données d'identification

  • Nom, prénom (obligatoire)
  • Adresse email (obligatoire)
  • Numéro de téléphone (facultatif)
  • Profession / spécialité (facultatif)

4.2. Données de connexion et techniques

  • Adresse IP
  • Type et version du navigateur ou de l'application
  • Système d'exploitation et type d'appareil
  • Pages visitées, date et heure de connexion
  • Identifiants techniques d'appareil (pour les Applications)
  • Tokens de notification push (si vous activez les notifications)

4.3. Données d'utilisation du Service

  • Historique des conversations avec l'assistant IA
  • Préférences et paramètres de compte
  • Données comportementales : actions effectuées, fonctionnalités utilisées, temps passé

4.4. Données relatives au support client

  • Contenu des échanges avec notre service client
  • Données de navigation contextuelles lors des interactions support
  • Informations de segmentation à des fins d'amélioration du service

4.5. Données de paiement

Les données de paiement (numéro de carte bancaire, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, Inc., certifié PCI-DSS. KARIUM ne stocke aucune donnée de carte bancaire sur ses serveurs. Nous conservons uniquement les informations nécessaires à la gestion de votre abonnement (historique des transactions, factures).

Important : Le Service est destiné à l'assistance à la cotation des actes professionnels. Nous vous rappelons que les questions posées à l'assistant KARIUM ne doivent contenir aucune donnée permettant d'identifier directement ou indirectement vos patients. KARIUM n'est pas destiné à traiter des données de santé au sens de l'article 9 du RGPD.

5. Bases légales et finalités

Conformément aux articles 6 et 7 du RGPD, tout traitement de données personnelles repose sur une base légale. Le tableau ci-dessous présente les finalités de nos traitements et leurs bases légales respectives :

FinalitéBase légale
Création et gestion de votre compte utilisateurExécution du contrat (art. 6.1.b RGPD)
Fourniture du Service d'assistant IAExécution du contrat (art. 6.1.b RGPD)
Gestion des abonnements et facturationExécution du contrat (art. 6.1.b RGPD)
Conservation des factures et pièces comptablesObligation légale (art. 6.1.c RGPD)
Support client et assistance techniqueExécution du contrat (art. 6.1.b RGPD)
Envoi de communications commerciales et newslettersConsentement (art. 6.1.a RGPD)
Envoi de notifications push (Applications)Consentement (art. 6.1.a RGPD)
Amélioration du Service et analyse d'usage anonymiséeIntérêt légitime (art. 6.1.f RGPD)
Détection des fraudes et sécurité du ServiceIntérêt légitime (art. 6.1.f RGPD)
Amélioration des modèles IA internes (données anonymisées)Intérêt légitime (art. 6.1.f RGPD)
Mesure de performance des campagnes publicitaires (Meta Pixel, TikTok Pixel, Conversions API / Events API)Consentement (art. 6.1.a RGPD)
Analyse produit, enregistrement de sessions et feature flags (PostHog)Consentement (art. 6.1.a RGPD)

Retrait du consentement : Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment, sans que cela ne porte atteinte à la licéité du traitement fondé sur le consentement effectué avant ce retrait. Vous pouvez notamment vous désabonner des communications commerciales via le lien prévu à cet effet dans chaque email, ou depuis les paramètres de votre compte.

6. Destinataires et sous-traitants

Vos données personnelles sont traitées par les personnels habilités de KARIUM, dans la limite de leurs attributions respectives. Elles peuvent également être communiquées aux catégories de destinataires suivantes :

6.1. Sous-traitants techniques

Sous-traitantFinalitéLocalisation
Supabase, Inc.Hébergement des données, authentificationUE (Paris, France)
Vercel Inc.Hébergement du SiteUSA
Stripe, Inc.Traitement des paiementsUSA / UE
Intercom, Inc.Support client, CRM, communications marketingUSA
Google LLC (Firebase)Analytics mobiles, notifications push, rapports de crash (Applications)USA
Meta Platforms, Inc.Mesure de performance des campagnes publicitaires (Meta Pixel, Conversions API)USA
TikTok (ByteDance Ltd.)Mesure de performance des campagnes publicitaires (TikTok Pixel, Events API)Singapour / USA
PostHog Inc.Analyse produit, enregistrement de sessions (session replay avec masquage des inputs), feature flagsUE (eu.posthog.com)

6.2. Fournisseurs de services d'intelligence artificielle

Pour fournir le Service d'assistant IA, vos requêtes peuvent être transmises aux fournisseurs suivants :

FournisseurModèle(s)Localisation
OpenAI, L.L.C.GPTUSA
Anthropic, PBCClaudeUSA
Google LLCGeminiUSA
xAI Corp.GrokUSA
Mistral AIMistralUE (France)
KARIUM (modèles internes)Modèles propriétairesUE (France)

Les requêtes transmises à ces fournisseurs ne contiennent pas de données permettant de vous identifier directement. Nous utilisons les API professionnelles de ces services, lesquelles prévoient contractuellement que les données transmises ne sont pas utilisées pour entraîner leurs modèles d'IA.

6.3. Autres destinataires

  • Autorités compétentes : administration fiscale, autorités judiciaires ou de police, sur demande légale ou réquisition judiciaire.
  • Conseils professionnels : avocats, experts-comptables, commissaires aux comptes, dans le cadre de leurs missions légales.

Engagement contractuel : Tous nos sous-traitants sont liés par des accords de traitement des données (Data Processing Agreements) conformes à l'article 28 du RGPD, les obligeant à assurer la sécurité et la confidentialité de vos données.

Nous ne vendons jamais vos données personnelles.

7. Transferts internationaux

Certains de nos sous-traitants sont établis en dehors de l'Union européenne, notamment aux États-Unis. Ces transferts sont encadrés conformément aux exigences du RGPD par les garanties suivantes :

  • Data Privacy Framework UE-États-Unis : Pour les entreprises certifiées au titre de la décision d'adéquation de la Commission européenne du 10 juillet 2023 (Vercel, Stripe, Google, Intercom, OpenAI, Anthropic, xAI, Meta).
  • Clauses contractuelles types (CCT) : Clauses adoptées par la Commission européenne, intégrées aux contrats avec nos sous-traitants, notamment pour les transferts vers TikTok (ByteDance Ltd., Singapour).
  • Mesures supplémentaires : Chiffrement des données en transit et au repos, pseudonymisation des identifiants, limitation de l'accès aux données strictement nécessaires.

Vous pouvez obtenir une copie des garanties mises en place en nous contactant à l'adresse dpo@karium.fr.

8. Conservation des données

Vos données personnelles sont conservées pendant une durée proportionnée aux finalités pour lesquelles elles ont été collectées :

Catégorie de donnéesDurée de conservation
Données de compte (identification)Durée de la relation + 30 jours de période de récupération après demande de suppression. Anonymisation irréversible au terme des 30 jours.
Historique des conversations IAIllimité pendant la durée de l'abonnement. Après suppression : 30 jours de conservation puis conservation anonymisée (données personnelles supprimées, contenu conservé à des fins statistiques).
Données de facturation et pièces comptables10 ans (obligation légale – art. L.123-22 Code de commerce)
Logs de connexion et données techniques12 mois (obligation légale – art. 6 LCEN)
Historique des échanges support client3 ans à compter de la clôture du ticket
Consentements (marketing, cookies)3 ans à compter de la collecte ou jusqu'au retrait
Tokens de notification pushJusqu'à désactivation des notifications ou suppression du compte

À l'issue de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.

8.2. Processus de suppression de compte

Lorsque vous demandez la suppression de votre compte :

  • Période de récupération (30 jours) : Votre compte est désactivé mais vos données sont conservées. Vous pouvez réactiver votre compte en vous reconnectant avec vos identifiants habituels. Votre email reste bloqué pour la création d'un nouveau compte.
  • Anonymisation (après 30 jours) : Vos données personnelles sont définitivement anonymisées :
    • Vos informations d'identification (email, nom, prénom, avatar) sont supprimées
    • Votre compte d'authentification est supprimé (vous ne pouvez plus vous connecter)
    • Votre historique de conversations est conservé sous forme anonymisée à des fins statistiques et d'amélioration du Service
    • Votre email est libéré et peut être réutilisé pour créer un nouveau compte
    • Cette anonymisation est irréversible
  • Suppression immédiate : Si vous souhaitez une suppression immédiate sans période de récupération, vous pouvez en faire la demande auprès de notre DPO à dpo@karium.fr.

9. Vos droits

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16 RGPD) : demander la correction de vos données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17 RGPD) : obtenir la suppression de vos données dans les cas prévus par la réglementation.
  • Droit à la limitation du traitement (art. 18 RGPD) : demander le gel temporaire de l'utilisation de vos données dans certaines circonstances.
  • Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission à un autre responsable de traitement.
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, ou à des fins de prospection commerciale.
  • Droit de retirer votre consentement : à tout moment, lorsque le traitement repose sur votre consentement.
  • Droit de définir des directives post-mortem (art. 85 Loi Informatique et Libertés) : définir des instructions relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Comment exercer vos droits :

  • Par email à dpo@karium.fr
  • Par courrier : KARIUM SAS, 200 Rue de la Croix Nivert, 75015 Paris
  • Depuis les paramètres de votre compte (pour l'accès, rectification et suppression)

Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes, auquel cas vous en serez informé.

Justificatif d'identité : Pour des raisons de sécurité, nous pouvons vous demander de justifier de votre identité avant de donner suite à votre demande.

Réclamation auprès de la CNIL : Si vous estimez que le traitement de vos données constitue une violation de vos droits, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr – 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

10. Cookies et traceurs (Site)

Le Site utilise des cookies et technologies similaires. Conformément à l'article 82 de la Loi Informatique et Libertés, certains cookies sont soumis à votre consentement préalable, tandis que d'autres en sont exemptés.

10.1. Cookies strictement nécessaires (exemptés de consentement)

  • Cookies de session : maintien de votre authentification (Supabase Auth)
  • Cookies de préférence : mémorisation de vos choix d'interface (thème, langue)
  • Cookies de sécurité : prévention des attaques CSRF et protection du Service

10.2. Cookies analytiques first-party

Nous utilisons des outils d'analyse first-party pour mesurer l'audience du Site de manière anonymisée. Ces cookies ne permettent pas de vous identifier personnellement et sont déposés uniquement sur la base de notre intérêt légitime à améliorer le Service.

10.3. Cookies tiers (soumis à consentement)

Le Site peut déposer les cookies tiers suivants, sous réserve de votre consentement :

  • Meta Pixel (_fbp, _fbc) : cookies déposés par Meta Platforms, Inc. pour mesurer l'efficacité de nos campagnes publicitaires sur Facebook et Instagram. Le cookie _fbp identifie le navigateur pour l'attribution des conversions. Le cookie _fbc est déposé lorsque vous arrivez sur le Site via une publicité Meta. Durée : 90 jours maximum. Les données de conversion sont également transmises côté serveur via l'API Conversions de Meta, accompagnées de votre adresse IP et de votre agent utilisateur (user-agent), uniquement si vous avez donné votre consentement.
  • TikTok Pixel (_ttp) : cookie déposé par TikTok (ByteDance Ltd.) pour mesurer l'efficacité de nos campagnes publicitaires sur TikTok. Le cookie _ttp identifie le navigateur pour l'attribution des conversions. Durée : 13 mois maximum. Les données de conversion sont également transmises côté serveur via l'Events API de TikTok, accompagnées de votre adresse IP et de votre agent utilisateur (user-agent), uniquement si vous avez donné votre consentement.
  • Intercom : cookies déposés par Intercom, Inc. pour améliorer votre expérience d'assistance via le widget de support client.
  • PostHog : cookies déposés par PostHog Inc. pour analyser l'utilisation du Site (pages visitées, clics, parcours utilisateur), enregistrer les sessions utilisateur (session replay avec masquage automatique de tous les textes et des inputs sensibles), et gérer les feature flags. Les données sont hébergées dans l'Union européenne (eu.posthog.com). Durée : 12 mois maximum. Ces cookies ne sont activés qu'après recueil de votre consentement.

Gestion de vos préférences : Vous pouvez à tout moment modifier vos préférences en matière de cookies depuis les paramètres de votre navigateur ou via le bandeau de gestion des cookies présent sur le Site.

Le Site utilise des cookies publicitaires de Meta (Facebook) et de TikTok uniquement pour mesurer la performance de nos campagnes, ainsi que des cookies PostHog pour l'analyse produit et l'enregistrement de sessions. Ces cookies ne sont activés qu'après recueil de votre consentement et ne sont pas utilisés à des fins de profilage commercial direct par KARIUM.

11. Données techniques des Applications mobiles

Les Applications iOS et Android collectent des données techniques nécessaires à leur bon fonctionnement :

  • Identifiants d'appareil : identifiants techniques anonymisés permettant de distinguer les installations (Firebase Installation ID). Ces identifiants ne permettent pas de vous identifier personnellement.
  • Tokens de notifications push : si vous activez les notifications, un identifiant unique est généré par Firebase Cloud Messaging pour vous envoyer des alertes. Vous pouvez désactiver les notifications à tout moment depuis les paramètres de votre appareil.
  • Données de crash et performance : rapports techniques collectés par Firebase Crashlytics pour identifier et corriger les dysfonctionnements de l'Application.
  • Données d'usage anonymisées : Firebase Analytics collecte des données agrégées sur l'utilisation de l'Application (écrans consultés, actions effectuées) afin d'améliorer l'expérience utilisateur.

Ce que les Applications ne collectent pas :

  • Données de géolocalisation
  • Accès à vos contacts, photos ou fichiers personnels
  • Identifiants publicitaires (IDFA/GAID) à des fins de ciblage

12. Intelligence artificielle

12.1. Fournisseurs tiers

Pour fournir le Service d'assistant IA, vos requêtes sont transmises à des fournisseurs tiers de modèles de langage (OpenAI, Anthropic, Google, xAI). Nous utilisons exclusivement leurs API professionnelles, dont les conditions contractuelles prévoient que :

  • Les données transmises ne sont pas utilisées pour entraîner leurs modèles.
  • Les requêtes ne sont pas conservées au-delà du temps nécessaire à leur traitement.
  • Des mesures de sécurité appropriées sont mises en œuvre pour protéger les données.

12.2. Modèles internes et amélioration du Service

KARIUM développe également ses propres modèles d'IA. À cette fin, nous utilisons les données de conversation de manière anonymisée et agrégée pour améliorer la qualité et la pertinence des réponses fournies par le Service. Ce traitement est fondé sur notre intérêt légitime à améliorer continuellement le Service.

L'anonymisation consiste à supprimer ou remplacer toute information permettant de vous identifier directement ou indirectement avant toute utilisation pour l'entraînement.

12.3. Absence de décision automatisée

Le Service fournit une assistance à la cotation des actes professionnels. Les suggestions proposées par l'assistant IA constituent une aide à la décision et non une décision automatisée au sens de l'article 22 du RGPD. La décision finale de cotation relève de votre seule responsabilité professionnelle.

13. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques, conformément à l'article 32 du RGPD :

  • Chiffrement : données chiffrées en transit (TLS 1.3) et au repos (AES-256)
  • Authentification renforcée : authentification multifacteur (MFA) disponible pour sécuriser l'accès à votre compte
  • Gestion des accès : accès aux données limité aux personnels habilités, selon le principe du moindre privilège
  • Hébergement sécurisé : infrastructure hébergée sur des serveurs certifiés (ISO 27001, SOC 2 Type II)
  • Audits de sécurité : tests de vulnérabilité et audits réguliers de nos systèmes
  • Politique de gestion des incidents : procédures de détection, notification et correction des violations de données conformément à l'article 33 du RGPD

Malgré ces mesures, aucune transmission de données sur Internet ne peut être garantie comme totalement sécurisée. Vous êtes responsable de la confidentialité de vos identifiants de connexion.

14. Protection des mineurs

Le Service est exclusivement destiné aux personnes majeures, âgées de dix-huit (18) ans et plus. En créant un compte, vous déclarez être majeur et disposer de la pleine capacité juridique.

KARIUM ne collecte pas sciemment de données personnelles concernant des mineurs. Si nous découvrons que nous avons collecté des données personnelles d'une personne mineure, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais.

Si vous êtes parent ou tuteur et que vous pensez que votre enfant mineur nous a fourni des données personnelles, veuillez nous contacter immédiatement à dpo@karium.fr afin que nous puissions procéder à la suppression de ces données.

15. Modifications de la Politique

Nous nous réservons le droit de modifier la présente Politique à tout moment, notamment pour nous conformer à toute évolution législative, réglementaire, jurisprudentielle ou technique.

En cas de modification substantielle affectant vos droits ou nos obligations, nous vous en informerons par email et/ou par une notification visible sur le Site et les Applications au moins quinze (15) jours avant l'entrée en vigueur des nouvelles dispositions.

La date de « dernière mise à jour » figurant en tête de cette Politique sera actualisée en conséquence. Nous vous invitons à consulter régulièrement cette page.

16. Contact

Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez nous contacter :

KARIUM SAS

200 Rue de la Croix Nivert, 75015 Paris

Email : dpo@karium.fr

Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Site web : www.cnil.fr
  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Cette Politique de Confidentialité complète nos Mentions Légales, Conditions Générales d'Utilisation et Conditions Générales de Vente.