Politique de Confidentialité

Cette Politique de Confidentialité explique comment Kapsule Group Limited (« Kapsule Cloud », « nous », « notre ») collecte, utilise, détient, stocke, divulgue et protège les informations personnelles lorsque vous utilisez nos services d'hébergement cloud, d'enregistrement de domaine, d'hébergement de messagerie et les services et produits connexes (collectivement, les « Services »). Elle a été rédigée pour se conformer à la Privacy Act 2020 de la Nouvelle-Zélande et aux douze Principes de Confidentialité des Informations (« IPPs ») énoncés dans cette loi.

Cette Politique de Confidentialité s'applique à nos clients, au personnel de nos clients, aux visiteurs de kapsulecloud.com et kpanel.kapsulecloud.com, aux candidats et à toute autre personne dont nous détenons des informations personnelles. Elle ne s'applique pas aux informations que vous choisissez de stocker sur les Services concernant d'autres personnes ; ce traitement est régi par l'Accord de Traitement des Données (« DPA »).

Nous nous engageons à traiter vos informations personnelles de manière ouverte et conforme à la loi. Si vous avez une préoccupation, veuillez d'abord nous contacter à [email protected]. Nous travaillerons avec vous pour la résoudre. Vous pouvez également déposer plainte auprès du Bureau du Commissaire à la Confidentialité (détails à la clause 12).

Kapsule Group Limited (NZBN 9429050450015) est une société constituée en Nouvelle-Zélande ayant son siège social enregistré à Christchurch. Nous sommes l'organisme responsable au titre de la Privacy Act 2020 concernant les informations personnelles que nous détenons à votre sujet.

Contact pour les questions de confidentialité : [email protected] | Responsable de la confidentialité, Kapsule Group Limited, Christchurch, Nouvelle-Zélande.

Nous ne collectons que les informations personnelles dont nous avons besoin pour une ou plusieurs des finalités énoncées à la clause 3.

Informations de compte : nom, nom commercial, adresse e-mail, numéro de téléphone, adresse de facturation, pays, ainsi que le nom d'utilisateur et le mot de passe haché que vous définissez.

Informations de vérification : le cas échéant pour prévenir la fraude ou se conformer à la loi, pièce d'identité gouvernementale, justificatif de domicile ou autres documents d'identité.

Informations de paiement : mode de paiement, historique de facturation, identifiants de transaction et détails partiels de carte (quatre derniers chiffres et type de carte). Les numéros de carte complets sont tokenisés par Stripe et ne sont pas stockés sur nos systèmes.

Informations d'authentification : mots de passe hachés, secrets d'authentification à deux facteurs et codes de récupération, jetons de session, journaux d'authentification et pistes d'audit de réinitialisation de mot de passe.

Métadonnées du contenu client : noms de fichiers, tailles, types de contenu, dates de téléchargement, journaux d'accès et autres métadonnées concernant le contenu que vous stockez sur les Services. Nous n'inspections pas régulièrement le contenu substantiel du Contenu Client.

Données d'utilisation : utilisation des ressources serveur (CPU, mémoire, stockage, bande passante, requêtes, interrogations, volumes de courrier), utilisation des fonctionnalités dans KPanel, enregistrements des appels API, journaux d'erreurs et métriques agrégées utilisées pour la planification des capacités, la prévention des abus et l'amélioration des produits.

Informations relatives aux appareils et connexions : adresse IP, type et version du navigateur, système d'exploitation, type d'appareil, résolution d'écran, langue, fuseau horaire, localisation géographique approximative dérivée de l'adresse IP, URL de référence et identifiants uniques d'appareil.

Communications : enregistrements de vos communications avec nous, y compris les tickets d'assistance, les messages KPanel, les conversations avec Kora (notre assistant support IA), les e-mails, les enregistrements d'appels téléphoniques ou vidéo (lorsque vous y consentez), les réponses aux sondages et les commentaires.

Informations sur le titulaire du domaine : lorsque vous enregistrez un domaine par notre intermédiaire, les informations de contact du titulaire, administratif, technique et de facturation requises par le registre concerné, y compris le nom, l'organisation, l'adresse, l'e-mail et le téléphone. Si vous activez la confidentialité WHOIS, l'affichage public WHOIS affiche un contact proxy de confidentialité au lieu de vos informations de contact personnelles, mais nous conservons toujours les informations sous-jacentes.

Métadonnées de courrier : pour les Services de messagerie, en-têtes de message (y compris l'expéditeur, le destinataire, l'objet, l'identifiant du message, les horodatages), données d'acheminement et indicateurs de réputation. Nous ne lisons pas régulièrement le contenu de vos messages, sauf si cela est strictement nécessaire pour la sécurité, la prévention des abus ou pour se conformer à la loi.

Cookies et technologies similaires : voir notre Politique relative aux cookies à kapsulecloud.com/legal/cookies.

Informations sur les candidats à un emploi : lorsque vous postulez pour un rôle chez nous, votre CV, lettre de motivation, références et les informations que vous fournissez pendant le processus de recrutement.

Autres informations : toute autre information personnelle que vous choisissez de nous fournir.

Nous collectons, utilisons et divulguons les informations personnelles aux fins suivantes :

Fournir les Services : y compris créer, exploiter, soutenir et maintenir votre Compte, approvisionner les ressources, livrer le contenu, héberger les sites Web, envoyer et recevoir des e-mails en votre nom, et enregistrer les noms de domaine.

Facturer et collecter les paiements : y compris traiter les transactions, émettre des factures, calculer les impôts, relancer les paiements échoués, traiter les remboursements et gérer les litiges et les rétrofacturations.

Authentifier et sécuriser les Services : y compris vérifier votre identité, appliquer l'authentification multifacteur, détecter et prévenir la fraude, les abus et l'accès non autorisé, et protéger l'intégrité de la plateforme.

Communiquer avec vous : y compris répondre aux demandes d'assistance, fournir des avis relatifs aux services (facturation, sécurité, pannes, modifications de politique) et, si vous acceptez, envoyer des communications marketing.

Améliorer nos Services : y compris analyser les données d'utilisation agrégées et désidentifiées, mener des recherches, développer de nouvelles fonctionnalités et évaluer les performances.

Nous conformer à la loi : y compris répondre aux demandes légitimes des régulateurs, des forces de l'ordre ou des tribunaux ; respecter les obligations de tenue de registres fiscaux et sociaux ; et nous conformer à la Privacy Act 2020, la Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (dans la mesure applicable) et à d'autres lois applicables.

Faire respecter nos accords : y compris enquêter sur les violations de nos Conditions de Service ou de notre Politique d'Utilisation Acceptable, exercer nos droits en vertu de ces accords et défendre les réclamations judiciaires.

Exploiter la détection automatisée des abus : nous exploitons des systèmes automatisés qui analysent les modèles d'activité des comptes, du trafic, des paiements et du contenu pour identifier les abus potentiels ou les violations de nos politiques. Lorsque le système signale une activité comme probablement abusive, des mesures automatisées proportionnées peuvent être appliquées (telles que des tests de défi, une limitation de débit, des blocages de compte ou la suspension de service), sous réserve d'un examen humain sur demande.

À des fins de recrutement : si vous postulez pour un poste chez nous, pour évaluer votre pertinence et communiquer avec vous au sujet de votre candidature.

Nous n'utilisons vos informations personnelles à aucune autre fin que celles énumérées dans cette clause ou à des fins que vous autorisez.

La plupart des informations personnelles que nous détenons à votre sujet sont collectées directement auprès de vous lors de votre inscription, de votre connexion, de vos contacts avec notre support, ou lors de votre utilisation des Services.

Nous collectons également des informations personnelles auprès de nos Sous-traitants et autres prestataires de services (par exemple, Stripe fournit le statut des paiements ; Cloudflare fournit la télémétrie de sécurité et de trafic) ; des bases de données de prévention de la fraude et des services de vérification tiers ; des sources publiques (notamment les enregistrements WHOIS et les registres publics) ; des recommandations (par exemple, lorsqu'un autre client vous recommande et que vous acceptez la recommandation) ; et vos interactions avec notre site web (notamment via les cookies ; voir Cookie Policy).

#5.1 Kora. Kora est notre assistant client IA, basé sur Anthropic Claude. Kora peut lire vos messages d'assistance, l'historique récent de vos tickets, le contexte de base de votre Compte, et toute information que vous incluez spécifiquement dans un chat d'assistance (par exemple, des extraits de journaux) afin de répondre à vos demandes.

#5.2 Mémoire et observabilité. Nous utilisons Mem0 pour maintenir la mémoire de conversation à court terme pour Kora afin qu'elle puisse répondre aux questions de suivi dans leur contexte, et Langfuse pour surveiller la qualité, la précision et la sécurité de l'IA.

#5.3 Limitations du traitement par IA. Nous n'autorisons pas nos sous-traitants IA à utiliser le Contenu Client ou vos communications d'assistance pour entraîner leurs modèles généraux. Le traitement par IA est destiné uniquement à la fourniture des Services.

#5.4 Absence de prise de décision automatisée ayant un effet juridique. Kora ne prend pas de décisions ayant des effets juridiques ou similairement significatifs vous concernant. Les décisions concernant la suspension, la résiliation, les remboursements ou les modifications de compte sont prises par des personnes, ou par des systèmes automatisés qui sont examinés par des personnes sur demande.

#5.5 Examen humain. Vous pouvez demander à tout moment que votre interaction d'assistance soit traitée par une personne en envoyant un e-mail à [email protected] ou [email protected].

#6.1 Nous divulguons les informations personnelles uniquement : (a) à nos sous-traitants (clause 7), qui sont tenus par des obligations contractuelles de confidentialité et de sécurité et autorisés à utiliser les informations uniquement pour nous fournir des services ; (b) aux partenaires d'intégration et à d'autres tiers où vous nous avez ordonné ou autorisé à le faire ; (c) aux conseillers professionnels (avocats, comptables, auditeurs, assureurs) soumis à des obligations de confidentialité ; (d) aux autorités chargées de l'application de la loi, aux régulateurs, aux tribunaux, aux registres ou à d'autres autorités où requis par la loi de la Nouvelle-Zélande ou par une loi étrangère applicable à un sous-traitant ; (e) aux acquéreurs en relation avec une fusion, acquisition ou vente de tout ou de la quasi-totalité de nos actifs (nous vous notifierons de tout tel changement) ; (f) lorsque raisonnablement nécessaire pour faire respecter nos accords, protéger nos droits ou ceux d'autrui, ou prévenir un préjudice ; et (g) avec votre consentement exprès.

#6.2 Nous ne vendons pas, ne louons pas et ne commercialisons pas les informations personnelles.

Nous nous appuyons sur les sous-traitants suivants pour fournir les Services. Chacun d'entre eux est soumis à un contrat écrit et à des obligations de sécurité et de confidentialité au moins aussi protectrices que celles énoncées dans cette Politique de Confidentialité.

Hetzner Online GmbH : Serveurs cloud et infrastructure (Allemagne/Finlande).

Cloudflare, Inc. : CDN, DNS, stockage d'objets R2 (sauvegardes hors site), sécurité (Mondial ; R2 Océanie pour les sauvegardes).

Stripe, Inc. : Traitement des paiements (États-Unis, Irlande).

Openprovider B.V. : Enregistrement de domaines : registrar (Pays-Bas).

Migadu Mail AG : Traitement des courriers entrants (Suisse).

Mailcow (auto-hébergé) : Hébergement des boîtes aux lettres clients (exploité par nous dans la région NZ/AU).

Amazon Web Services Inc (SES) : Courrier électronique sortant transactionnel (Mondial).

Anthropic, PBC : Traitement IA : Kora et fonctionnalités IA de la plateforme (États-Unis).

Mem0 : Mémoire de conversation IA (États-Unis).

Langfuse GmbH : Observabilité IA (Union Européenne).

Sentry (Functional Software, Inc) : Suivi des erreurs (États-Unis et Union Européenne).

GitHub, Inc : Hébergement interne du code source et authentification GitHub Sign In (États-Unis).

Apple, Inc. : Authentification Apple Sign In ; Apple reçoit votre identifiant Apple et votre adresse e-mail lorsque vous utilisez Sign in with Apple. Des adresses de relais privé (se terminant par @privaterelay.apple.com) peuvent être émises à la place de votre adresse e-mail réelle (États-Unis).

Une liste à jour et datée est maintenue sur kapsulecloud.com/legal/sub-processors. Nous vous notifierons de tout nouveau Sous-traitant qui traitera des données personnelles au moins trente jours avant que ce Sous-traitant ne commence le traitement, afin que vous puissiez vous opposer pour des raisons légitimes. Si vous vous opposez et que nous ne pouvons pas résoudre votre préoccupation, vous pouvez résilier le Service concerné et recevoir un remboursement au prorata des Frais payés d'avance.

#8.1 Certains Sous-traitants sont situés en dehors de la Nouvelle-Zélande. Lorsque des données personnelles sont transférées à l'étranger, nous nous assurons que le destinataire est tenu (par contrat ou en vertu de la loi) d'appliquer des protections comparables à celles prévues par la Privacy Act 2020. Cela comprend l'obligation que le destinataire soit soumis à des lois relatives à la protection des données qui, selon nous, offrent des garanties comparables (par exemple, le Règlement général sur la protection des données de l'UE), ou aux garanties contractuelles que nous mettons en place.

#8.2 En utilisant les Services, vous autorisez le transfert de vos données personnelles aux juridictions dans lesquelles nos Sous-traitants opèrent, tel que listés à la clause 7 et sur kapsulecloud.com/legal/sub-processors.

#8.3 Vous pouvez retirer cette autorisation en mettant fin aux Services. Le retrait de l'autorisation peut rendre impossible pour nous de continuer à fournir les Services.

Nous conservons les informations personnelles uniquement aussi longtemps que nous en avons besoin aux fins énoncées à la clause 3, ou comme l'exige la loi.

Informations de compte : conservées pendant toute la durée du Compte plus 12 mois après sa fermeture.

Registres de facturation et d'impôts : 7 ans à compter de la date de la transaction (Tax Administration Act 1994).

Contenu Client : conservé pendant la durée de l'abonnement plus une Période de Grâce de 30 jours après la résiliation.

Sauvegardes hors site (Contenu Client) : conservation minimale en roulement de 30 jours (plus longue pour les Plans supérieurs), supprimées à la rotation suivante après suppression.

Communications d'assistance : 3 ans après la fermeture du ticket.

Journaux de conversation Kora : 12 mois à compter de la date de la conversation, puis agrégés et désidentifiés.

Journaux d'authentification et de sécurité : 12 mois (plus longtemps si nécessaire pour une enquête active).

Registres de consentement marketing : durée de vie du consentement plus 7 ans après son retrait (pour prouver le consentement).

Informations de recrutement : 12 mois après la décision de recrutement (sauf si vous nous demandez de les conserver plus longtemps pour les opportunités futures).

Données WHOIS : pendant la durée de l'enregistrement du domaine plus toute période requise par l'ICANN ou le Registre pertinent.

Nous pouvons prolonger la conservation si la loi l'exige, pour défendre une réclamation juridique, ou pour enquêter sur un incident de sécurité ou y remédier.

#10.1 Nous protégeons les informations personnelles en utilisant une approche multicouche, comprenant : le chiffrement TLS pour toutes les données en transit ; le chiffrement au repos pour les sauvegardes et les bases de données sensibles ; les sauvegardes hors site chiffrées avec restic dans Cloudflare R2 (région Océanie) ; des contrôles d'accès stricts basés sur les rôles et des principes du privilège minimal ; l'authentification à deux facteurs obligatoire pour tout le personnel ayant accès aux systèmes de production ; les correctifs de sécurité réguliers, l'analyse des vulnérabilités et les tests de pénétration périodiques ; la séparation des données des clients ; la journalisation et la surveillance de l'accès et des modifications ; les procédures documentées de réponse aux incidents et de notification de violation ; et les engagements de confidentialité du personnel ainsi que la formation continue en matière de confidentialité et de sécurité.

#10.2 Une description plus détaillée de nos mesures techniques et organisationnelles est disponible sur kapsulecloud.com/legal/security.

#10.3 Aucun système n'est parfaitement sécurisé. En cas de violation de confidentialité notifiable, nous notifierons le Bureau du Commissaire à la vie privée et les personnes concernées dès que possible, et en tout état de cause dans les soixante-douze heures suivant le moment où nous avons connaissance de la violation, comme l'exigent les articles 112 et 114 de la Privacy Act 2020.

En vertu de la Privacy Act 2020, vous disposez des droits suivants concernant les informations personnelles que nous détenons à votre sujet.

Droit d'accès (IPP 6) : vous pouvez demander une copie des informations personnelles que nous détenons à votre sujet. Nous répondrons dans un délai de vingt jours ouvrables à compter de la réception de votre demande.

Droit de rectification (IPP 7) : vous pouvez demander que nous corrigions les informations personnelles qui sont inexactes, incomplètes, obsolètes, non pertinentes ou trompeuses. Si nous refusons d'effectuer une correction, nous joindrons une déclaration de la correction demandée, si vous en faites la demande.

Droit de demander la suppression : nous supprimerons les informations personnelles dont nous n'avons plus besoin, sous réserve de la conservation requise par la loi (voir clause 9).

Droit de recevoir une copie portative : dans la mesure du raisonnablement possible, nous fournirons vos données dans un format structuré, couramment utilisé et lisible par machine (tel que CSV ou JSON).

Droit de retirer le consentement : lorsque nous nous appuyons sur votre consentement (par exemple, pour les communications marketing), vous pouvez retirer votre consentement à tout moment sans affecter la légalité du traitement antérieur.

Droit de déposer une plainte : vous pouvez nous adresser une plainte à [email protected]. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès du Bureau du Commissaire à la vie privée (voir clause 12).

Pour exercer l'un de ces droits, contactez [email protected]. Nous pourrions avoir besoin de vérifier votre identité avant de répondre. Nous ne facturons pas ces demandes, sauf si une demande est manifestement infondée, excessive ou répétitive.

Si vous n'êtes pas satisfait de notre réponse concernant une réclamation relative à la protection des données personnelles, vous pouvez contacter : Office of the Privacy Commissioner, PO Box 10094, Wellington 6143, New Zealand. Téléphone : 0800 803 909. Site web : privacy.org.nz.

Nous ne ciblons pas spécifiquement les Services aux résidents d'une juridiction particulière en dehors de la Nouvelle-Zélande.

Nous nous efforçons de respecter les droits qui vous sont accordés en vertu de votre droit local (y compris, le cas échéant, le Règlement général sur la protection des données (RGPD) de l'Union européenne, le Règlement général sur la protection des données (RGPD) du Royaume-Uni, et la Privacy Act 1988 australienne).

Si vous pensez qu'un droit local spécifique vous s'applique et n'est pas abordé par cette Politique de confidentialité, veuillez contacter [email protected]. Nous répondrons à votre demande spécifique dans la mesure où elle s'applique à notre traitement.

Les Services ne sont pas destinés aux enfants de moins de 18 ans, et nous ne collectons pas sciemment d'informations personnelles auprès de personnes de moins de 18 ans. Si vous pensez que nous avons collecté des informations personnelles auprès d'une personne de moins de 18 ans, contactez [email protected] afin que nous puissions les supprimer rapidement.

Notre utilisation des cookies, pixels, stockage local et technologies similaires est décrite dans notre Politique relative aux cookies à kapsulecloud.com/legal/cookies.

#16.1 Nous pouvons vous envoyer des communications liées au service (par exemple, des avis de facturation, des alertes de sécurité, des notifications de panne, des mises à jour de politique). Ces communications ne sont pas des communications marketing et vous ne pouvez pas vous en désabonner tant que vous disposez d'un Compte actif.

#16.2 Si vous avez donné votre consentement, nous pouvons vous envoyer des communications marketing (telles que des mises à jour de produit, des offres et des invitations à des événements). Vous pouvez vous désabonner à tout moment en cliquant sur le lien de désabonnement dans tout e-mail marketing, en mettant à jour vos préférences dans KPanel, ou en envoyant un e-mail à [email protected].

#16.3 Nos communications marketing sont conformes à la Unsolicited Electronic Messages Act 2007. Nous nous identifierons clairement, fournirons un mécanisme de désabonnement fonctionnel, et n'enverrons de communications marketing que si nous avons votre consentement exprès, implicite ou présumé en vertu de cette loi.

Les Services peuvent contenir des liens vers des sites web et services de tiers. Nous ne sommes pas responsables des pratiques en matière de protection de la vie privée de ces tiers. Vous devez examiner leurs politiques de confidentialité avant de leur communiquer des informations personnelles.

Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre pour refléter les évolutions de nos pratiques ou de la législation. Les modifications substantielles seront notifiées par courrier électronique ou avis KPanel au moins trente jours avant leur entrée en vigueur. Les modifications non substantielles (telles que les corrections typographiques ou les mises à jour de coordonnées) prennent effet à la publication. La date « Dernière mise à jour » en haut de cette Politique indique la modification la plus récente.

Responsable de la protection des données, Kapsule Group Limited, Christchurch, Nouvelle-Zélande.

E-mail : [email protected]