Politique de confidentialité

Dernière mise à jour : 17 avril 2026 · Conforme RGPD

Chez Korai, la confidentialité n'est pas une case à cocher : c'est une contrainte architecturale. Notre orchestrateur, hébergé en France (Paris), ne conserve aucun contenu de conversation. Ce document détaille les données que nous traitons, pourquoi, et comment exercer vos droits.

1. Responsable de traitement

Le responsable de traitement est l'éditeur du service Korai, dont les coordonnées figurent sur la page mentions légales. Contact privacy : privacy@korai.one.

2. Données collectées

a) Lors de la création de compte

  • adresse e-mail (identifiant de connexion) ;
  • nom d'affichage (optionnel) ;
  • date et horodatage de création du compte.

b) Lors de l'utilisation du Service

  • métadonnées d'inférence : identifiant de requête, modèle choisi, nombre de tokens (entrée/sortie), latence, horodatage, identifiant du GPU hôte ayant servi la requête ;
  • adresse IP: uniquement utilisée pour la sécurité (rate-limiting, détection d'abus) et non journalisée durablement au-delà de 30 jours ;
  • contenu des conversations : non conservé. Le prompt et la réponse transitent par l'orchestrateur sans être écrits sur disque, puis sont purgés dès la fin de la requête.

c) Lors de l'hébergement (Hôtes)

  • caractéristiques matérielles déclarées (modèle de GPU, VRAM, OS) ;
  • adresse IP de connexion WebSocket (nécessaire au routage) ;
  • statistiques de service (temps en ligne, tokens servis, latence).

3. Base légale

Les traitements reposent sur l'exécution du contrat qui vous lie à Korai (création de compte, inférence, hébergement), sur l'intérêt légitimede l'éditeur (sécurité, prévention de la fraude) et, pour les cookies non essentiels, sur votre consentement.

4. Durée de conservation

  • données de compte : tant que le compte est actif ;
  • métadonnées d'inférence : 90 jours, pour la facturation et le support ;
  • journaux IP : 30 jours ;
  • contenu des conversations : aucune conservation.

5. Destinataires

Vos données ne sont ni vendues ni partagées à des fins commerciales. Elles sont accessibles à l'équipe technique Korai (dans la stricte limite de leurs missions) et à nos sous-traitants techniques :

  • Fly.io(hébergement de l'orchestrateur, région CDG — Paris) ;
  • Vercel(hébergement du site web) — les requêtes d'inférence ne transitent pas par Vercel ;
  • Hôtes Korai— réseau pair-à-pair : les prompts sont routés en clair vers les GPUs hôtes le temps de l'inférence. Les Hôtes sont contractuellement tenus de ne pas journaliser les requêtes.

6. Transferts hors UE

L'infrastructure Korai est localisée dans l'Union européenne. Aucun transfert de données personnelles hors UE n'est effectué pour les besoins opérationnels. Si un tel transfert devait avoir lieu à l'avenir, il serait encadré par les clauses contractuelles types de la Commission européenne.

7. Sécurité

  • chiffrement TLS 1.3 de toutes les communications ;
  • authentification JWT à courte durée + clés API hachées en base ;
  • séparation stricte des données de métadonnées / contenus (ces derniers ne sont jamais persistés) ;
  • accès aux logs restreint et audité.

8. Vos droits (RGPD)

Conformément au règlement (UE) 2016/679 et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • accès à vos données ;
  • rectification des données inexactes ;
  • effacement(droit à l'oubli) ;
  • limitation du traitement ;
  • portabilité de vos données ;
  • opposition au traitement ;
  • retrait du consentement à tout moment.

Pour exercer ces droits, écrivez à privacy@korai.one. Nous répondrons sous 30 jours maximum. En cas de désaccord, vous pouvez saisir la CNIL (www.cnil.fr).

9. Cookies

Korai utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie publicitaire, aucun pixel de tracking tiers. Si des outils de mesure d'audience sont introduits à l'avenir, ils respecteront le consentement via une bannière conforme.

10. Modifications

Cette politique peut être mise à jour pour refléter des évolutions techniques ou légales. Toute modification substantielle vous sera notifiée par e-mail ou via une bannière persistante au moins 15 jours avant sa prise d'effet.