Politique de Confidentialite (Privacy Policy)

Version 1.0 — 2026-04-30 — Locale :

1. Responsable du traitement

Klarya Ltd, Tel Aviv, Israel. DPO : dpo@klarya.com (designation obligatoire au-dela de 100 000 personnes/an, prevu M+8 selon roadmap CEO). Notification PPA gov.il avant franchissement du seuil.

2. Cadres juridiques applicables

• RGPD UE 2016/679 — clients europeens
• Israel Privacy Protection Law 1981 + amendments 2017/2018
• Amendment 13 — aout 2025 : voix + visage = "Data of Special Sensitivity" → consentement explicite obligatoire avant capture Tavus
• EU AI Act 2024/1689 — avatars synthetiques
• California AB 2273, AB 1008 — clients USA

3. Donnees collectees

• Identification : nom, email pro, telephone, societe, fonction
• Paiement : tokens Meshulam (jamais de PAN brut)
• Usage : logs anonymises, metriques produit
• Voix & visage (uniquement si client active replica Tavus personnalisee) — donnees biometriques sensibles, consentement explicite signe
• Cookies (voir Cookie Policy)

4. Bases legales

• Execution du contrat (CGV) — facturation, support
• Interet legitime — securite, anti-fraude, ameliorations produit
• Consentement explicite — marketing, replica voix/visage Tavus, cookies non essentiels
• Obligation legale — comptabilite 7 ans (Israel Tax Ordinance)

5. Duree de conservation

• Compte actif : duree de l'abonnement
• Apres resiliation : 30 jours (export possible) puis suppression
• Factures : 7 ans (legal Israel)
• Replicas Tavus : suppression sous 30 jours apres resiliation

6. Sous-traitants (article 28 RGPD)

• Vercel (hebergement) — UE/USA, DPA signe
• Neon (DB) — UE
• Tavus (avatars IA) — USA, DPA + Amendment 13 compliance
• ElevenLabs (voix) — USA, DPA
• Meshulam Grow (paiement) — Israel, PCI-DSS
• Resend (email) — UE
• Cookiebot (CMP) — UE, certifie ISO 27001

7. Transferts hors UE / hors Israel

Encadres par les Standard Contractual Clauses (SCC 2021/914) + analyses TIA. Israel beneficie d'une decision d'adequation de la Commission europeenne depuis 2011, confirmee 2024.

8. Droits des personnes

• Acces, rectification, effacement, portabilite, limitation, opposition (RGPD art. 15-22)
• Droit a l'oubli sous 30 jours
• Droit de reclamation : CNIL (FR), PPA gov.il (IL), AEPD (ES), etc.

Exercice via dpo@klarya.com — reponse sous 30 jours.

9. Securite

Chiffrement TLS 1.3 + AES-256 at rest. HSTS preload. CSP strict. 2FA. Logs SIEM. SOC 2 Type I roadmap M+12. DPIA realise pour replicas Tavus (donnees biometriques).

10. Cookies

Voir Cookie Policy.

11. Amendment 13 (Israel) — voix & visage

Conformement a l'Amendment 13 du Privacy Protection Law israelien (en vigueur aout 2025), toute capture de voix ou de visage destinee a creer un avatar IA (replica Tavus) requiert un consentement explicite, ecrit, revocable a tout moment. Les replicas sont chiffrees, isolees par tenant, et detruites sous 30 jours apres resiliation. La revocation entraine la destruction immediate de la replica et de toutes les videos generees.

[TRAD] Document publie en 8 langues — revue Sela & Co Tel Aviv + DPO freelance.