Document de travail

Squelette préparatoire, non contractuel en l'état — à compléter et à faire valider par un avocat avant le lancement. Les champs marqués « À COMPLÉTER » sont des espaces réservés.

Politique de confidentialité

Dernière mise à jour : [À COMPLÉTER : date de publication]

1. Responsable de traitement

[À COMPLÉTER : entité juridique exploitant le service + adresse + email de contact] est responsable du traitement des données personnelles décrites dans la présente politique.

2. Données traitées

Les données de trading (trades, soldes, comptes, statistiques) sont rattachées à ton compte : ce sont des données personnelles à part entière, traitées comme telles.

  • Données de compte : email, nom, mot de passe (haché), avatar.
  • Données de facturation : traitées par Stripe (nous ne stockons aucun numéro de carte).
  • Données de trading : comptes de trading, historique de trades, dépôts/retraits, plan de trading, notes et captures d'écran importées.
  • Données techniques : journaux de connexion et de synchronisation, mesures d'audience (voir §7 Cookies).
  • AUCUN mot de passe broker n'est stocké : la synchronisation MetaTrader utilise un token opaque propre à chaque compte (haché en base), en lecture seule.

3. Finalités et bases légales

  • Fournir le service (journal, synchronisation, statistiques) — exécution du contrat.
  • Facturation et comptabilité — obligation légale.
  • Sécurité, prévention de la fraude et des abus — intérêt légitime.
  • Emails de service (sync en échec, fin d'essai, factures) — exécution du contrat.
  • Emails marketing — consentement (opt-in séparé, retirable à tout moment).
  • Mesure d'audience — consentement (bannière cookies).

4. Sous-traitants et transferts

Les sous-traitants suivants traitent des données pour notre compte :

  • Supabase (base de données et authentification) — hébergement en région Union européenne, DPA signé. [À COMPLÉTER : région exacte + référence DPA]
  • Stripe Payments Europe, Ltd. (paiements et facturation) — DPA intégré aux conditions Stripe.
  • Vercel (hébergement de l'application) — [À COMPLÉTER : référence DPA + mesures de transfert (SCC)]
  • Brevo (emails transactionnels et marketing) — [À COMPLÉTER : référence DPA]

Lorsqu'un sous-traitant traite des données hors de l'Union européenne, le transfert est encadré par des clauses contractuelles types (SCC) ou un mécanisme d'adéquation équivalent.

5. Durées de conservation

  • Compte actif : les données sont conservées tant que le compte existe.
  • Compte inactif : purge ou anonymisation après une période d'inactivité de [À COMPLÉTER : durée retenue — repère CNIL : ~3 ans], précédée d'emails de prévenance.
  • Factures et pièces comptables : conservées au titre des obligations légales, y compris après une demande d'effacement — [À COMPLÉTER : durée légale exacte, à confirmer avec le comptable].
  • Journaux techniques : durée courte et proportionnée, documentée en interne.

6. Tes droits

Tu disposes des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur tes données.

  • Export : tes trades sont exportables en CSV à tout moment depuis Paramètres → Données (portabilité, art. 20 RGPD).
  • Suppression : la suppression de compte est disponible en self-service et efface en cascade tes comptes de trading, trades et statistiques (hors pièces comptables conservées au titre du §5).
  • Contact : [À COMPLÉTER : email dédié vie privée / DPO le cas échéant].
  • Réclamation : tu peux saisir la CNIL (cnil.fr) à tout moment.

7. Cookies

Les cookies strictement nécessaires (session, sécurité) ne requièrent pas de consentement. Les cookies de mesure d'audience ne sont déposés qu'après consentement via la bannière prévue à cet effet. [À COMPLÉTER : liste exacte des cookies + outil de mesure d'audience retenu]

8. Sécurité

  • Chiffrement des échanges (TLS) et des données au repos chez nos hébergeurs.
  • Aucun identifiant broker stocké : tokens de synchronisation opaques et hachés, OAuth en lecture seule.
  • Cloisonnement des données par utilisateur au niveau de la base de données (row-level security).

9. Évolution de cette politique

Toute évolution substantielle de cette politique est notifiée par email et/ou dans l'application avant son entrée en vigueur.