Politique de confidentialité
Dernière mise à jour : [À COMPLÉTER : date de publication]
1. Responsable de traitement
[À COMPLÉTER : entité juridique exploitant le service + adresse + email de contact] est responsable du traitement des données personnelles décrites dans la présente politique.
2. Données traitées
Les données de trading (trades, soldes, comptes, statistiques) sont rattachées à ton compte : ce sont des données personnelles à part entière, traitées comme telles.
- Données de compte : email, nom, mot de passe (haché), avatar.
- Données de facturation : traitées par Stripe (nous ne stockons aucun numéro de carte).
- Données de trading : comptes de trading, historique de trades, dépôts/retraits, plan de trading, notes et captures d'écran importées.
- Données techniques : journaux de connexion et de synchronisation, mesures d'audience (voir §7 Cookies).
- AUCUN mot de passe broker n'est stocké : la synchronisation MetaTrader utilise un token opaque propre à chaque compte (haché en base), en lecture seule.
3. Finalités et bases légales
- Fournir le service (journal, synchronisation, statistiques) — exécution du contrat.
- Facturation et comptabilité — obligation légale.
- Sécurité, prévention de la fraude et des abus — intérêt légitime.
- Emails de service (sync en échec, fin d'essai, factures) — exécution du contrat.
- Emails marketing — consentement (opt-in séparé, retirable à tout moment).
- Mesure d'audience — consentement (bannière cookies).
4. Sous-traitants et transferts
Les sous-traitants suivants traitent des données pour notre compte :
- Supabase (base de données et authentification) — hébergement en région Union européenne, DPA signé. [À COMPLÉTER : région exacte + référence DPA]
- Stripe Payments Europe, Ltd. (paiements et facturation) — DPA intégré aux conditions Stripe.
- Vercel (hébergement de l'application) — [À COMPLÉTER : référence DPA + mesures de transfert (SCC)]
- Brevo (emails transactionnels et marketing) — [À COMPLÉTER : référence DPA]
Lorsqu'un sous-traitant traite des données hors de l'Union européenne, le transfert est encadré par des clauses contractuelles types (SCC) ou un mécanisme d'adéquation équivalent.
5. Durées de conservation
- Compte actif : les données sont conservées tant que le compte existe.
- Compte inactif : purge ou anonymisation après une période d'inactivité de [À COMPLÉTER : durée retenue — repère CNIL : ~3 ans], précédée d'emails de prévenance.
- Factures et pièces comptables : conservées au titre des obligations légales, y compris après une demande d'effacement — [À COMPLÉTER : durée légale exacte, à confirmer avec le comptable].
- Journaux techniques : durée courte et proportionnée, documentée en interne.
6. Tes droits
Tu disposes des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur tes données.
- Export : tes trades sont exportables en CSV à tout moment depuis Paramètres → Données (portabilité, art. 20 RGPD).
- Suppression : la suppression de compte est disponible en self-service et efface en cascade tes comptes de trading, trades et statistiques (hors pièces comptables conservées au titre du §5).
- Contact : [À COMPLÉTER : email dédié vie privée / DPO le cas échéant].
- Réclamation : tu peux saisir la CNIL (cnil.fr) à tout moment.
7. Cookies
Les cookies strictement nécessaires (session, sécurité) ne requièrent pas de consentement. Les cookies de mesure d'audience ne sont déposés qu'après consentement via la bannière prévue à cet effet. [À COMPLÉTER : liste exacte des cookies + outil de mesure d'audience retenu]
8. Sécurité
- Chiffrement des échanges (TLS) et des données au repos chez nos hébergeurs.
- Aucun identifiant broker stocké : tokens de synchronisation opaques et hachés, OAuth en lecture seule.
- Cloisonnement des données par utilisateur au niveau de la base de données (row-level security).
9. Évolution de cette politique
Toute évolution substantielle de cette politique est notifiée par email et/ou dans l'application avant son entrée en vigueur.