Politique de confidentialité

1. Identification du responsable de traitement

Trame Capvalis SAS (« nous », « notre », « la société » ou « le responsable de traitement ») s'engage à protéger et respecter votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD - UE 2016/679), à la Loi Informatique et Libertés modifiée (Loi n°78-17 du 6 janvier 1978), et aux recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Cette Politique de confidentialité décrit de manière exhaustive comment nous collectons, utilisons, stockons, transférons et protégeons vos données personnelles lorsque vous accédez ou utilisez notre plateforme web, nos applications mobiles et tous services associés (collectivement, les « Services »).

En utilisant nos Services, vous reconnaissez avoir pris connaissance de cette Politique et consentez au traitement de vos données personnelles dans les conditions ci-décrites. Si vous n'acceptez pas ces conditions, veuillez ne pas utiliser nos Services.

2. Catégories de données personnelles collectées

Conformément au principe de minimisation des données (article 5.1.c du RGPD), nous collectons uniquement les données nécessaires aux finalités déterminées, explicites et légitimes suivantes :

2.1 Données d'identification et de contact

Catégories collectées :

• Identité civile : Nom de famille, prénom(s), pseudonyme, date de naissance, lieu de naissance, sexe, nationalité
• Coordonnées personnelles : Adresse de résidence complète, adresse de correspondance, numéro de téléphone mobile et fixe, adresse email principale et secondaire
• Identifiants numériques : Nom d'utilisateur, identifiant client unique généré automatiquement
• Situation familiale : Situation matrimoniale, nombre d'enfants à charge (pour l'évaluation du profil financier)

Base juridique : Exécution du contrat (article 6.1.b RGPD) + Obligation légale KYC (article 6.1.c RGPD)

2.2 Données financières et fiscales

Catégories collectées :

• Informations bancaires : IBAN, BIC, RIB, nom et adresse de la banque, historique des virements
• Moyens de paiement : Numéro de carte bancaire (masqué), date d'expiration, nom du porteur, cryptogramme (non stocké)
• Situation financière : Revenus déclarés, patrimoine estimé, origine des fonds, activité professionnelle
• Données fiscales : Numéro fiscal de référence (SPI), pays de résidence fiscale, statut au regard de l'IFI
• Historique transactionnel : Montants, dates, devises, contreparties, références de transactions

Base juridique : Obligation légale LCB-FT (article 6.1.c RGPD) + Exécution du contrat

2.3 Documents d'identité et de vérification

Documents collectés :

• Pièce d'identité officielle : Carte nationale d'identité française, passeport, permis de conduire (recto/verso, format numérique)
• Justificatifs de domicile : Facture EDF/GDF (moins de 3 mois), quittance de loyer, avis d'imposition, attestation d'assurance habitation
• Justificatifs de revenus : Bulletins de salaire, avis d'imposition, bilans comptables (pour les professions libérales)
• Selfie de vérification : Photographie biométrique pour contrôle anti-fraude (traitement automatisé)

Base juridique : Obligation légale KYC/LCB-FT (article 6.1.c RGPD)

Conservation : 5 ans après la fermeture du compte (article R. 561-38 Code monétaire et financier)

2.4 Données de connexion et d'utilisation

Données techniques collectées automatiquement :

• Identification technique : Adresses IP (IPv4/IPv6), empreinte digitale du navigateur, User-Agent, résolution d'écran
• Géolocalisation : Pays, région, ville (basée sur l'IP), coordonnées GPS précises (avec consentement explicite)
• Comportement de navigation : Pages consultées, temps de session, parcours utilisateur, clics, téléchargements
• Journaux de connexion : Horodatage des connexions/déconnexions, tentatives d'authentification, modifications de paramètres
• Données de performance : Temps de chargement, erreurs techniques, utilisations des fonctionnalités

Base juridique : Intérêt légitime (article 6.1.f RGPD) pour la sécurité + Consentement pour les cookies non essentiels

2.5 Données de trading et d'investissement

Informations de trading :

• Profil d'investisseur : Questionnaire MiFID II, tolérance au risque, expérience en trading, objectifs financiers
• Paramètres de trading : Stratégies activées, seuils de risque, préférences d'allocation, alertes configurées
• Activité de trading : Ordres passés, positions ouvertes/fermées, profits/pertes réalisés, commissions payées
• Connexions d'exchanges : Clés API (chiffrées), autorisations accordées, soldes synchronisés

Base juridique : Exécution du contrat + Obligation légale (directive MiFID II)

3. Finalités et bases juridiques des traitements

3.1 Exécution du contrat de service (Article 6.1.b RGPD)

• Création et gestion du compte utilisateur : Ouverture, personnalisation, maintenance du profil
• Fourniture des services de trading : Exécution des stratégies, synchronisation des exchanges, calculs de performance
• Traitement des paiements : Facturation des abonnements, remboursements, gestion des impayés
• Support client personnalisé : Assistance technique, formation, conseils d'utilisation
• Amélioration continue des services : Développement de nouvelles fonctionnalités basées sur l'usage

3.2 Obligations légales et réglementaires (Article 6.1.c RGPD)

• Lutte contre le blanchiment (LCB-FT) : Vérification d'identité, surveillance des transactions suspectes, déclarations TRACFIN
• Conformité fiscale : Conservation des données comptables, assistance aux contrôles fiscaux, déclarations automatiques
• Protection des investisseurs (MiFID II) : Évaluation d'adéquation, test de connaissance, archivage des recommandations
• Réponses aux demandes judiciaires : Transmission d'informations sur réquisition, coopération avec les enquêtes
• Conservation réglementaire : Archivage légal des documents et transactions selon les durées imposées

3.3 Intérêts légitimes (Article 6.1.f RGPD)

• Sécurité informatique : Détection d'intrusions, prévention des cyberattaques, analyse des anomalies
• Lutte contre la fraude : Détection des comportements suspects, blocage des comptes compromis
• Analyses statistiques : Études de marché, optimisation des algorithmes, recherche et développement
• Recouvrement de créances : Procédures de recouvrement amiable et contentieux des impayés
• Protection de nos droits : Défense en justice, protection de la propriété intellectuelle

Test de proportionnalité effectué : nos intérêts légitimes ne portent pas atteinte excessive à vos droits et libertés.

3.4 Consentement explicite (Article 6.1.a RGPD)

• Communications marketing personnalisées : Newsletters, offres promotionnelles, invitations événementielles
• Géolocalisation précise : Services basés sur la localisation GPS pour les notifications de sécurité
• Cookies de profilage : Personnalisation de l'expérience utilisateur, publicité comportementale
• Partage avec partenaires commerciaux : Transmission à des tiers pour des offres complémentaires

Vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.

4. Destinataires et partage des données

4.1 Destinataires internes autorisés

L'accès aux données personnelles est strictement limité aux collaborateurs ayant besoin d'en connaître dans le cadre de leurs fonctions :

• Équipe Support Client : Accès aux données de contact et d'utilisation pour l'assistance
• Service Conformité : Accès complet pour les vérifications KYC/LCB-FT et les contrôles réglementaires
• Équipe Technique : Accès aux logs et données techniques pour la maintenance et le développement
• Direction Financière : Accès aux données de facturation et de paiement
• Délégué à la Protection des Données : Accès transversal pour les audits de conformité

Tous nos collaborateurs sont liés par des clauses de confidentialité et formés à la protection des données personnelles.

4.2 Prestataires de services (Sous-traitants RGPD)

Nous faisons appel à des prestataires de confiance pour certaines opérations techniques :

Tous nos sous-traitants sont sélectionnés selon des critères stricts de sécurité et sont liés par des Accords de Traitement de Données (DPA) conformes au RGPD.

4.3 Autorités légales et réglementaires

Sur demande légale motivée, nous pouvons être amenés à communiquer certaines données à :

• TRACFIN : Déclarations de soupçon, réponses aux demandes d'informations complémentaires
• Autorité des Marchés Financiers (AMF) : Contrôles, enquêtes, sanctions disciplinaires
• Autorité de Contrôle Prudentiel (ACPR) : Supervision des activités de services sur actifs numériques
• Direction Générale des Finances Publiques (DGFiP) : Contrôles fiscaux, lutte contre la fraude fiscale
• Autorités judiciaires : Réquisitions dans le cadre d'enquêtes pénales, perquisitions
• Commission Nationale de l'Informatique et des Libertés (CNIL) : Contrôles de conformité RGPD

Ces transmissions s'effectuent uniquement dans le cadre légal prévu et font l'objet d'un examen systématique de leur fondement juridique.

4.4 Transferts en cas de restructuration

En cas de cession, fusion, acquisition ou restructuration de Trame Capvalis SAS, vos données personnelles pourront être transférées au nouvel acquéreur sous réserve du maintien des garanties de protection équivalentes. Vous serez informé de ce transfert avec un préavis minimum de 30 jours et disposerez du droit de vous opposer à ce traitement.

5. Transferts internationaux de données

5.1 Principe de localisation européenne

Nous privilégions la localisation de nos traitements dans l'Espace Économique Européen (EEE) pour bénéficier du niveau de protection uniforme garanti par le RGPD. Nos serveurs principaux sont hébergés en France par OVHcloud dans des datacenters certifiés ISO 27001.

5.2 Transferts encadrés vers des pays tiers

Certains de nos prestataires techniques peuvent impliquer des transferts vers des pays non-membres de l'EEE. Ces transferts sont strictement encadrés par les mécanismes suivants :

• Clauses Contractuelles Types (SCCs) : Clauses approuvées par la Commission européenne (Décision 2021/914)
• Décisions d'adéquation : Pour les pays reconnus comme offrant un niveau de protection adéquat
• Règles d'entreprise contraignantes (BCR) : Pour les groupes multinationaux disposant de ces certifications
• Mesures de protection complémentaires : Chiffrement renforcé, pseudonymisation, limitation d'accès

5.3 Évaluation des garanties appropriées

Conformément aux recommandations du Comité Européen de la Protection des Données (CEPD), nous effectuons une analyse d'impact (Transfer Impact Assessment) pour chaque transfert vers un pays tiers, évaluant :

• Le cadre juridique du pays de destination
• Les risques d'accès par les autorités locales
• L'efficacité des mesures de protection techniques
• Les voies de recours disponibles pour les personnes concernées

6. Durées de conservation des données

Conformément au principe de limitation de la conservation (article 5.1.e RGPD), nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées :

6.1 Archivage intermédiaire

Au terme des durées de conservation active, certaines données peuvent faire l'objet d'un archivage intermédiaire pour répondre aux obligations légales de conservation à long terme ou pour la défense de nos intérêts légitimes en cas de contentieux.

Ces données archivées font l'objet de mesures de sécurité renforcées et d'un accès strictement limité aux personnes habilitées pour les seuls besoins de l'archivage.

6.2 Suppression automatisée

Nous avons mis en place des procédures automatisées de purge des données afin de garantir le respect des durées de conservation. Un audit annuel de nos bases de données est réalisé pour vérifier l'effectivité de ces suppressions.

7. Sécurité et protection des données

7.1 Mesures techniques de sécurité

• Chiffrement des données :
  • En transit : TLS 1.3 minimum pour toutes les communications HTTPS
  • Au repos : Chiffrement AES-256 pour les données sensibles en base
  • Clés de chiffrement : Gestion par HSM (Hardware Security Module) certifié FIPS 140-2 niveau 3
• Architecture sécurisée :
  • Ségrégation des environnements (production/test) avec contrôles d'accès stricts
  • Firewalls applicatifs (WAF) avec détection d'intrusion en temps réel
  • Surveillance continue par SOC (Security Operations Center) 24h/24
• Contrôle d'accès :
  • Authentification multi-facteurs (MFA) obligatoire pour tous les collaborateurs
  • Principe du moindre privilège avec révision trimestrielle des habilitations
  • Journalisation complète des accès aux données personnelles

7.2 Mesures organisationnelles

• Gouvernance de la sécurité :
  • Responsable de la Sécurité des Systèmes d'Information (RSSI) dédié
  • Politique de sécurité informatique mise à jour annuellement
  • Comité de sécurité mensuel avec reporting au COMEX
• Formation et sensibilisation :
  • Formation RGPD obligatoire pour tous les nouveaux collaborateurs
  • Sensibilisation cybersécurité trimestrielle avec tests de phishing
  • Certification ISO 27001 Lead Implementer pour l'équipe sécurité
• Gestion des incidents :
  • Procédure de notification des violations de données sous 72h (art. 33 RGPD)
  • Plan de continuité d'activité et de reprise après sinistre (PCA/PRA)
  • Assurance cyber-risques couvrant les violations de données personnelles

7.3 Audits et certifications

• Audits de sécurité : Tests d'intrusion trimestriels par des experts indépendants (PASSI)
• Certifications obtenues : ISO 27001, SOC 2 Type II, certification HDS en cours
• Analyses d'impact (AIPD) : Réalisées pour tous les traitements à risque élevé
• Audits de conformité RGPD : Contrôle annuel interne + audit externe tous les 2 ans

8. Vos droits fondamentaux (Chapitre III RGPD)

8.1 Droit d'information et d'accès (Articles 13, 14, 15 RGPD)

Vous avez le droit :

• D'obtenir la confirmation que des données personnelles vous concernant font ou ne font pas l'objet d'un traitement
• D'accéder à vos données personnelles et d'obtenir une copie de celles-ci (première copie gratuite)
• D'être informé des finalités du traitement, des catégories de données, des destinataires
• De connaître la durée de conservation prévue ou les critères déterminant cette durée
• D'obtenir des informations sur la source des données si elles n'ont pas été collectées directement

Modalités d'exercice : Demande par email à [email protected] avec justificatif d'identité

Délai de réponse : 1 mois (prorogeable de 2 mois si complexité)

8.2 Droit de rectification (Article 16 RGPD)

Vous pouvez demander la rectification de vos données personnelles si elles sont inexactes, incomplètes ou obsolètes. Cette rectification est effectuée sans délai et communiquée à tous les destinataires de vos données sauf impossibilité ou effort disproportionné.

Accès direct : Certaines modifications peuvent être effectuées directement depuis votre espace client sécurisé.

8.3 Droit à l'effacement - "Droit à l'oubli" (Article 17 RGPD)

Vous pouvez demander l'effacement de vos données dans les cas suivants :

• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
• Vous retirez le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique
• Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux
• Vos données ont fait l'objet d'un traitement illicite
• Vos données doivent être effacées pour respecter une obligation légale

Limitations : Ce droit ne s'applique pas lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression, au respect d'une obligation légale, ou à la défense de droits en justice.

8.4 Droit à la limitation du traitement (Article 18 RGPD)

Vous pouvez demander la limitation du traitement dans les cas suivants :

• Vous contestez l'exactitude de vos données (limitation le temps de vérification)
• Le traitement est illicite mais vous préférez la limitation à l'effacement
• Les données ne sont plus nécessaires mais vous en avez besoin pour un recours judiciaire
• Vous vous êtes opposé au traitement (limitation le temps de vérification)

En cas de limitation, vos données ne pourront faire l'objet que de conservation, ou de traitement avec votre consentement, ou pour la défense de droits d'une personne physique ou morale, ou pour des motifs importants d'intérêt public.

8.5 Droit à la portabilité des données (Article 20 RGPD)

Conditions d'exercice :

• Le traitement est fondé sur le consentement ou l'exécution d'un contrat
• Le traitement est effectué à l'aide de procédés automatisés

Modalités :

• Récupération de vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV)
• Transmission directe à un autre responsable de traitement si techniquement possible
• N'affecte pas la conservation légalement obligatoire de certaines données

8.6 Droit d'opposition (Article 21 RGPD)

Opposition de principe : Vous pouvez vous opposer à tout moment au traitement de vos données pour des motifs tenant à votre situation particulière, lorsque le traitement est fondé sur l'intérêt légitime.

Opposition absolue : Vous pouvez vous opposer sans conditions au traitement de vos données à des fins de prospection commerciale.

Conséquences : En cas d'opposition légitime, nous cesserons le traitement sauf si nous démontrons qu'il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts et droits et libertés.

8.7 Droit de ne pas faire l'objet d'une décision automatisée (Article 22 RGPD)

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative similaire.

Exceptions : Ce droit ne s'applique pas si la décision est nécessaire à la conclusion ou l'exécution d'un contrat, autorisée par la loi, ou fondée sur votre consentement explicite.

Garanties : Dans ces cas, vous disposez du droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.

8.8 Modalités pratiques d'exercice des droits

Pièces à fournir :

• Justificatif d'identité en cours de validité (CNI, passeport, permis de conduire)
• Justification de la demande (sauf pour l'accès aux données)
• Procuration notariée si demande par un représentant légal

Délais de traitement :

• Accusé de réception : Sous 48h ouvrées
• Réponse de fond : 1 mois maximum (prorogeable de 2 mois si complexité)
• Demandes urgentes : Traitement prioritaire pour les situations de détresse

9. Protection spécifique des mineurs

Conformément à l'article 8 du RGPD, nos Services ne sont pas destinés aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans sans le consentement du titulaire de la responsabilité parentale.

Si nous apprenons qu'un mineur de moins de 16 ans nous a fourni des données personnelles, nous prendrons des mesures pour supprimer ces informations dans les plus brefs délais et bloquer l'accès au compte.

Contrôle parental : Les parents ou tuteurs légaux peuvent nous contacter pour vérifier si leur enfant mineur a créé un compte et demander sa suppression immédiate.

10. Cookies et technologies similaires

L'utilisation des cookies et technologies de traçage sur notre plateforme est régie par notre Politique des cookies dédiée, conformément aux recommandations de la CNIL.

Résumé des points essentiels :

• Cookies strictement nécessaires : Déposés sans consentement pour le fonctionnement du service
• Cookies de mesure d'audience : Soumis à consentement, durée de vie limitée à 13 mois
• Cookies publicitaires : Nécessitent votre consentement préalable et explicite
• Gestion des préférences : Bannière de consentement et centre de préférences disponible

11. Modifications de la politique de confidentialité

Cette Politique de confidentialité peut être amenée à évoluer pour tenir compte des modifications légales, réglementaires, techniques ou de nos services. Toute modification substantielle fera l'objet d'une information préalable selon les modalités suivantes :

• Notification par email : Envoi à l'adresse renseignée dans votre compte avec un préavis de 30 jours
• Information sur la plateforme : Bandeau d'information et popup de notification lors de la connexion
• Historique des versions : Conservation accessible des versions antérieures avec dates de modification

Acceptation des modifications : La poursuite de l'utilisation de nos Services après l'entrée en vigueur de la nouvelle version vaut acceptation des modifications. En cas de désaccord, vous disposez du droit de résilier votre compte.

12. Réclamations et voies de recours

12.1 Réclamation interne

En cas de difficulté concernant le traitement de vos données personnelles, nous vous invitons à nous contacter en priorité à l'adresse [email protected]. Nous nous engageons à traiter votre réclamation dans les meilleurs délais et vous apporter une réponse motivée.

12.2 Saisine de la CNIL

Si notre réponse ne vous satisfait pas ou en l'absence de réponse dans un délai de 2 mois, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

12.3 Recours juridictionnel

Indépendamment du recours administratif devant la CNIL, vous disposez du droit d'introduire un recours effectif devant une juridiction compétente (article 79 RGPD) si vous estimez que le traitement de vos données personnelles constitue une violation du règlement.

13. Informations de contact - Protection des données