Politique de confidentialité

⚠️ Contenu provisoire — à valider par un juriste

Ce texte est un modèle de départ à titre indicatif. Il ne doit pas être considéré comme opposable tant qu'il n'a pas été relu et validé par un avocat ou juriste, notamment pour les mentions obligatoires (identité de l'éditeur, hébergeur, TVA, RCS), la conformité RGPD et les clauses contractuelles (CGU/CGV).

1. Responsable de traitement

[Raison sociale de l'éditeur], [adresse], est responsable du traitement des données à caractère personnel décrites ci-dessous, au sens du Règlement Général sur la Protection des Données (RGPD). Contact : [email du délégué à la protection des données / contact RGPD].

2. Données collectées

  • Données de compte : adresse email, mot de passe (haché), rôle attribué sur un fonds.
  • Données financières et opérationnelles saisies par les utilisateurs pour le compte des fonds et sociétés de portefeuille (KPI, données de bilan, comptes de résultat, flux de trésorerie, valorisations).
  • Données techniques : journaux de connexion et d'activité, adresse IP.
  • Données de facturation, traitées par notre prestataire de paiement (Stripe).

3. Finalités et bases légales

  • Fourniture du service (exécution du contrat) : gestion des comptes, accès aux fonds.
  • Facturation et gestion de l'abonnement (exécution du contrat).
  • Sécurité de la Plateforme et prévention de la fraude (intérêt légitime).
  • Respect d'obligations légales (comptables, fiscales).

4. Cookies et traceurs

La Plateforme utilise uniquement, à ce jour, des cookies strictement nécessaires à son fonctionnement (maintien de la session d'authentification via Supabase Auth). Ces cookies ne nécessitent pas de recueil de consentement au titre de l'article 82 de la loi Informatique et Libertés / de la directive ePrivacy.

Aucun cookie de mesure d'audience ou publicitaire n'est déposé actuellement. Si des cookies de cette nature venaient à être introduits (outils d'analytics, etc.), un bandeau de recueil du consentement serait affiché avant tout dépôt, avec possibilité d'accepter, de refuser ou de personnaliser le choix par catégorie. [Ce paragraphe est à mettre à jour dès l'ajout d'un outil d'analytics.]

5. Destinataires et sous-traitants

  • Supabase Inc. — hébergement de la base de données et authentification.
  • Stripe — traitement des paiements et de la facturation.
  • Resend — envoi des emails transactionnels (invitations, réinitialisation de mot de passe).
  • [Hébergeur de l'application — ex. Vercel Inc.]

[À compléter : liste exhaustive des sous-traitants, localisation des transferts hors UE le cas échéant et garanties associées (clauses contractuelles types).]

6. Durée de conservation

Les données de compte sont conservées pendant toute la durée de la relation contractuelle avec le fonds concerné, puis supprimées ou anonymisées selon les délais ci-dessous après suppression du compte ou résiliation. [Délais indicatifs, à valider avec un juriste :]

  • Compte utilisateur et accès : supprimés immédiatement à la demande de suppression.
  • Données financières et de valorisation d'un fonds : conservées pendant la durée de l'abonnement puis [X mois] après résiliation, à des fins de restitution des données, avant suppression définitive.
  • Journaux techniques : conservés [12 mois maximum].
  • Données de facturation : conservées conformément aux obligations comptables légales (10 ans).

7. Vos droits

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, de limitation, d'opposition et de portabilité de vos données, ainsi que d'un droit à l'effacement (« droit à l'oubli »).

Vous pouvez supprimer votre compte et les données personnelles associées à tout moment depuis votre espace personnel (Mon compte), ou en écrivant à [email de contact RGPD]. Cette suppression est irréversible.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

8. Sécurité

Des mesures techniques et organisationnelles sont mises en œuvre pour protéger vos données (chiffrement en transit et au repos, gestion des secrets, contrôle d'accès par rôle). Le détail de ces mesures est documenté dans notre politique de sécurité (SECURITY.md, disponible sur demande).

Dernière mise à jour : [date].