Politique de confidentialité

1. Objet et champ d'application

La présente politique décrit la manière dont CryptoRizon collecte, utilise, conserve et protège les données personnelles des utilisateurs de la plateforme cryptorizon.fr et de l'espace membre associé. Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

2. Responsable du traitement

CryptoRizon — Entreprise individuelle (auto-entrepreneur)
SIRET : 88467815200015
Représentant : Daniel Khudiyenko Fournier
Email : tutorizonofficiel@gmail.com
Adresse postale : Mairie d'Aix-en-Provence, Place de l'Hôtel de Ville, 13100 Aix-en-Provence, France

En l'absence d'obligation légale de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD, toute demande relative aux données personnelles peut être adressée au responsable du traitement à l'adresse ci-dessus.

3. Données collectées

Les données collectées dépendent de l'usage effectif du service. Elles comprennent notamment :

3.1 Données de compte

• adresse email et prénom — utilisés pour l'identification et les communications ;
• mot de passe — stocké exclusivement sous forme d'empreinte cryptographique irréversible (hachage salé), jamais en clair ;
• identifiant utilisateur, horodatages de connexion et de dernière activité.

3.2 Profil investisseur

Réponses au questionnaire de profil, scores dérivés, préférences déclarées, objectifs, horizon de placement et tolérance au risque. Ces informations sont nécessaires à la personnalisation du service et au fonctionnement du Passeport Investisseur.

3.3 Données de portefeuille crypto

• soldes, positions et historique agrégé issus des plateformes d'échange via connexion en lecture seule ;
• adresses publiques de portefeuilles non-custodiaux déclarées par l'utilisateur ;
• clés d'interface (API) fournies par l'utilisateur, stockées sous forme chiffrée et utilisées exclusivement en lecture seule ;
• aucune clé privée, aucune phrase de récupération et aucune permission d'ordre ne sont collectées.

3.4 Données de facturation

Informations de facturation (identité, adresse le cas échéant), historique des abonnements et factures. Les informations de carte bancaire ne sont jamais collectées ni stockées par CryptoRizon : elles sont saisies directement sur l'interface sécurisée du prestataire de paiement.

3.5 Données de navigation et techniques

Adresse IP, identifiant de session, informations relatives au navigateur et à l'appareil, pages consultées, dates et heures de consultation, journaux d'évènements techniques (logs) nécessaires à la sécurité et au diagnostic.

3.6 Contributions et communications

Contenus adressés à CryptoRizon (messages au support, retours produit) et, le cas échéant, contributions sur les canaux communautaires officiels.

4. Finalités et bases légales

Chaque traitement repose sur l'une des bases légales prévues à l'article 6 du RGPD :

• Gestion des comptes et authentification — exécution du contrat (art. 6.1.b RGPD).
• Fourniture des fonctionnalités (portfolio, indicateurs, Passeport, alertes, formations) — exécution du contrat (art. 6.1.b RGPD).
• Facturation et gestion des abonnements — exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 6.1.c RGPD), notamment au titre des articles L123-22 du Code de commerce et L102 B du Livre des procédures fiscales.
• Envoi d'emails transactionnels — exécution du contrat (art. 6.1.b RGPD).
• Envoi d'emails marketing ou d'informations non essentielles — consentement (art. 6.1.a RGPD), révocable à tout moment et sans frais.
• Sécurité, prévention de la fraude et protection de l'infrastructure — intérêt légitime (art. 6.1.f RGPD).
• Statistiques agrégées d'amélioration du service — intérêt légitime (art. 6.1.f RGPD), sur données agrégées et pseudonymisées.
• Réponse aux demandes des autorités compétentes — obligation légale (art. 6.1.c RGPD).

5. Durées de conservation

• Données de compte — pendant toute la durée de la relation contractuelle, puis trois (3) ans à compter du dernier contact ou de la suppression du compte, à des fins de gestion des contentieux éventuels et de relations commerciales.
• Données de portefeuille crypto — jusqu'à la déconnexion de la source (CEX ou wallet) par l'utilisateur ; les caches de lecture seule sont purgés à intervalles réguliers.
• Clés d'interface (API) — supprimées à la déconnexion de la source, ou en cas de révocation côté plateforme d'échange.
• Factures et justificatifs comptables — dix (10) ans conformément à l'article L123-22 du Code de commerce.
• Données fiscales — six (6) ans conformément à l'article L102 B du Livre des procédures fiscales.
• Logs techniques et de sécurité — douze (12) mois maximum, sauf obligation légale particulière ou nécessité d'investigation d'un incident.
• Correspondances support — trois (3) ans à compter du dernier échange.
• Consentements (cookies, marketing) — traces conservées trois (3) ans conformément aux recommandations de la CNIL.

À l'expiration des durées indiquées, les données sont supprimées ou anonymisées de manière irréversible.

6. Destinataires des données

Les données personnelles ne sont accessibles qu'aux personnes habilitées au sein de CryptoRizon, strictement dans la limite de leurs attributions, et aux sous-traitants strictement nécessaires à l'exécution du service, dans la limite de leurs missions respectives. CryptoRizon ne vend, ne loue et ne cède aucune donnée personnelle à des fins commerciales. Aucun profilage à des fins publicitaires n'est mis en œuvre.

7. Sous-traitants et partenaires techniques

CryptoRizon fait appel aux sous-traitants suivants, chacun agissant sur la base d'un contrat conforme à l'article 28 du RGPD :

• Vercel Inc. — hébergement applicatif (vercel.com).
• Supabase Inc. — base de données et authentification (supabase.com).
• Stripe Payments Europe Ltd. — traitement des paiements (stripe.com).
• Resend — envoi d'emails transactionnels (resend.com).
• Zerion — lecture de données on-chain pour les adresses publiques déclarées par l'utilisateur (zerion.io).
• Anthropic — génération de contenus personnalisés par IA (Passeport Investisseur) (anthropic.com).
• Cloudinary — hébergement et diffusion d'images statiques (cloudinary.com).
• PostHog Inc. — mesure d'audience et analyse d'usage, sur l'instance européenne eu.posthog.com hébergée en Allemagne (posthog.com).

8. Transferts hors Union européenne

Certains sous-traitants sont susceptibles de traiter des données hors de l'Union européenne, notamment Vercel et Anthropic dont les maisons-mères sont établies aux États-Unis. Ces transferts sont encadrés par l'un des mécanismes prévus au chapitre V du RGPD :

• décision d'adéquation de la Commission européenne lorsqu'elle existe (notamment l'EU–U.S. Data Privacy Framework — décision d'exécution (UE) 2023/1795) ;
• clauses contractuelles types (CCT) adoptées par la Commission européenne au titre de la décision d'exécution (UE) 2021/914 ;
• mesures supplémentaires techniques et organisationnelles lorsque le contexte l'exige, à la lumière de la jurisprudence Schrems II (CJUE, 16 juillet 2020, C-311/18).

Les détails de ces garanties et copie des clauses peuvent être communiqués à l'utilisateur sur demande adressée à tutorizonofficiel@gmail.com.

Le traceur de mesure d'audience PostHog est opéré sur son instance européenne eu.posthog.com, hébergée en Allemagne : les données collectées dans ce cadre restent au sein de l'Union européenne et ne font l'objet d'aucun transfert hors UE.

9. Sécurité des données

CryptoRizon met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisé, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature des traitements et des risques encourus (article 32 du RGPD).

Ces mesures comprennent notamment le chiffrement des communications en transit, le chiffrement au repos des données sensibles (y compris des clés d'interface fournies par l'utilisateur), la séparation des environnements, des contrôles d'accès, la journalisation, des sauvegardes régulières et des revues de sécurité. Aucun système informatique ne pouvant garantir une sécurité absolue, CryptoRizon invite les utilisateurs à adopter de bonnes pratiques (mot de passe robuste, authentification forte lorsque disponible, vigilance face aux tentatives d'hameçonnage, révocation régulière des clés).

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, CryptoRizon notifie la CNIL dans un délai de soixante-douze (72) heures (article 33 du RGPD) et informe les personnes concernées lorsque le risque est élevé (article 34 du RGPD).

10. Décisions automatisées et contenus générés par IA

Certaines fonctionnalités — notamment le Passeport Investisseur — reposent sur le traitement automatisé des réponses de l'utilisateur par un modèle de langage (IA). Ce traitement produit des synthèses personnalisées à vocation informative et éducative. Il n'intervient dans aucune décision produisant des effets juridiques au sens de l'article 22 du RGPD et n'a pas pour finalité la prise d'une décision de souscription, de tarification ou de refus à l'égard de l'utilisateur. L'utilisateur peut à tout moment demander un réexamen humain de la synthèse générée et contester son contenu.

11. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, tu disposes des droits suivants sur tes données personnelles :

• Droit d'accès — obtenir la confirmation que tes données sont traitées et en recevoir une copie (art. 15 RGPD).
• Droit de rectification — faire corriger toute donnée inexacte ou incomplète (art. 16 RGPD).
• Droit à l'effacement — obtenir la suppression de tes données, sous réserve des obligations légales de conservation (art. 17 RGPD).
• Droit à la limitation du traitement — suspendre certains traitements dans les cas prévus à l'article 18 du RGPD.
• Droit à la portabilité — recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données que tu nous as fournies (art. 20 RGPD).
• Droit d'opposition — t'opposer, pour des raisons tenant à ta situation particulière, à un traitement fondé sur l'intérêt légitime, et à tout moment aux traitements à des fins de prospection (art. 21 RGPD).
• Droit de retirer ton consentement — à tout moment et sans frais, pour les traitements qui en dépendent, sans que cela remette en cause la licéité des traitements antérieurs.
• Directives post mortem — conformément à l'article 85 de la Loi Informatique et Libertés, définir des directives relatives au sort de tes données après ton décès.
• Droit de ne pas faire l'objet d'une décision individuelle automatisée au sens de l'article 22 du RGPD.

12. Exercice des droits et réclamation

Toute demande d'exercice de droits peut être adressée par email à tutorizonofficiel@gmail.com. Afin de traiter la demande avec la diligence requise, une vérification d'identité peut être sollicitée lorsque le doute est raisonnable (article 12.6 du RGPD). La réponse est apportée dans un délai d'un (1) mois à compter de la réception, prorogeable de deux (2) mois supplémentaires en cas de demande complexe ou nombreuse (article 12.3 du RGPD).

Si tu estimes, après avoir contacté CryptoRizon, que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, ou via cnil.fr.

13. Protection des mineurs

Le service n'est pas destiné aux mineurs de moins de dix-huit (18) ans. CryptoRizon ne collecte pas sciemment de données concernant des mineurs. En cas de collecte avérée, les données sont supprimées dans les meilleurs délais et le compte concerné est clôturé.

14. Cookies et traceurs

Les cookies et traceurs utilisés par CryptoRizon sont détaillés dans la politique cookies, qui fait partie intégrante de la présente politique.

15. Modifications

La présente politique peut être mise à jour pour refléter l'évolution du service, des sous-traitants, des finalités de traitement ou du cadre réglementaire. Les modifications substantielles font l'objet d'une information par email et d'un affichage visible sur le site. La version applicable est celle publiée à la date de consultation.