Politique de confidentialité

Le responsable du traitement des données personnelles est Adrien Music, Entrepreneur Individuel (EI), éditeur du service KRYPTFOLIO (ci-après « le Responsable »).

Contact : privacy@kryptfolio.com

Référent RGPD : privacy@kryptfolio.com

Nous collectons les catégories de données suivantes :

▸ Identification : nom, adresse email, photo de profil (si connexion Google OAuth). Collectées lors de l'inscription pour créer et gérer votre compte.

▸ Authentification : mot de passe haché (bcrypt cost 12, jamais stocké en clair), sessions JWT. Nécessaires pour sécuriser l'accès à votre compte.

▸ Portfolio : cryptomonnaies détenues, quantités, prix d'achat, dates d'achat. Collectées lors de l'ajout manuel de positions ou de la synchronisation d'un exchange.

▸ Transactions : historique d'achats/ventes, calcul P&L en méthode FIFO. Collectées pour le suivi de performance et la génération du récapitulatif indicatif de cessions.

▸ Alertes : symboles surveillés, seuils de prix, direction (hausse/baisse). Collectées pour fournir le service d'alertes.

▸ Clés API exchanges : chiffrées AES-256-GCM côté serveur, lecture seule uniquement. Collectées pour la synchronisation automatique du portfolio des utilisateurs Pro.

▸ Paiement : géré intégralement par Stripe (certifié PCI-DSS Level 1) et Coinbase Commerce le cas échéant. Aucune donnée de carte bancaire ne transite par nos serveurs. Seuls le type de plan, les dates de souscription et les identifiants de transaction sont conservés.

▸ Données techniques : adresse IP utilisée pour le rate limiting uniquement, traitée en mémoire et non stockée de manière permanente.

▸ Notifications : Telegram Chat ID, endpoints push (PWA/Service Worker), adresses de portefeuilles Web3 (pour le suivi on-chain). Collectées avec votre consentement explicite.

Chaque traitement de données repose sur une base légale spécifique :

▸ Exécution du contrat (Art. 6(1)(b)) : création de compte, gestion du portfolio, transactions, synchronisation exchange, alertes de prix, calcul de PnL. Ces traitements sont nécessaires à la fourniture du Service.

▸ Consentement (Art. 6(1)(a)) : envoi d'emails marketing et de notifications optionnelles (Telegram, Push, drip emails). Vous pouvez retirer votre consentement à tout moment depuis les paramètres du compte ou via le lien de désinscription.

▸ Intérêt légitime (Art. 6(1)(f)) : sécurisation du Service (rate limiting, détection de fraude, monitoring d'erreurs via Sentry), amélioration du Service (analyses anonymisées via PostHog). Notre intérêt légitime est proportionné et ne porte pas atteinte à vos droits fondamentaux.

▸ Obligation légale (Art. 6(1)(c)) : conservation des données de paiement pendant 5 ans conformément à l'article L123-22 du Code de commerce français.

Vos données sont utilisées exclusivement pour les finalités suivantes :

▸ Fourniture du Service : suivi de portfolio, alertes de prix, calcul indicatif de PnL, simulations (What If, DCA), récapitulatif indicatif de cessions, synchronisation d'exchanges, Health Score, corrélation, objectifs.

▸ Insights personnalisés : génération de recommandations contextuelles basées sur votre portfolio (règles algorithmiques + texte IA optionnel via Anthropic Claude). Aucun profiling automatisé n'est utilisé pour prendre des décisions vous concernant.

▸ Notifications (avec consentement) : alertes de prix déclenchées, digest hebdomadaire, push quotidien sur les mouvements significatifs, notifications de badges, drip emails d'onboarding.

▸ Sécurité : protection contre les abus (rate limiting multi-tier via Redis), chiffrement des données sensibles, gestion des sessions, monitoring d'erreurs.

▸ Analytics anonymisé : analyse anonymisée de l'utilisation via PostHog (si activé). Aucun identifiant personnel n'est transmis ; les données sont agrégées.

Nous ne vendons jamais vos données. Nous ne partageons jamais vos données à des fins publicitaires.

Vos données peuvent être transmises aux sous-traitants suivants, strictement dans le cadre de la fourniture du Service :

▸ Vercel Inc. (USA) — Hébergement de l'application — Data Privacy Framework (DPF) certifié.

▸ Stripe Inc. (USA) — Traitement des paiements par carte — Certifié PCI-DSS Level 1 + DPF + Clauses Contractuelles Types (CCT).

▸ Google (USA) — Authentification OAuth — DPF certifié.

▸ Sentry Inc. (USA) — Monitoring d'erreurs applicatives — DPF + CCT.

▸ PostHog Inc. (USA/EU) — Analytics anonymisé — DPF certifié. Aucune donnée personnelle identifiante transmise.

▸ CoinGecko (Malaisie) — Données de marché (cours, historiques) — Aucune donnée personnelle transmise (requêtes anonymes).

▸ Anthropic (USA) — Génération de texte IA pour les insights (optionnel, activé uniquement si ANTHROPIC_API_KEY configurée) — CCT.

▸ Upstash (USA/EU) — Cache Redis serverless (rate limiting, cache de données) — DPF/CCT.

▸ Coinbase Commerce — Traitement des paiements en cryptomonnaie le cas échéant — CCT.

Aucune donnée n'est transmise à d'autres tiers. Les transferts hors UE sont encadrés par le Data Privacy Framework et/ou les Clauses Contractuelles Types de la Commission européenne.

Les durées de conservation applicables sont les suivantes :

▸ Compte actif : durée de l'abonnement + 3 ans d'inactivité. Au-delà, le compte et les données associées sont supprimés après notification préalable.

▸ Données financières (paiements) : 5 ans après le dernier paiement, conformément à l'obligation comptable de l'article L123-22 du Code de commerce.

▸ Logs de connexion (IP) : non stockés de manière permanente. Traitement en mémoire uniquement pour le rate limiting.

▸ Clés API exchanges : supprimées immédiatement lors de la révocation par l'utilisateur ou de la suppression du compte.

▸ Données après suppression de compte : effacées dans un délai de 30 jours maximum après la demande de suppression.

▸ Consentements emails/notifications : conservés jusqu'au retrait explicite du consentement par l'utilisateur.

KRYPTFOLIO utilise un nombre minimal de cookies et de mécanismes de stockage local :

▸ Cookie de session (next-auth.session-token) : cookie sécurisé HttpOnly, SameSite=Lax, Secure. Durée : 30 jours. Ce cookie est strictement nécessaire au fonctionnement de l'authentification et ne requiert pas de consentement préalable.

▸ localStorage du navigateur : stockage côté client des préférences utilisateur (thème, tips dismissés, étape d'onboarding, préférences copilot, marqueurs de fonctionnalités). Ces données ne sont jamais transmises à nos serveurs.

▸ PostHog (analytics anonymisé) : ne dépose PAS de cookie de tracking. Les données sont anonymisées et agrégées.

▸ Aucun cookie publicitaire, de tracking ou de profilage n'est utilisé par KRYPTFOLIO.

Conformément à l'article 82 de la loi Informatique et Libertés, les cookies strictement nécessaires au fonctionnement du Service ne nécessitent pas de consentement préalable.

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

▸ Hachage des mots de passe : algorithme bcrypt avec facteur de coût 12 (résistant aux attaques par force brute et rainbow tables).

▸ Chiffrement des clés API : algorithme AES-256-GCM avec vecteur d'initialisation (IV) unique par enregistrement. Clé de chiffrement dérivée et stockée de manière sécurisée.

▸ Communications chiffrées : HTTPS/TLS sur toutes les connexions sans exception.

▸ Base de données chiffrée : PostgreSQL avec chiffrement au repos (encryption at rest).

▸ Contrôle d'accès par rôle : trois niveaux (USER, ADMIN, SUPERADMIN), sessions JWT avec expiration automatique.

▸ Rate limiting multi-tier : protection contre les attaques par force brute via Redis (Upstash) sur les endpoints sensibles (inscription, connexion, API).

▸ Politique de sécurité du contenu : Content Security Policy (CSP) nonce-based, HTTP Strict Transport Security (HSTS) avec preload.

En cas de violation de données personnelles, nous nous engageons à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD et à informer les utilisateurs concernés sans délai indu conformément à l'article 34 du RGPD.

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

▸ Droit d'accès (Art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie complète.

▸ Droit de rectification (Art. 16) : corriger vos données inexactes ou incomplètes, depuis les paramètres du compte.

▸ Droit à l'effacement (Art. 17) : demander la suppression de votre compte et de toutes vos données personnelles.

▸ Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine. Exercable via l'export CSV/JSON disponible dans l'application (portfolio, transactions, PnL).

▸ Droit d'opposition (Art. 21) : vous opposer au traitement à des fins de marketing direct (désabonnement emails) ou désactiver les analytics (PostHog).

▸ Droit à la limitation (Art. 18) : demander le gel du traitement de vos données en cas de contestation de leur exactitude ou de l'illicéité du traitement.

▸ Droit de retirer votre consentement (Art. 7§3) : à tout moment pour les notifications push, Telegram et les emails marketing. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait.

Pour exercer vos droits : envoyez un email à privacy@kryptfolio.com avec l'objet « Exercice de droits RGPD » et l'adresse email de votre compte. Délai de réponse : 30 jours maximum.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE), principalement aux États-Unis (Vercel, Stripe, Google, Sentry, PostHog, Anthropic, Upstash).

Ces transferts sont encadrés par les garanties suivantes :

▸ Data Privacy Framework (DPF) : les sous-traitants certifiés DPF bénéficient de la décision d'adéquation de la Commission européenne du 10 juillet 2023. Vérification sur dataprivacyframework.gov.

▸ Clauses Contractuelles Types (CCT) : conformément à la décision d'exécution 2021/914 de la Commission européenne, complétées par des mesures supplémentaires de protection (chiffrement, pseudonymisation) conformément aux recommandations du CEPD.

Vous pouvez obtenir une copie des garanties appropriées en contactant privacy@kryptfolio.com.

KRYPTFOLIO est un outil de suivi de portfolio informatif. Il ne détient aucun actif numérique pour le compte de ses utilisateurs et ne réalise aucune transaction financière.

En conséquence, KRYPTFOLIO n'est pas un Prestataire de Services sur Actifs Numériques (PSAN) ni un Crypto-Asset Service Provider (CASP) au sens de la réglementation MiCA, et n'est pas soumis aux obligations de déclaration automatique prévues par la directive DAC8.

Les utilisateurs restent seuls responsables de leurs propres obligations déclaratives fiscales, notamment le formulaire Cerfa 2086 (plus-values sur actifs numériques) et le formulaire Cerfa 3916-bis (déclaration de comptes d'actifs numériques détenus à l'étranger).

La présente Politique de confidentialité peut être mise à jour pour refléter les évolutions du Service ou de la réglementation applicable.

En cas de modification substantielle, nous informerons les utilisateurs par email au moins 30 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour est indiquée en haut de ce document.

Pour toute question relative à vos données personnelles ou pour exercer vos droits : privacy@kryptfolio.com