Politique de confidentialité
Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : 20 mai 2026.
1. Responsable de traitement
Le responsable de traitement au sens de l'article 4.7 du RGPD est :
- Éditeur de TRADIX : Rémy Guillet
- Contact RGPD : privacy@tradix-trading.live
- Adresse postale : Gironde (33), France — adresse complète disponible sur demande à support@tradix-trading.live (voir mentions légales pour les coordonnées complètes)
L'éditeur n'a pas désigné de Délégué à la protection des données (DPO), ce qui n'est pas obligatoire dans son cas (activité non principale, données non sensibles au sens de l'article 9 RGPD, échelle réduite).
2. Données personnelles collectées
| Catégorie | Données concernées | Source |
|---|---|---|
| Identité | Nom d'utilisateur, adresse email, nom affiché (display name), avatar facultatif | Saisie utilisateur à l'inscription |
| Authentification | Mot de passe (haché en scrypt, jamais en clair), tokens JWT, secret TOTP 2FA si activé | Saisie utilisateur |
| Activité trading | Journal de trades (date, instrument, P&L, notes), comptes prop-firm configurés, briefings IA générés, screenshots éventuels uploadés | Saisie / import CSV par l'utilisateur |
| Clés API broker | Tokens d'accès Tradovate / Rithmic / Lucid, chiffrés au repos en AES-256 via la librairie Fernet | Saisie utilisateur dans la rubrique « Comptes » |
| Paiement (le cas échéant) | Adresse email, montants, dates et IDs d'abonnement Stripe. Aucun numéro de carte bancaire n'est stocké côté TRADIX. | Stripe (sous-traitant) |
| Logs techniques | Adresse IP (anonymisée après 30 jours), user-agent, dates de connexion, codes HTTP | Automatique, à des fins de sécurité |
| Cookies / stockage local | Préférences UI, tokens de session, paramètres d'apparence | Voir section Cookies |
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Pendant toute la durée de l'inscription, puis 1 an après suppression du compte (logs de sécurité) |
| Fourniture des fonctionnalités (analyses IA, journal, calculs de risque) | Exécution du contrat (art. 6.1.b) | Pendant toute la durée de l'inscription |
| Sécurité (logs, détection d'intrusion, audit) | Intérêt légitime (art. 6.1.f) | 1 an à compter de l'événement |
| Facturation et obligations comptables Stripe | Obligation légale (art. 6.1.c — Code de commerce art. L. 123-22) | 10 ans à compter de la facture |
| Envoi d'emails transactionnels (confirmation, reset mot de passe) | Exécution du contrat (art. 6.1.b) | Conservation 30 jours dans les logs Resend |
| Statistiques d'usage anonymisées | Intérêt légitime (art. 6.1.f) | 13 mois maximum |
TRADIX ne réalise aucun profilage automatisé produisant des effets juridiques au sens de l'article 22 RGPD.
4. Destinataires et sous-traitants
Vos données peuvent être communiquées aux sous-traitants suivants, qui agissent uniquement sur instruction documentée de l'éditeur, dans le cadre d'un accord de sous-traitance conforme à l'article 28 RGPD :
| Sous-traitant | Finalité | Localisation | Encadrement |
|---|---|---|---|
| Render Services, Inc. | Hébergement applicatif | États-Unis ou Union européenne (selon région) | Clauses Contractuelles Types (CCT) si hors UE |
| Anthropic, PBC | Génération d'analyses textuelles par IA (Claude) | États-Unis | Adhérent au Data Privacy Framework (DPF) UE-USA |
| Stripe Payments Europe Ltd | Traitement des paiements (le cas échéant) | Irlande (UE), avec transferts ponctuels USA | DPF + CCT, certifié PCI-DSS niveau 1 |
| Resend, Inc. | Envoi des emails transactionnels | États-Unis | CCT + DPF |
| Sentry / Glitchtip (optionnel) | Monitoring erreurs serveur | USA / UE selon configuration | CCT si USA |
Aucune donnée n'est revendue ni transférée à des fins publicitaires ou commerciales.
5. Transferts hors Union européenne
Certains sous-traitants sont localisés aux États-Unis. Les transferts sont encadrés par :
- L'adhésion des sous-traitants au Data Privacy Framework UE-USA (décision d'adéquation de la Commission européenne du 10 juillet 2023), ou à défaut
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914).
Vous pouvez demander une copie de ces garanties en écrivant à l'adresse indiquée en section 1.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles 49 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données vous concernant.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation (notamment comptables, 10 ans).
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (export JSON ou CSV).
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retrait du consentement : à tout moment, lorsque le traitement est fondé sur le consentement, sans rétroactivité.
- Droit de définir des directives post-mortem sur le sort de vos données.
Exercice de vos droits
- Formulaire dédié : accessible dans TRADIX → menu profil → Paramètres → Sécurité → « Mes droits RGPD ».
- Email : privacy@tradix-trading.live
- Courrier postal : voir mentions légales.
L'éditeur répondra à votre demande dans un délai d'un mois à compter de sa réception (extensible de deux mois pour les demandes complexes, avec notification de l'extension). Une pièce d'identité pourra être demandée en cas de doute raisonnable sur votre identité.
7. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Adresse : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site web : https://www.cnil.fr/fr/plaintes
8. Sécurité des données
TRADIX met en œuvre les mesures techniques et organisationnelles suivantes :
- Mots de passe : hachés avec l'algorithme scrypt (RFC 7914), jamais stockés en clair.
- Authentification à deux facteurs (2FA) : disponible et recommandée, via TOTP RFC 6238.
- Clés API broker : chiffrées au repos avec AES-256 (Fernet), clé maître stockée séparément en variables d'environnement.
- Transit : connexions HTTPS uniquement (TLS 1.2+).
- Tokens JWT : durée de vie courte (2h pour l'accès, 7 jours pour le refresh), session forcée à 1h côté frontend pour limiter l'exposition.
- Audit log : connexions, modifications de sécurité (changement mot de passe, activation 2FA) tracées pendant 1 an.
- Sauvegardes : périodiques, chiffrées, hors-site.
- Mises à jour de sécurité : appliquées sous 7 jours après publication d'un CVE critique sur une dépendance.
9. Cookies et stockage local
Voir la rubrique dédiée dans gdpr-compliance.md et le bandeau de gestion des cookies affiché lors de votre première visite.
10. Modifications de la présente politique
L'éditeur se réserve le droit de modifier la présente politique pour refléter des évolutions législatives ou fonctionnelles. Toute modification substantielle vous sera notifiée par email (si vous êtes inscrit) ou via un bandeau dans l'application au moins 15 jours avant son entrée en vigueur.