📌 En bref — Portfolio Crypto traite vos données pour vous fournir un service de gestion de portefeuille crypto. Vos données sont hébergées en France (Supabase, région eu-west-3 Paris). Vous gardez le contrôle total : vous pouvez à tout moment exporter ou supprimer vos données depuis votre espace personnel.
1. Qui est responsable du traitement ?
Portfolio Crypto est un service en phase de bêta privée non-commerciale, opéré par un développeur indépendant basé en France. Pour toute question relative à vos données personnelles, contactez :
- 📧
privacy@portfoliocrypto.tld (réservé aux questions RGPD)
- Via le bouton "Contact" dans l'application
2. Quelles données sont collectées ?
Données fournies directement par vous
- Identité de connexion : adresse email (via Supabase Auth ou Google OAuth)
- Clés API d'exchanges : Binance, Coinbase (chiffrées AES-256-GCM avec une clé maîtresse, jamais lisibles en clair)
- Adresses de wallets publics : Phantom (Solana), EVM (Ethereum, Polygon...) — adresses publiques uniquement, jamais de clé privée
- Identifiant Telegram : si vous activez l'intégration newsletter (chat_id Telegram)
Données collectées automatiquement
- Données financières : historique de transactions, conversions, dépôts/retraits, staking, rewards, achats programmés (récupérés depuis vos comptes exchange via vos clés API)
- Snapshots du portfolio : valeurs historiques pour les graphiques (toutes les 10 minutes)
- Préférences : favoris, plans d'achat/vente personnels, paramètres newsletter
Données techniques
- Logs serveur (date, IP, route appelée — conservés 30 jours)
- Cookie de session (JWT Supabase, strictement nécessaire au fonctionnement)
3. Sur quelles bases légales ?
| Donnée | Base légale |
|---|
| Email, mot de passe | Exécution du contrat (création de compte) |
| Clés API, wallets, données financières | Exécution du contrat (utilisation du service) |
| Telegram chat_id | Consentement explicite (activation newsletter) |
| Snapshots, logs | Intérêt légitime (fonctionnement et amélioration) |
4. Qui sont les sous-traitants ?
Pour fournir le service, certaines données sont traitées par des prestataires tiers, sous accord de protection des données (DPA) :
| Prestataire | Finalité | Localisation | Transfert hors UE ? |
|---|
| Supabase |
Base de données + authentification |
🇫🇷 Paris (eu-west-3, AWS) |
Non |
| Hetzner |
Hébergement du serveur applicatif |
🇩🇪 Allemagne |
Non |
| Anthropic (API Claude) |
Génération de la newsletter (analyse top 10 cryptos) |
🇺🇸 États-Unis |
Oui — Clauses Contractuelles Types RGPD (DPA Anthropic Standard) |
| Telegram |
Envoi de la newsletter (uniquement si activé par vous) |
Multiple |
Oui — Activation volontaire de votre part |
Sources de données publiques (sans transmission de données personnelles) : CoinMarketCap (cours et metadata des cryptos), Yahoo Finance (indices boursiers), CryptoPanic et NewsData.io (articles d'actualité). Aucune donnée personnelle n'est transmise à ces fournisseurs : seules des requêtes anonymes (cours BTC, etc.) sont effectuées.
Cas particulier des exchanges (Binance, Coinbase) et blockchains : nous accédons à vos données chez ces plateformes via vos propres clés API que vous nous fournissez. Vous restez le seul responsable de la relation avec ces plateformes (leurs propres CGU s'appliquent). Nous ne stockons aucune donnée personnelle chez eux.
5. Combien de temps les données sont-elles conservées ?
- Compte actif : tant que votre compte existe
- Après suppression du compte : 30 jours de quarantaine puis effacement définitif (vous pouvez restaurer pendant ces 30 jours)
- Logs techniques : 30 jours
- Données agrégées anonymisées : durée illimitée (statistiques globales, sans lien avec vous)
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès et de portabilité : exporter toutes vos données dans un format lisible (JSON, CSV ou PDF au choix)
- Droit de rectification : modifier vos données depuis votre espace personnel
- Droit à l'effacement (droit à l'oubli) : supprimer votre compte et toutes les données associées
- Droit à la limitation du traitement
- Droit d'opposition au traitement
- Droit de retirer votre consentement à tout moment (pour les traitements basés sur le consentement)
- Droit de définir des directives post-mortem pour le devenir de vos données
Comment exercer ces droits ?
- Depuis l'application : Paramètres → Mes données (boutons "Exporter" et "Supprimer mon compte")
- Par email :
privacy@portfoliocrypto.tld (délai de réponse : 1 mois maximum)
7. Sécurité
- Vos clés API d'exchanges sont chiffrées avec AES-256-GCM (cryptographie à authentification intégrée)
- Communications HTTPS/TLS systématiques en production
- Authentification via Supabase Auth (JWT signés, OAuth Google supporté)
- Accès aux données protégé par des règles Row Level Security (chaque utilisateur ne voit que ses propres données)
- Sauvegardes Supabase quotidiennes
8. Cookies
Le service utilise uniquement des cookies strictement nécessaires au fonctionnement (cookie de session JWT Supabase). Aucun cookie de tracking, publicitaire ou analytique n'est déposé. Conformément à la directive ePrivacy, ces cookies ne nécessitent pas de consentement préalable.
⚠️ Évolution future : si nous ajoutions un jour des cookies analytiques ou publicitaires, un bandeau de consentement explicite sera mis en place avant tout dépôt.
9. Modification de cette politique
Cette politique peut être modifiée pour tenir compte d'évolutions légales ou techniques. La date de dernière mise à jour figure en haut de page. Pour toute modification substantielle, vous serez informé par email ou via une notification dans l'application.
10. Réclamation CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07