Sommaire
1 Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via les applications Ploutos (app.ploutos-cgp.fr) et Kleios CGP (crm.ploutos-cgp.fr) est :
EcoPatrimoine Conseil
Société d'exercice libéral
David PERRY
Conseiller en Gestion de Patrimoine
6 rue Victor Mirabeau
66000 Perpignan, France
25006907 — www.orias.fr
CIF — Conseiller en Investissements Financiers
COA — Courtier en Assurances
EcoPatrimoine Conseil est immatriculée à l'ORIAS (n° 25006907) en qualité de Conseiller en Investissements Financiers (CIF) et de Courtier en Assurances (COA), soumise au contrôle de l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) et de l'Autorité des Marchés Financiers (AMF).
2 Données collectées
Les données collectées varient selon le profil de l'utilisateur.
Utilisateurs professionnels — Conseillers en Gestion de Patrimoine (CGP)
| Catégorie | Données | Source |
|---|---|---|
| Identification | Prénom, nom, email professionnel, nom du cabinet | Inscription directe |
| Données de connexion | Adresse email, mot de passe hashé (Supabase Auth), date de dernière connexion | Authentification |
| Données professionnelles | Numéro ORIAS, RCP, coordonnées cabinet, signature numérisée, logo | Paramétrage cabinet |
| Données d'usage | Logs de connexion, fonctionnalités utilisées, date et heure des actions | Automatique |
| Données de facturation | Gérées exclusivement par Stripe — EcoPatrimoine ne stocke pas les données de paiement | Stripe |
Données clients des CGP (sous-traitant)
Données collectées automatiquement
- Adresse IP (anonymisée après 90 jours)
- Type de navigateur et système d'exploitation
- Pages consultées et durée des sessions
- Données de performance applicative
3 Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte CGP | Exécution du contrat (art. 6.1.b) |
| Fourniture des services Ploutos et Kleios CGP | Exécution du contrat (art. 6.1.b) |
| Gestion de l'abonnement et de la facturation | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails transactionnels (confirmation, réinitialisation MDP) | Exécution du contrat (art. 6.1.b) |
| Respect des obligations légales (comptabilité, ORIAS) | Obligation légale (art. 6.1.c) |
| Amélioration des services et statistiques d'usage anonymisées | Intérêt légitime (art. 6.1.f) |
| Envoi de communications commerciales | Consentement (art. 6.1.a) ou intérêt légitime si client existant |
| Traitement des données clients CGP (sous-traitance) | Contrat de sous-traitance (art. 28 RGPD) |
4 Destinataires des données
Les données sont transmises aux sous-traitants strictement nécessaires à la fourniture du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage de fichiers | UE (eu-west-1) |
| Netlify Inc. | Hébergement des applications web | États-Unis (SCCs) |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis (SCCs) |
| Stripe Inc. | Traitement des paiements | UE / États-Unis (SCCs) |
| Google LLC | API Places (enrichissement adresses), Google Calendar (optionnel) | États-Unis (SCCs) |
Les données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.
5 Durées de conservation
| Données | Durée de conservation |
|---|---|
| Données de compte CGP actif | Durée de l'abonnement + 3 ans après résiliation |
| Données clients CGP (sous-traitance) | Conformément aux instructions du CGP responsable de traitement |
| Données de facturation | 10 ans (obligation comptable légale) |
| Logs de connexion | 12 mois |
| Adresses IP | Anonymisées après 90 jours |
| Emails transactionnels | 30 jours (logs Resend) |
| Données après exercice du droit à l'effacement | Suppression sous 30 jours, sauf obligation légale de conservation |
6 Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Faire corriger des données inexactes ou incomplètes vous concernant.
Demander la suppression de vos données, sous réserve des obligations légales.
Recevoir vos données dans un format structuré et lisible par machine.
Vous opposer au traitement fondé sur l'intérêt légitime, notamment à des fins de prospection.
Demander la suspension temporaire du traitement dans certains cas.
Retirer à tout moment un consentement préalablement donné, sans effet rétroactif.
Introduire une réclamation auprès de la CNIL (cnil.fr), autorité de contrôle française.
7 Utilisation des APIs Google
Les applications Ploutos et Kleios CGP utilisent certaines APIs fournies par Google LLC. L'utilisation de ces APIs est encadrée par la Politique d'utilisation des données des services API Google.
Google Places API
Utilisée pour l'enrichissement des informations d'adresse et la recherche de lieux professionnels. Cette API est appelée via un serveur proxy (Edge Function Supabase) — aucune donnée de compte Google de l'utilisateur n'est collectée ou transmise. Seule la requête de recherche (adresse ou nom d'établissement) transite vers l'API Google.
Google Calendar API (optionnel)
Lorsqu'un utilisateur choisit de connecter son agenda Google à Kleios CGP, les données suivantes peuvent être accédées :
- Liste des événements du calendrier (lecture)
- Création et modification d'événements liés aux rendez-vous clients (écriture)
La connexion Google Calendar est toujours soumise à consentement explicite (bouton "Connecter mon agenda Google"). L'utilisateur peut révoquer cet accès à tout moment depuis myaccount.google.com/permissions.
9 Sécurité des données
Les mesures techniques et organisationnelles suivantes sont mises en œuvre pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS 1.3)
- Chiffrement des données au repos (Supabase — AES-256)
- Authentification sécurisée (Supabase Auth — mots de passe hashés bcrypt)
- Contrôle d'accès par Row Level Security (RLS) au niveau base de données — chaque CGP ne peut accéder qu'à ses propres données
- Accès aux données de production restreint au personnel d'EcoPatrimoine Conseil
- Sauvegardes automatiques quotidiennes (Supabase)
- Journalisation des accès administrateurs
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, vous en serez informé conformément à l'article 34 du RGPD dans les meilleurs délais.
10 Mineurs
Les services Ploutos et Kleios CGP sont destinés exclusivement à des professionnels (Conseillers en Gestion de Patrimoine) et ne s'adressent pas aux mineurs de moins de 18 ans. Aucune donnée concernant des mineurs n'est collectée sciemment. Si vous estimez qu'un mineur a transmis des données personnelles, vous pouvez nous contacter pour en demander la suppression.
11 Modifications de la présente politique
La présente politique de confidentialité peut être mise à jour pour refléter l'évolution de nos services ou des exigences légales. La date de dernière mise à jour est indiquée en haut de ce document.
En cas de modification substantielle, les utilisateurs actifs seront informés par email au moins 30 jours avant l'entrée en vigueur des changements. La poursuite de l'utilisation des services après notification vaut acceptation de la politique révisée.
12 Contact et réclamations
Pour toute question relative à la présente politique ou à l'exercice de vos droits :
David PERRY
[email protected]
30 jours calendaires
à compter de la réception
Commission Nationale de l'Informatique et des Libertés (CNIL)
www.cnil.fr
3 place de Fontenoy
TSA 80715 — 75334 Paris Cedex 07