Document légal
Politique de confidentialité
Traitement de vos données personnelles (RGPD).
Politique de confidentialité
Alchimie Capital LLC, Crypto Alchimie
Date d'effet : 2026-04-24 Version : 1.1 Conforme au Règlement (UE) 2016/679 (RGPD), Art. 3.2 : application extraterritoriale aux personnes situées dans l'Union européenne.
1. Qui sommes-nous ?
Alchimie Capital LLC (ci-après « Alchimie Capital », « nous ») est une société à responsabilité limitée de droit de l'État du Nouveau-Mexique (New Mexico) (États-Unis d'Amérique), Registered Agent [À COMPLÉTER, Registered Agent NM, ex. Northwest Registered Agent ou Stripe Atlas], siège enregistré 4405 Jager Dr NE, Ste C4, Box 2043, Rio Rancho, NM 87144, EIN [À COMPLÉTER, EIN à obtenir via IRS Form SS-4].
Nous exploitons la formation et l'application « Crypto Alchimie », disponibles sur https://alchimiecapital.com et via les stores iOS et Android.
Responsable du traitement : Alchimie Capital LLC Contact Privacy : privacy@alchimiecapital.com Représentant UE au sens de l'Art. 27 RGPD : [À DÉSIGNER, représentant UE Art. 27 RGPD, ex. Prighter GmbH ou VeraSafe] (à désigner, cabinet tiers type Prighter, VeraSafe, ou avocat BE/FR)
2. Qu'est-ce que le RGPD et pourquoi s'applique-t-il ?
Bien qu'Alchimie Capital soit établie aux États-Unis, le RGPD s'applique à notre traitement des données personnelles des utilisateurs situés dans l'Union européenne, en vertu de son Article 3, paragraphe 2, point a) (offre de biens ou services à des personnes dans l'UE).
3. Quelles données collectons-nous ?
3.1 Données d'identification et de compte
| Donnée | Source | Obligatoire |
|---|---|---|
| Prénom, nom | Fournis par vous à l'inscription | Oui |
| Adresse e-mail | Fournis par vous ou via OAuth (Google) | Oui |
| Mot de passe (haché par Clerk) | Fournis par vous | Oui si email auth |
| Photo de profil | Fournis par vous (facultatif) | Non |
| Numéro de téléphone | Fournis par vous (facultatif) | Non |
3.2 Données de facturation
Traitées par Stripe Payments Europe, Ltd. (Dublin, Irlande) en qualité de co-responsable de traitement. Nous recevons uniquement :
- Statut du paiement
- 4 derniers chiffres de la carte
- Pays de facturation
- Adresse de facturation si requise pour TVA
Nous ne stockons jamais les numéros de carte bancaire complets.
3.3 Données d'usage
- Progression dans la Formation (modules complétés, scores d'exercices)
- Historique de navigation dans l'Application
- Interactions avec HERMÈS (transcripts de conversation)
- Feedback et évaluations
- Temps passé par section
3.4 Données du Quiz Avatar
Lors du quiz d'onboarding, nous collectons :
- Tranche de revenus (fourchette, jamais chiffre exact)
- Capital dédié au crypto (fourchette)
- Horizon de temps souhaité
- Niveau d'expérience crypto auto-déclaré
- Objectifs pédagogiques
Ces données servent exclusivement à déterminer un profil pédagogique (NOVICE, AMBITIEUX, PATRIMONIAL, CADRE_PRESSE) pour adapter le rythme et le vocabulaire de la Formation. Elles ne constituent pas un profilage d'investisseur au sens MiFID II.
3.5 Journal émotionnel (optionnel)
Si l'Utilisateur active cette fonctionnalité, il peut saisir librement ses ressentis face au marché. Ces données peuvent, par déduction, révéler un état psychologique et sont traitées comme données sensibles au sens de l'Art. 9.1 RGPD. Leur traitement repose exclusivement sur le consentement explicite distinct (Art. 9.2.a RGPD) et peut être révoqué à tout moment.
3.6 Clés API exchanges (optionnel)
Si l'Utilisateur connecte un compte exchange (Binance, Bybit) pour la synchronisation de portefeuille, ses clés API en lecture seule sont chiffrées (AES-256-GCM) via KMS avant stockage. Aucune clé API avec droit de trading n'est acceptée.
3.7 Données techniques
- Adresse IP (anonymisée sur 7 jours)
- Type de device, OS, navigateur
- Logs d'accès et d'erreur
- Cookies et technologies similaires (voir COOKIE-POLICY.md)
3.8 Données des interactions HERMÈS
- Prompts envoyés
- Réponses générées
- Feedback explicite (pouce haut / bas)
- Logs de modération
4. Pourquoi collectons-nous ces données ? (Finalités et bases légales)
Conformément à l'Article 6 du RGPD, chaque traitement repose sur une base légale spécifique :
| Finalité | Base légale (Art. 6) | Durée |
|---|---|---|
| Créer et gérer votre compte | Exécution du contrat (6.1.b) | Durée de l'abonnement + 3 ans |
| Traiter les paiements | Exécution du contrat (6.1.b) + obligation légale (6.1.c) | 7 ans (obligations comptables) |
| Adapter la pédagogie (quiz avatar) | Consentement explicite (6.1.a) + exécution du contrat | Durée de l'abonnement + 12 mois |
| Fonctionnement HERMÈS | Exécution du contrat (6.1.b) + consentement (historique) | 12 mois (historique conv.) |
| Journal émotionnel | Consentement explicite Art. 9.2.a | Durée consentement, suppression immédiate sur demande |
| Clés API exchanges | Exécution du contrat + consentement spécifique | Durée de l'abonnement, suppression sur demande |
| Amélioration pédagogique (agrégée) | Intérêt légitime (6.1.f) | 24 mois, données anonymisées |
| Communication marketing | Consentement (6.1.a), opt-in explicite | Jusqu'à désinscription |
| Prévention fraude et sécurité | Intérêt légitime (6.1.f) | 12 mois max |
| Obligations légales (LCB-FT, fiscalité) | Obligation légale (6.1.c) | Durées légales applicables |
4.1 Décisions automatisées et profilage (Art. 22 RGPD)
Le quiz avatar aboutit à une classification dans l'un des 4 profils pédagogiques. Cette classification n'a pas d'effet juridique ni d'incidence significative sur vous au sens de l'Art. 22 RGPD, elle modifie uniquement le rythme et le vocabulaire de la pédagogie.
Néanmoins, vous pouvez à tout moment :
- Consulter votre profil attribué
- Demander une révision humaine via privacy@alchimiecapital.com
- Refuser la segmentation (vous serez alors assigné au profil par défaut)
- Contester la décision
HERMÈS ne prend aucune décision produisant des effets juridiques. Il s'agit d'un assistant pédagogique.
5. Avec qui partageons-nous vos données ? (Sous-traitants)
Nous recourons aux sous-traitants suivants, qui sont liés par un accord de traitement des données (DPA) incluant les clauses contractuelles types (SCC 2021/914) pour les transferts hors UE :
| Sous-traitant | Finalité | Siège | Base transfert |
|---|---|---|---|
| Clerk Inc. | Authentification | San Francisco, USA | SCC Module 2 + TIA |
| Vercel Inc. | Hébergement frontend | San Francisco, USA | SCC Module 2 + TIA + DPF |
| Neon Inc. | Base de données (région UE) | Région Frankfurt (UE) | Aucun transfert hors UE |
| Anthropic PBC | Modèle IA (HERMÈS) | San Francisco, USA | SCC Module 2 + TIA + zero-retention API |
| Stripe Payments Europe, Ltd. | Paiements | Dublin, Irlande | Aucun transfert hors UE pour le traitement |
| Resend | E-mails transactionnels | USA | SCC Module 2 + TIA |
| Sentry | Monitoring erreurs (région UE) | Région UE | Aucun transfert hors UE |
| Noesia Labs SRL (BE 1033.339.119, Zaventem) | Développement, maintenance et hébergement technique (Accord de collaboration + DPA Art. 28 RGPD) | Belgique (UE) | Aucun transfert hors UE |
| Hetzner Online GmbH | Hébergement services VPS | Allemagne (UE) | Aucun transfert hors UE |
| Apify Ltd. | Scraping public (pas de données user) | Prague, République tchèque (UE) | Aucun transfert hors UE |
| Pinecone Systems, Inc. | Base vectorielle (région EU-West-1) | Frankfurt (UE) | Aucun transfert hors UE si région EU |
| Twilio Inc. (si activé) | SMS notifications | San Francisco, USA | SCC Module 2 + TIA |
5.1 Transferts hors UE
Alchimie Capital LLC étant établie aux États-Unis d'Amérique (New Mexico), tout transfert des données personnelles de nos utilisateurs UE vers notre société elle-même ou vers ses sous-traitants US constitue un transfert hors EEE au sens du chapitre V du RGPD. Ces transferts sont encadrés simultanément par :
- Clauses Contractuelles Types (SCC) 2021/914, Module 2 (responsable → sous-traitant) signées avec chaque sous-traitant US.
- Data Privacy Framework (DPF) EU-US, adéquation UE/US du 10 juillet 2023. Les sous-traitants certifiés DPF bénéficient d'une décision d'adéquation ; pour Alchimie Capital LLC elle-même, la self-certification DPF est en cours : [À COMPLÉTER, statut self-certification DPF, dashboard dataprivacyframework.gov].
- Transfer Impact Assessment (TIA) documenté par transfert et par sous-traitant, disponible sur demande à privacy@alchimiecapital.com.
- Mesures supplémentaires techniques : chiffrement TLS 1.3 en transit, AES-256-GCM au repos, minimisation, pseudonymisation, traçabilité des accès.
- Garantie d'opposition aux requêtes gouvernementales US (Section 702 FISA, Executive Order 12333) : chaque sous-traitant s'engage à contester toute demande incompatible avec le RGPD et à nous notifier si la loi le permet.
5.2 Pas de vente de données
Nous ne vendons jamais vos données personnelles à des tiers à des fins commerciales, publicitaires ou de profilage tiers.
6. Combien de temps conservons-nous vos données ?
| Catégorie | Durée |
|---|---|
| Compte actif | Durée de la relation contractuelle |
| Compte inactif | 3 ans après dernière connexion, puis anonymisation |
| Données de facturation | 7 ans (Code TVA belge Art. 60 CIR + obligations US comptables) |
| Historique HERMÈS | 12 mois glissants |
| Journal émotionnel | Jusqu'à révocation consentement, suppression sous 30 jours |
| Logs techniques | 6 à 12 mois |
| Cookies | Voir COOKIE-POLICY.md (durées variables 1 jour à 13 mois) |
| Données anonymisées agrégées | Sans limite de durée (plus des données personnelles) |
| Backups | 30 jours glissants, rotation automatique |
7. Quels sont vos droits ?
Conformément aux Articles 15 à 22 du RGPD, vous disposez des droits suivants :
7.1 Droit d'accès (Art. 15)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
7.2 Droit de rectification (Art. 16)
Faire corriger des données inexactes ou incomplètes.
7.3 Droit à l'effacement / « droit à l'oubli » (Art. 17)
Demander la suppression de vos données, sauf obligation légale de conservation (ex : facturation 7 ans).
7.4 Droit à la limitation (Art. 18)
Demander la suspension du traitement dans certains cas (contestation d'exactitude, traitement illicite, etc.).
7.5 Droit à la portabilité (Art. 20)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
7.6 Droit d'opposition (Art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime (notamment marketing direct).
7.7 Droit de retirer votre consentement (Art. 7.3)
À tout moment, sans effet rétroactif sur les traitements déjà effectués.
7.8 Droit relatif aux décisions automatisées (Art. 22)
Demander une intervention humaine sur les décisions automatisées produisant des effets significatifs (voir Art. 4.1 ci-dessus).
7.9 Droit de recours auprès d'une autorité de contrôle (Art. 77)
Vous pouvez introduire une réclamation auprès de l'autorité compétente de votre État de résidence :
- France : CNIL, https://www.cnil.fr/fr/plaintes
- Belgique : APD (Autorité de protection des données), https://www.autoriteprotectiondonnees.be
- Luxembourg : CNPD, https://cnpd.public.lu
- Suisse : PFPDT, https://www.edoeb.admin.ch
- Autres États UE : autorité listée sur https://edpb.europa.eu/about-edpb/board/members_fr
7.10 Comment exercer vos droits
Envoyez votre demande à privacy@alchimiecapital.com en précisant :
- Votre identité (adresse e-mail du compte)
- Le(s) droit(s) que vous souhaitez exercer
- Une copie d'une pièce d'identité (en cas de doute sur votre identité, elle sera supprimée après vérification)
Nous répondons sous 30 jours (éventuellement prolongeable de 60 jours pour les demandes complexes, avec information préalable).
Gratuit, sauf demande manifestement infondée ou excessive.
8. Comment protégeons-nous vos données ? (Sécurité, Art. 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :
8.1 Mesures techniques
- Chiffrement TLS 1.3 en transit
- Chiffrement AES-256-GCM au repos pour données sensibles (clés API, journal émotionnel)
- KMS (Key Management System) pour rotation des clés
- Authentification multifacteur (MFA) disponible pour tous les Utilisateurs
- MFA obligatoire pour les comptes administrateurs
- Pentest annuel par prestataire indépendant
- Scans de vulnérabilité hebdomadaires (Snyk, GitHub Security)
- Isolation réseau (pas de ports Docker exposés en 0.0.0.0)
- Backups chiffrés quotidiens avec rotation 30 jours
8.2 Mesures organisationnelles
- Principe du moindre privilège sur les accès aux données
- Journalisation des accès aux bases de données
- Formation régulière des équipes Noesia Labs (sous-traitant technique)
- DPA signés avec tous les sous-traitants
- Clause de confidentialité dans tous les contrats
- Procédure de gestion des violations (breach protocol)
8.3 Violation de données (Art. 33-34)
En cas de violation de données présentant un risque pour vos droits et libertés, nous notifions :
- L'autorité de contrôle compétente sous 72 heures
- Vous-même si le risque est élevé, dans les meilleurs délais
9. Cookies et technologies similaires
Le dépôt et la lecture de cookies sur votre terminal font l'objet d'une politique dédiée : COOKIE-POLICY.md.
En résumé :
- Cookies strictement nécessaires : déposés sans consentement (authentification, panier, sécurité)
- Cookies analytiques, de mesure d'audience, marketing : soumis à votre consentement préalable via la bannière cookie (opt-in)
10. Mineurs
Les Services sont strictement réservés aux personnes âgées de 18 ans révolus. Nous ne collectons pas sciemment de données de mineurs. Si vous constatez qu'un mineur a créé un compte, contactez-nous à privacy@alchimiecapital.com pour suppression immédiate.
11. Spécificités juridictions hors UE
11.1 États-Unis (privacy acts fédéraux et d'État)
Alchimie Capital LLC étant de droit de l'État du Nouveau-Mexique, elle est soumise à la législation fédérale US et aux lois des États où elle exerce son activité. Les résidents US bénéficient notamment des droits suivants selon leur État de résidence :
| État / Cadre | Loi | Droits principaux |
|---|---|---|
| Californie | CCPA / CPRA | Accès, suppression, correction, opt-out « sale » / « sharing », droit de non-discrimination |
| Virginia | VCDPA | Accès, correction, suppression, portabilité, opt-out profilage |
| Colorado | CPA | Accès, correction, suppression, opt-out vente et publicité ciblée |
| Connecticut | CTDPA | Droits équivalents VCDPA |
| Utah | UCPA | Accès, suppression, opt-out vente |
| Texas | TDPSA (effectif 2024) | Droits équivalents VCDPA |
| Oregon | OCPA (effectif 2024) | Droits équivalents VCDPA |
| Nouveau-Mexique | Common law + FTC Act Section 5 | Protection contre pratiques déloyales ou trompeuses |
Par conservatisme, nous appliquons par défaut le standard le plus protecteur (RGPD UE) à l'ensemble des utilisateurs, y compris US. Les demandes spécifiques mentionnant la loi applicable (« CCPA Request », « VCDPA Request », etc.) sont traitées à privacy@alchimiecapital.com.
En tant que LLC US, Alchimie Capital respecte également ses obligations de transparence sous le Corporate Transparency Act (31 U.S.C. § 5336
- déclaration BOIR à FinCEN des bénéficiaires effectifs).
11.2 Royaume-Uni (UK GDPR)
Les résidents UK bénéficient de droits équivalents au RGPD UE. Autorité de contrôle : ICO (https://ico.org.uk).
11.3 Suisse (nLPD)
Les résidents suisses bénéficient de la nouvelle Loi fédérale sur la protection des données (entrée en vigueur 1er septembre 2023). Autorité : PFPDT.
11.4 Canada (LPRPDE / PIPEDA, Loi 25 Québec)
Les résidents canadiens bénéficient de la LPRPDE fédérale et, pour le Québec, de la Loi 25 modifiant la Loi sur la protection des renseignements personnels dans le secteur privé.
12. Modifications de la présente Politique
Nous pouvons faire évoluer cette Politique de confidentialité. Les modifications substantielles vous seront notifiées par e-mail ou via l'Application avec un préavis de 30 jours. La date de dernière mise à jour figure en haut du document.
13. Contact
Data Privacy Officer / Responsable Privacy : privacy@alchimiecapital.com Contact général : contact@alchimiecapital.com Siège : Alchimie Capital LLC, 4405 Jager Dr NE, Ste C4, Box 2043, Rio Rancho, NM 87144, Nouveau-Mexique (New Mexico), États-Unis Représentant UE (Art. 27 RGPD) : [À DÉSIGNER, représentant UE Art. 27 RGPD, ex. Prighter GmbH ou VeraSafe]
Dernière mise à jour : 2026-04-24, v1.1 (Art. 5.1 : transferts US-NM détaillés, DPF self-cert à compléter, FISA/EO 12333 ; Art. 11.1 : 8 US state privacy acts + Corporate Transparency Act BOIR FinCEN)