Politique de Confidentialité (RGPD)
Dernière mise à jour : 19/01/2026
Article 1 — Responsable de Traitement
Le responsable du traitement des données personnelles collectées dans le cadre du Service est :
SAS DIFL
10 rue Charles Delescluze, 17000 La Rochelle, France
Contact RGPD / Vie privée : support@nexustradersync.com
(Si un Délégué à la Protection des Données est désigné au sens de l'article 37 du RGPD, ses coordonnées seront communiquées ici.)
Article 2 — Données Personnelles Traitées
Selon l'usage du Service, nous pouvons traiter les catégories de données suivantes :
2.1 Données de Compte
Adresse email, identifiants techniques (via Clerk), informations de profil issues de l'authentification, préférences utilisateur.
2.2 Données Techniques et de Sécurité
Adresse IP, logs de connexion, informations de session, type d'appareil et de navigateur, événements d'erreur.
2.3 Données d'Abonnement
Plan souscrit, statut de l'abonnement, dates de souscription et d'échéance, identifiants de transaction (les données complètes de carte bancaire sont traitées exclusivement par Stripe).
2.4 Données de Trading
Si l'Utilisateur connecte des comptes de trading : positions, ordres, historiques de transactions, solde et equity, symboles tradés, métriques calculées (drawdown, règles de conformité, etc.).
2.5 Données de Support
Échanges avec le support client, informations de diagnostic, pièces jointes éventuelles.
Article 3 — Finalités du Traitement
Les données personnelles sont traitées pour les finalités suivantes :
- Fourniture du Service (affichage du dashboard, synchronisation des comptes, analytics, alertes, exécution des actions initiées par l'Utilisateur) ;
- Gestion du compte utilisateur et support client ;
- Gestion des paiements, facturation et respect des obligations comptables légales ;
- Sécurité du Service, prévention des fraudes et abus, continuité de service ;
- Amélioration du Service et, le cas échéant, mesure d'audience (si activée avec consentement).
Article 4 — Bases Légales du Traitement
Conformément au Règlement (UE) 2016/679 (RGPD), les traitements de données personnelles reposent sur les bases légales suivantes :
- Exécution du contrat (article 6.1.b) : fourniture du Service, gestion de l'abonnement, support lié au Service ;
- Obligation légale (article 6.1.c) : respect des obligations comptables et fiscales ;
- Intérêt légitime (article 6.1.f) : sécurité du Service, prévention des abus, amélioration de la fiabilité ;
- Consentement (article 6.1.a) : cookies et traceurs non strictement nécessaires.
Article 5 — Destinataires et Sous-Traitants
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :
- Prestataires techniques : Vercel (hébergement frontend, USA), Railway (backend, USA), Supabase (base de données, UE), Clerk (authentification, USA), Stripe (paiement, USA/UE) ;
- Prestataires d'intégration : connecteurs vers les Plateformes Tierces (ex. cTrader Open API) lorsque l'Utilisateur active ces connecteurs ;
- Autorités compétentes : en cas d'obligation légale ou de réquisition judiciaire.
Ces prestataires agissent en qualité de sous-traitants selon nos instructions et dans le respect du RGPD. Une copie des clauses contractuelles types ou des engagements de conformité peut être obtenue sur demande à : support@nexustradersync.com
Article 6 — Transferts de Données hors Union Européenne
Certains de nos prestataires peuvent être situés hors de l'Union Européenne ou traiter des données hors UE. Dans ce cas, nous mettons en place des garanties appropriées conformément au RGPD :
| Sous-traitant | Finalité | Pays | Garantie |
|---|---|---|---|
| Clerk | Authentification | USA | DPF UE-USA |
| Stripe | Paiement | USA/UE | DPF + CCT |
| Vercel | Hébergement | USA | CCT |
| Railway | Backend | USA | CCT |
| Supabase | Base de données | UE (Allemagne) | Adéquation UE |
DPF = Data Privacy Framework UE-USA ; CCT = Clauses Contractuelles Types de la Commission Européenne.
En cas d'invalidation du DPF, nous nous appuierons sur les Clauses Contractuelles Types comme mécanisme de transfert alternatif, complétées si nécessaire par des mesures techniques supplémentaires (chiffrement des données en transit et au repos).
Article 7 — Durées de Conservation
Les données personnelles sont conservées pour une durée proportionnée aux finalités du traitement :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte | Durée de vie du compte + 3 ans après suppression (prescription) |
| Données de facturation | 10 ans (obligations comptables légales) |
| Logs de connexion/sécurité | 12 mois glissants |
| Données de trading (historique) | 24 mois maximum (paramétrable par l'utilisateur) |
| Métriques agrégées | Durée de vie du compte (statistiques non nominatives) |
| Audit trail (actions) | 12 mois |
| Échanges support | 3 ans après résolution du ticket |
| Compte inactif | Suppression automatique après 3 ans d'inactivité |
Article 8 — Journalisation des Actions (Audit Trail)
Afin d'assurer la sécurité du Service, prévenir les abus et disposer d'éléments techniques de preuve du caractère initié par l'Utilisateur des actions déclenchées via le Service, nous conservons un journal technique comprenant :
- Horodatage précis de l'action (UTC) ;
- Type d'action exécutée ;
- Identifiants techniques des comptes cibles ;
- Adresse IP source ;
- Statut technique de l'action (succès, échec, erreur).
Durée de conservation : 12 mois, sauf obligation légale ou nécessité probatoire particulière (litige en cours).
Ces logs constituent des éléments techniques de traçabilité permettant d'identifier les actions initiées depuis un compte authentifié. Leur force probante en cas de litige reste soumise à l'appréciation souveraine du juge, en fonction de l'intégrité des systèmes et des vérifications éventuellement requises. L'Éditeur met en œuvre des mesures raisonnables pour garantir l'intégrité de ces journaux (horodatage, contrôle d'accès, protection contre l'altération).
Article 9 — Droits des Personnes Concernées
Conformément au RGPD, l'Utilisateur dispose des droits suivants sur ses données personnelles :
9.1 Droit d'accès (Article 15 RGPD)
L'Utilisateur peut obtenir la confirmation que des données le concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données.
Modalité : L'Utilisateur peut demander l'export de ses données via email à support@nexustradersync.com. Une fonctionnalité de téléchargement automatisé pourra être mise en place ultérieurement.
9.2 Droit de rectification (Article 16 RGPD)
L'Utilisateur peut demander la rectification de données inexactes le concernant.
9.3 Droit à l'effacement (Article 17 RGPD)
L'Utilisateur peut demander l'effacement de ses données personnelles dans les cas prévus par le RGPD.
Modalité : L'Utilisateur peut demander la suppression de son compte et de ses données via email à support@nexustradersync.com. Une fonctionnalité de suppression autonome pourra être mise en place ultérieurement. Délai de traitement : 30 jours maximum.
→ Aller dans Paramètres pour supprimer votre compte9.4 Droit à la limitation du traitement (Article 18 RGPD)
L'Utilisateur peut demander la limitation du traitement de ses données dans les cas prévus par le RGPD.
9.5 Droit à la portabilité (Article 20 RGPD)
L'Utilisateur peut recevoir les données le concernant dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).
Précision importante :
Le droit à la portabilité porte sur les données personnelles fournies par l'Utilisateur ou générées par son activité (données de compte, historique de positions brutes). Il ne s'étend pas aux données enrichies, calculées ou dérivées par les algorithmes propriétaires du Service (métriques de drawdown, scores de conformité, analyses de risque), qui constituent des éléments de propriété intellectuelle de l'Éditeur et ne sont pas « fournies » par l'Utilisateur au sens de l'article 20 du RGPD.
9.6 Droit d'opposition (Article 21 RGPD)
L'Utilisateur peut s'opposer au traitement de ses données pour des raisons tenant à sa situation particulière.
Pour exercer ces droits :
Email : support@nexustradersync.com
Délai de réponse : L'Éditeur s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux (2) mois supplémentaires compte tenu de la complexité et du nombre de demandes, auquel cas l'Utilisateur sera informé de cette prolongation et des motifs du report dans le délai d'un mois.
Vérification d'identité : Pour protéger les données personnelles, l'Éditeur peut demander à l'Utilisateur de justifier de son identité avant de donner suite à sa demande.
L'Utilisateur dispose également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) s'il estime que le traitement de ses données constitue une violation du RGPD.
Article 10 — Cookies et Traceurs
10.1 Cookies strictement nécessaires
Le Service utilise des cookies strictement nécessaires à son fonctionnement, qui ne requièrent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés :
- Cookies de session et d'authentification (Clerk) ;
- Cookies de sécurité (protection CSRF, détection de fraude) ;
- Cookies de préférences d'interface (langue, thème).
10.2 Cookies soumis au consentement
Si des cookies de mesure d'audience, de personnalisation ou à des fins publicitaires sont déployés, le consentement de l'Utilisateur sera recueilli préalablement via un bandeau de consentement (CMP) conforme aux recommandations de la CNIL.
L'Utilisateur pourra Accepter ou Refuser ces cookies de manière aussi simple (même niveau d'accessibilité, même nombre de clics) et modifier ses choix à tout moment.
10.3 Politique Cookies détaillée
Une Politique Cookies détaillée listant l'ensemble des cookies utilisés (nom, finalité, durée, éditeur) est disponible sur le site du Service et accessible depuis le bandeau de consentement.
Article 11 — Sécurité des Données
Nous mettons en œuvre des mesures organisationnelles et techniques raisonnables pour protéger les données personnelles contre tout accès non autorisé, perte, destruction ou altération, notamment :
- Contrôles d'accès stricts et authentification renforcée ;
- Séparation des environnements de développement, test et production ;
- Chiffrement des communications (HTTPS/TLS) et des données sensibles au repos ;
- Sauvegardes régulières et procédures de reprise.
Aucun système n'est infaillible. En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, nous en informerons les Utilisateurs et la CNIL conformément aux obligations légales (72 heures).
Article 12 — Mise à Jour de la Politique
La présente Politique de Confidentialité peut être modifiée à tout moment pour des motifs légitimes (évolution technique, réglementaire, nouveaux traitements).
La version publiée sur le site du Service est la version applicable. En cas de modification substantielle, les Utilisateurs en seront informés par email ou notification dans le Service, avec un préavis de 30 jours.
Voir également : Conditions Générales d'Utilisation (CGU) | Conditions Générales de Vente (CGV)
Version : 2.3.1 FINALE — 19/01/2026