Politique de Confidentialité
Date d'effet : 18 février 2026 · Dernière mise à jour : 18 février 2026
1. Données que nous collectons
Nous collectons uniquement les données nécessaires au fonctionnement du service. Le tableau ci-dessous reflète les traitements réellement mis en oeuvre dans notre application.
| Catégorie | Exemples | Finalité | Base légale (RGPD) |
|---|---|---|---|
| Compte utilisateur | Adresse e-mail, nom (facultatif), mot de passe hashé, identifiant Google OAuth | Création et authentification du compte | Exécution du contrat (Art. 6-1-b) |
| Profil de trading | Style de trading, tolérance au risque, objectifs mensuels, faiblesse principale, style de coaching IA | Personnalisation du journal et du coach IA | Exécution du contrat (Art. 6-1-b) |
| Données de trading | Trades (paire, prix, quantité, levier, P&L, frais, durée), notes, tags, captures d'écran, playbooks, cashflows | Fonctionnalités coeur du journal de trading | Exécution du contrat (Art. 6-1-b) |
| Identifiants d'exchange | Clés API (chiffrées au repos via un chiffrement authentifié standard), adresses de portefeuille (DEX) | Synchronisation automatique des trades depuis vos exchanges | Exécution du contrat (Art. 6-1-b) |
| Données psychologiques & comportementales | Humeur quotidienne, niveau de stress/énergie/confiance, score comportemental, détection de tilt, violations des règles du coach | Analyse comportementale, alertes de tilt, coaching personnalisé | Consentement (Art. 6-1-a) |
| Conversations IA | Messages de chat, profils de trader générés par l'IA, insights épinglés | Coach IA conversationnel | Exécution du contrat (Art. 6-1-b) |
| Journal / Carnet | Entrées de journal, notes quotidiennes, images jointes | Fonctionnalité de journal personnel | Exécution du contrat (Art. 6-1-b) |
| Abonnement | Plan, statut, dates de période | Gestion de l'accès aux fonctionnalités | Exécution du contrat (Art. 6-1-b) |
| Données d'utilisation | Pages visitées, clics sur boutons/liens, identifiant de session (UUID aléatoire) | Amélioration du produit, analyse d'usage interne | Intérêt légitime (Art. 6-1-f) |
| Données techniques | Cookies d'authentification (HTTP-only), préférence de langue | Maintien de la session, personnalisation de l'interface | Exécution du contrat (Art. 6-1-b) |
Ce que nous ne collectons pas : nous ne collectons pas votre adresse IP à des fins de profilage et ne déployons aucun tracker publicitaire ou marketing (Google Analytics, Facebook Pixel, etc.). Le seul outil d'analytics tiers que nous utilisons est PostHog (datacenter UE), chargé uniquement après votre consentement explicite via notre bannière de cookies.
2. Comment nous utilisons vos données
Vos données sont utilisées exclusivement pour :
- •Fournir et maintenir le service Performax (journal, analytics, sync, alertes).
- •Alimenter les fonctionnalités d'intelligence artificielle : le coach IA analyse vos trades, profils et états psychologiques pour générer des insights personnalisés.
- •Envoyer des notifications par e-mail que vous avez activées (alertes de risque, violations de règles, erreurs de clé API).
- •Améliorer le produit en analysant les données d'utilisation agrégées (pages visitées, clics) de manière interne.
Nous ne vendons, ne louons et ne partageons pas vos données personnelles à des fins publicitaires ou de marketing tiers.
3. Bases légales du traitement
- •Exécution du contrat (Art. 6-1-b) : la majorité des traitements sont nécessaires pour vous fournir le service auquel vous avez souscrit (journal de trading, synchronisation, coach IA, alertes).
- •Consentement (Art. 6-1-a) : le suivi psychologique et comportemental (humeur, score de tilt, analyse de revenge trading) repose sur votre participation volontaire.
- •Intérêt légitime (Art. 6-1-f) : la collecte de données d'utilisation (pages visitées, clics) pour l'amélioration du produit. Vous pouvez vous y opposer en nous contactant.
4. Cookies et stockage local
Performax utilise un nombre minimal de mécanismes de stockage côté client. Tous les cookies ci-dessous sont essentiels, sauf PostHog qui ne se charge qu'après consentement explicite :
| Type | Nom / Description | Finalité | Durée |
|---|---|---|---|
| Cookie HTTP-only | Cookie de session d'authentification | Authentification et maintien de session | Session (renouvelé automatiquement) |
| Cookie applicatif | performax-onboarding-done | Cache du statut d'onboarding | Session |
| localStorage | Préférences (langue, colonnes du journal, presets du dashboard, paramètres d'alertes) | Personnalisation de l'interface | Persistant (jusqu'à suppression manuelle) |
| localStorage | performax-cookie-consent | Mémorise votre choix de consentement au tracking | Persistant |
| sessionStorage | ai_session_id (UUID aléatoire) | Regroupement des événements d'usage par session | Onglet du navigateur |
| Tiers (avec consentement) | Cookies PostHog (ph_*) | Analytics produit anonyme - chargé uniquement si vous acceptez | 13 mois max |
Retrait du consentement : videz le localStorage de votre navigateur pour ce site (ou utilisez la navigation privée) et la bannière réapparaîtra pour modifier votre choix.
5. Partage des données et sous-traitants
Nous ne vendons jamais vos données. Nous partageons vos données uniquement avec les sous-traitants techniques nécessaires au fonctionnement du service :
| Sous-traitant | Rôle | Données concernées | Localisation |
|---|---|---|---|
| Fournisseur d'infrastructure cloud managée | Base de données, authentification, stockage de fichiers | Toutes les données utilisateur | UE (Francfort, Allemagne) / USA |
| Mailjet (Sinch) | Envoi d'e-mails transactionnels | Adresse e-mail, contenu des alertes (montants de pertes, violations de règles) | UE (France) |
| PostHog Inc. | Analytics produit (avec consentement, opt-in uniquement) | Identifiant utilisateur pseudonyme, vues de pages, événements nommés (sans PII) | UE (Francfort, Allemagne) |
| Sentry (Functional Software Inc.) | Suivi des erreurs | Stack traces, URL de la requête, identifiant utilisateur (pas de PII dans les payloads) | UE (Francfort, Allemagne) |
| OpenRouter, Inc. | Génération des réponses du coach IA (fournisseur LLM) | Notes de trades, humeur / état psychologique, métriques de performance, identifiant utilisateur | USA |
Exchanges crypto : lorsque vous connectez un exchange (OKX, WEEX, Hyperliquid, Lighter), nous utilisons vos clés API pour récupérer votre historique de trades et vos soldes. Vos clés API sont chiffrées au repos via un chiffrement authentifié standard avant stockage. Nous ne transmettons jamais vos clés API à un tiers - elles sont utilisées exclusivement pour communiquer avec l'API de l'exchange que vous avez choisi.
APIs de données de marché : nous consultons des APIs publiques pour obtenir des données de marché (cours, volatilité, calendrier économique). Aucune donnée personnelle n'est transmise à ces services.
6. Transferts internationaux de données
Certains de nos sous-traitants peuvent traiter des données aux Etats-Unis. Ces transferts sont encadrés par :
- •Le EU-U.S. Data Privacy Framework (DPF) pour les entités certifiées.
- •Des clauses contractuelles types (SCC) approuvées par la Commission européenne.
Notre base de données principale est hébergée en Union européenne.
7. Conservation des données
Nous conservons vos données selon les principes suivants :
- •Données de compte et de trading : conservées tant que votre compte est actif. Supprimées lors de la suppression de votre compte.
- •Conversations IA : conservées tant que votre compte est actif. Supprimées lors de la suppression du compte.
- •Données comportementales et psychologiques : conservées tant que votre compte est actif afin d'alimenter les analyses longitudinales du coach.
- •Données d'utilisation (behavior logs) : conservées à des fins d'amélioration du produit. Supprimées lors de la suppression du compte.
- •Fichiers (captures d'écran, images) : conservés dans nos buckets de stockage tant que votre compte est actif.
- •Après suppression du compte : toutes les données identifiées ci-dessus sont supprimées de manière définitive (hard delete). Aucune copie n'est conservée, à l'exception des sauvegardes automatiques de l'infrastructure qui sont purgées selon le cycle de rétention de notre fournisseur d'infrastructure (généralement 7 jours).
8. Mesures de sécurité
Nous mettons en oeuvre les mesures techniques suivantes :
- •Chiffrement des identifiants : vos clés API d'exchange sont chiffrées au repos via un chiffrement authentifié standard avant stockage.
- •Isolation des données : des contrôles d'accès stricts par utilisateur sont appliqués au niveau de la base de données pour garantir que chaque utilisateur ne peut accéder qu'à ses propres données.
- •Cookies sécurisés : les sessions d'authentification utilisent des cookies HTTP-only, inaccessibles au JavaScript côté client.
- •En-têtes de sécurité : Content-Security-Policy restrictive, X-Frame-Options DENY, Referrer-Policy strict, Permissions-Policy désactivant caméra/micro/géolocalisation.
- •Mots de passe : hashés de manière sécurisée via un algorithme moderne et standard de l'industrie. Nous n'avons jamais accès à votre mot de passe en clair.
- •Communications chiffrées : toutes les connexions utilisent HTTPS/TLS.
- •Limitation de débit : les endpoints IA sont limités à 10 requêtes par minute par utilisateur, avec quotas mensuels par plan.
Aucune mesure de sécurité n'est infaillible. Nous ne pouvons garantir la sécurité absolue de vos données, mais nous nous engageons à réagir rapidement en cas d'incident et à vous notifier conformément au RGPD (Art. 33-34).
9. Vos droits
Conformément au RGPD et aux législations applicables, vous disposez des droits suivants :
- •Droit d'accès (Art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie.
- •Droit de rectification (Art. 16) : corriger vos données inexactes ou incomplètes.
- •Droit à l'effacement (Art. 17) : demander la suppression de vos données. Vous pouvez supprimer votre compte depuis les paramètres de l'application.
- •Droit à la limitation (Art. 18) : demander la restriction du traitement dans certaines circonstances.
- •Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- •Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime (notamment la collecte de données d'utilisation).
- •Droit relatif au profilage automatisé (Art. 22) : les analyses du coach IA (tilt, revenge trading, scoring) constituent un profilage automatisé. Vous pouvez contester ces analyses, demander une intervention humaine ou exprimer votre point de vue.
- •Retrait du consentement : vous pouvez retirer votre consentement à tout moment pour les traitements qui en dépendent (données psychologiques), sans affecter la licéité du traitement antérieur.
Pour exercer ces droits, contactez-nous à [email protected]. Nous répondrons dans un délai de 30 jours.
Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle (en France : la CNIL - www.cnil.fr).
10. Suppression de compte et export de données
Suppression de compte : vous pouvez supprimer définitivement votre compte depuis la page Paramètres de l'application. La suppression requiert la confirmation de votre mot de passe et entraîne la suppression irréversible de toutes vos données (trades, comptes d'exchange, playbooks, conversations IA, données comportementales, fichiers).
Export de données : vous pouvez demander un export complet de vos données en nous contactant à [email protected]. Nous fournirons un fichier JSON contenant l'ensemble de vos données personnelles dans un délai de 30 jours.
11. Protection des mineurs
Performax n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, contactez-nous immédiatement.
12. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité périodiquement. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification dans l'application avant l'entrée en vigueur des changements. La date de dernière mise à jour est indiquée en haut de cette page.
Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos pratiques.
13. Contact & Responsable du traitement
Le responsable du traitement des données est :
Gourmet Systems FZ-LLC
FDRK8954 Compass Building, Al Shohada Road
Al Hamra Industrial Zone-FZ
Ras Al Khaimah, Emirats arabes unis
Pour toute question relative à cette politique de confidentialité ou à vos données personnelles :
E-mail : [email protected]