Politique de Confidentialité
Date d’effet : 18 février 2026 · Dernière mise à jour : 18 février 2026
1. Données que nous collectons
Nous collectons uniquement les données nécessaires au fonctionnement du service. Le tableau ci-dessous reflète les traitements réellement mis en œuvre dans notre application.
| Catégorie | Exemples | Finalité | Base légale (RGPD) |
|---|---|---|---|
| Compte utilisateur | Adresse e-mail, nom (facultatif), mot de passe hashé, identifiant Google OAuth | Création et authentification du compte | Exécution du contrat (Art. 6-1-b) |
| Profil de trading | Style de trading, tolérance au risque, objectifs mensuels, faiblesse principale, style de coaching IA | Personnalisation du journal et du coach IA | Exécution du contrat (Art. 6-1-b) |
| Données de trading | Trades (paire, prix, quantité, levier, P&L, frais, durée), notes, tags, captures d’écran, playbooks, cashflows | Fonctionnalités cœur du journal de trading | Exécution du contrat (Art. 6-1-b) |
| Identifiants d’exchange | Clés API (chiffrées AES-256-GCM), adresses de portefeuille (DEX) | Synchronisation automatique des trades depuis vos exchanges | Exécution du contrat (Art. 6-1-b) |
| Données psychologiques & comportementales | Humeur quotidienne, niveau de stress/énergie/confiance, score comportemental, détection de tilt, violations des règles du coach | Analyse comportementale, alertes de tilt, coaching personnalisé | Consentement (Art. 6-1-a) |
| Conversations IA | Messages de chat, profils de trader générés par l’IA, insights épinglés | Coach IA conversationnel | Exécution du contrat (Art. 6-1-b) |
| Journal / Carnet | Entrées de journal, notes quotidiennes, images jointes | Fonctionnalité de journal personnel | Exécution du contrat (Art. 6-1-b) |
| Classement (Leaderboard) | Pseudo choisi, avatar, statistiques agrégées (win rate, P&L, etc.) | Classement communautaire (opt-in uniquement) | Consentement (Art. 6-1-a) |
| Abonnement | Plan, statut, dates de période | Gestion de l’accès aux fonctionnalités | Exécution du contrat (Art. 6-1-b) |
| Données d’utilisation | Pages visitées, clics sur boutons/liens, identifiant de session (UUID aléatoire) | Amélioration du produit, analyse d’usage interne | Intérêt légitime (Art. 6-1-f) |
| Données techniques | Cookies d’authentification (HTTP-only), préférence de langue | Maintien de la session, personnalisation de l’interface | Exécution du contrat (Art. 6-1-b) |
Ce que nous ne collectons pas : nous ne collectons pas votre adresse IP à des fins de profilage, ne déployons aucun pixel de suivi tiers (Google Analytics, Facebook Pixel, etc.) et n’utilisons aucun SDK d’analytics externe.
2. Comment nous utilisons vos données
Vos données sont utilisées exclusivement pour :
- •Fournir et maintenir le service Performax (journal, analytics, sync, alertes).
- •Alimenter les fonctionnalités d’intelligence artificielle : le coach IA analyse vos trades, profils et états psychologiques pour générer des insights personnalisés.
- •Envoyer des notifications par e-mail que vous avez activées (alertes de risque, violations de règles, erreurs de clé API).
- •Afficher votre profil sur le classement communautaire, uniquement si vous avez explicitement activé votre participation.
- •Améliorer le produit en analysant les données d’utilisation agrégées (pages visitées, clics) de manière interne.
Nous ne vendons, ne louons et ne partageons pas vos données personnelles à des fins publicitaires ou de marketing tiers.
3. Bases légales du traitement
- •Exécution du contrat (Art. 6-1-b) : la majorité des traitements sont nécessaires pour vous fournir le service auquel vous avez souscrit (journal de trading, synchronisation, coach IA, alertes).
- •Consentement (Art. 6-1-a) : le suivi psychologique et comportemental (humeur, score de tilt, analyse de revenge trading) repose sur votre participation volontaire. La publication de votre profil sur le leaderboard est strictement opt-in.
- •Intérêt légitime (Art. 6-1-f) : la collecte de données d’utilisation (pages visitées, clics) pour l’amélioration du produit. Vous pouvez vous y opposer en nous contactant.
4. Cookies et stockage local
Performax utilise un nombre minimal de mécanismes de stockage côté client, tous strictement fonctionnels :
| Type | Nom / Description | Finalité | Durée |
|---|---|---|---|
| Cookie HTTP-only | Cookie de session Supabase Auth | Authentification et maintien de session | Session (renouvelé automatiquement) |
| Cookie applicatif | performax-onboarding-done | Cache du statut d’onboarding | Session |
| localStorage | Préférences (langue, colonnes du journal, presets du dashboard, paramètres d’alertes) | Personnalisation de l’interface | Persistant (jusqu’à suppression manuelle) |
| sessionStorage | ai_session_id (UUID aléatoire) | Regroupement des événements d’usage par session | Onglet du navigateur |
Aucun cookie tiers n’est déposé. Nous n’utilisons aucun pixel de suivi, aucune balise marketing et aucun SDK d’analytics externe.
5. Partage des données et sous-traitants
Nous ne vendons jamais vos données. Nous partageons vos données uniquement avec les sous-traitants techniques nécessaires au fonctionnement du service :
| Sous-traitant | Rôle | Données concernées | Localisation |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage de fichiers | Toutes les données utilisateur | UE (Francfort, Allemagne) / USA |
| Mailjet (Sinch) | Envoi d’e-mails transactionnels | Adresse e-mail, contenu des alertes (montants de pertes, violations de règles) | UE (France) |
Exchanges crypto : lorsque vous connectez un exchange (Bitget, OKX, MEXC, Hyperliquid, Paradex, Lighter), nous utilisons vos clés API pour récupérer votre historique de trades et vos soldes. Vos clés API sont chiffrées avec AES-256-GCM avant stockage. Nous ne transmettons jamais vos clés API à un tiers — elles sont utilisées exclusivement pour communiquer avec l’API de l’exchange que vous avez choisi.
APIs de données de marché : nous consultons des APIs publiques (Twelve Data, Frankfurter, Binance public API) pour obtenir des données de marché (cours, volatilité, calendrier économique). Aucune donnée personnelle n’est transmise à ces services.
6. Transferts internationaux de données
Certains de nos sous-traitants (Supabase) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- •Le EU-U.S. Data Privacy Framework (DPF) pour les entités certifiées.
- •Des clauses contractuelles types (SCC) approuvées par la Commission européenne.
Notre base de données Supabase principale est hébergée en Union européenne.
7. Conservation des données
Nous conservons vos données selon les principes suivants :
- •Données de compte et de trading : conservées tant que votre compte est actif. Supprimées lors de la suppression de votre compte.
- •Conversations IA : conservées tant que votre compte est actif. Supprimées lors de la suppression du compte.
- •Données comportementales et psychologiques : conservées tant que votre compte est actif afin d’alimenter les analyses longitudinales du coach.
- •Données d’utilisation (behavior logs) : conservées à des fins d’amélioration du produit. Supprimées lors de la suppression du compte.
- •Fichiers (captures d’écran, images) : conservés dans nos buckets de stockage tant que votre compte est actif.
- •Après suppression du compte : toutes les données identifiées ci-dessus sont supprimées de manière définitive (hard delete). Aucune copie n’est conservée, à l’exception des sauvegardes automatiques de l’infrastructure qui sont purgées selon le cycle de rétention de Supabase (généralement 7 jours).
8. Mesures de sécurité
Nous mettons en œuvre les mesures techniques suivantes :
- •Chiffrement des identifiants : vos clés API d’exchange sont chiffrées avec AES-256-GCM (chiffrement authentifié) avant stockage en base de données.
- •Isolation des données : des politiques de sécurité au niveau des lignes (Row-Level Security) dans PostgreSQL garantissent que chaque utilisateur ne peut accéder qu’à ses propres données.
- •Cookies sécurisés : les sessions d’authentification utilisent des cookies HTTP-only, inaccessibles au JavaScript côté client.
- •En-têtes de sécurité : Content-Security-Policy restrictive, X-Frame-Options DENY, Referrer-Policy strict, Permissions-Policy désactivant caméra/micro/géolocalisation.
- •Mots de passe : hashés par Supabase Auth (bcrypt). Nous n’avons jamais accès à votre mot de passe en clair.
- •Communications chiffrées : toutes les connexions utilisent HTTPS/TLS.
- •Limitation de débit : les endpoints IA sont limités à 10 requêtes par minute par utilisateur, avec quotas mensuels par plan.
Aucune mesure de sécurité n’est infaillible. Nous ne pouvons garantir la sécurité absolue de vos données, mais nous nous engageons à réagir rapidement en cas d’incident et à vous notifier conformément au RGPD (Art. 33-34).
9. Vos droits
Conformément au RGPD et aux législations applicables, vous disposez des droits suivants :
- •Droit d’accès (Art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie.
- •Droit de rectification (Art. 16) : corriger vos données inexactes ou incomplètes.
- •Droit à l’effacement (Art. 17) : demander la suppression de vos données. Vous pouvez supprimer votre compte depuis les paramètres de l’application.
- •Droit à la limitation (Art. 18) : demander la restriction du traitement dans certaines circonstances.
- •Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- •Droit d’opposition (Art. 21) : vous opposer au traitement fondé sur l’intérêt légitime (notamment la collecte de données d’utilisation).
- •Droit relatif au profilage automatisé (Art. 22) : les analyses du coach IA (tilt, revenge trading, scoring) constituent un profilage automatisé. Vous pouvez contester ces analyses, demander une intervention humaine ou exprimer votre point de vue.
- •Retrait du consentement : vous pouvez retirer votre consentement à tout moment pour les traitements qui en dépendent (données psychologiques, leaderboard), sans affecter la licéité du traitement antérieur.
Pour exercer ces droits, contactez-nous à privacy@performax.ai. Nous répondrons dans un délai de 30 jours.
Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle (en France : la CNIL — www.cnil.fr).
10. Suppression de compte et export de données
Suppression de compte : vous pouvez supprimer définitivement votre compte depuis la page Paramètres de l’application. La suppression requiert la confirmation de votre mot de passe et entraîne la suppression irréversible de toutes vos données (trades, comptes d’exchange, playbooks, conversations IA, données comportementales, fichiers).
Export de données : vous pouvez demander un export complet de vos données en nous contactant à privacy@performax.ai. Nous fournirons un fichier JSON contenant l’ensemble de vos données personnelles dans un délai de 30 jours.
11. Protection des mineurs
Performax n’est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, contactez-nous immédiatement.
12. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité périodiquement. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification dans l’application avant l’entrée en vigueur des changements. La date de dernière mise à jour est indiquée en haut de cette page.
Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos pratiques.
13. Contact
Pour toute question relative à cette politique de confidentialité ou à vos données personnelles :
E-mail : privacy@performax.ai