Politique de confidentialité
Date d'entrée en vigueur : 8 mai 2026 Dernière mise à jour : 8 mai 2026
La présente Politique de confidentialité décrit la manière dont les données personnelles des utilisateurs du service Tradpilot (ci-après « le Service ») sont collectées, utilisées et protégées, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») et à la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles est :
Alexandre VELLY, exerçant en qualité d'entrepreneur individuel sous le régime de la micro-entreprise.
- Adresse professionnelle : 66 chemin des Baraques, 73190 Challes-les-Eaux, France
- SIRET : 924 690 076 00014
- Email général : contact@tradpilot.app
- Email dédié à la protection des données : privacy@tradpilot.app
Le responsable du traitement n'a pas désigné de Délégué à la protection des données (DPO), cette désignation n'étant pas obligatoire au regard de l'article 37 du RGPD pour la nature et le volume des traitements concernés. Toute question relative aux données personnelles peut être adressée à privacy@tradpilot.app.
Article 2 — Données personnelles collectées
Tradpilot collecte uniquement les données strictement nécessaires au fonctionnement du Service. Aucune donnée n'est collectée sans une finalité claire et une base légale identifiée.
2.1 Données fournies directement par vous
| Donnée | Caractère obligatoire | Finalité |
|---|---|---|
| Adresse email | Obligatoire | Création du compte, authentification, communications |
| Mot de passe (haché) | Obligatoire | Authentification sécurisée |
| Prénom | Obligatoire | Personnalisation des communications du Service (briefings, emails, notifications) |
| Nom | Obligatoire | Émission de factures conformes en cas d'abonnement payant et personnalisation des communications |
| Numéro de téléphone | Facultatif | À votre initiative dans les paramètres du compte |
| Fuseau horaire | Facultatif | Affichage des données aux bons horaires (par défaut : Europe/Paris) |
2.2 Données générées par votre utilisation du Service
| Donnée | Description |
|---|---|
| Préférences de marchés | Liste des actifs financiers que vous suivez (devises, indices, matières premières) |
| Plans de trading | Règles personnelles que vous configurez (drawdown, taille de position, sessions de trading) |
| Progression Academy | Modules suivis, scores aux quiz, réponses données aux questions des modules |
| Tutoriels complétés | Liste des tutoriels interactifs que vous avez terminés |
| Briefings personnalisés | Analyses quotidiennes générées spécifiquement pour les actifs que vous suivez |
| Rapports hebdomadaires | Synthèses comportementales générées automatiquement (la fonctionnalité d'affichage dans l'interface est en cours de développement) |
| Tickets de support | Sujet et corps des demandes que vous nous adressez via le formulaire de support |
2.3 Données techniques
| Donnée | Description |
|---|---|
| Logs de session (cookies Supabase) | Tokens d'authentification sécurisés (durée environ 7 jours, renouvelés) |
Logs techniques d'exécution (agent_logs) | Traces d'exécution des traitements automatisés, avec votre identifiant utilisateur dans certains cas |
2.4 Données de paiement (en cas d'abonnement payant)
Les données de paiement (numéro de carte tokenisé, historique des transactions, factures, adresse de facturation) sont collectées et conservées directement par notre prestataire Stripe. Elles ne transitent pas par les serveurs de Tradpilot. Tradpilot conserve uniquement les identifiants techniques permettant de relier votre compte à votre abonnement Stripe : stripe_customer_id, stripe_subscription_id, ainsi que le niveau d'abonnement (tier : free, pro, elite).
Données conservées chez Stripe (sous-traitant) : Stripe conserve directement les données de paiement (numéro de carte tokenisé, historique des transactions, factures émises, adresse de facturation). Ces données ne transitent jamais par les serveurs de Tradpilot. La politique de confidentialité de Stripe (https://stripe.com/fr/privacy) s'applique pour ces traitements spécifiques.
2.5 Données que Tradpilot ne collecte pas
À titre de transparence, nous précisons que Tradpilot ne collecte pas :
- Vos identifiants ou mots de passe broker (la fonctionnalité de connexion broker n'est pas proposée)
- Votre historique de trading réel (aucun import de trades n'est actuellement disponible)
- Vos données financières personnelles (revenus, patrimoine, etc.)
- Vos données biométriques, de santé, religieuses, syndicales ou politiques
- Votre localisation précise (GPS)
Article 3 — Finalités et bases légales des traitements
Conformément à l'article 6 du RGPD, chaque traitement de vos données personnelles repose sur une base légale identifiée.
| Finalité | Base légale | Détail |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b RGPD) | Authentification, accès au Service |
| Fourniture des fonctionnalités du Service | Exécution du contrat (art. 6.1.b RGPD) | Briefings, scoring macro, calendrier, Academy |
| Gestion des abonnements et paiements | Exécution du contrat (art. 6.1.b RGPD) | Stripe pour la facturation |
| Envoi d'emails transactionnels | Exécution du contrat (art. 6.1.b RGPD) | Confirmation d'inscription, réinitialisation de mot de passe, factures |
| Envoi d'emails d'onboarding | Intérêt légitime (art. 6.1.f RGPD) | Vous aider à prendre en main le Service durant les 21 premiers jours |
| Envoi d'emails de rétention en cas d'inactivité | Intérêt légitime (art. 6.1.f RGPD) | Reprise de contact lorsque vous n'utilisez plus le Service |
| Traitement automatisé des tickets support par IA | Intérêt légitime (art. 6.1.f RGPD) | Catégorisation et première réponse — vous pouvez vous y opposer (cf. art. 8) |
| Analyse de l'usage du Service (logs techniques) | Intérêt légitime (art. 6.1.f RGPD) | Sécurité, résolution d'incidents, amélioration du Service |
| Réponse à vos demandes d'exercice de droits RGPD | Obligation légale (art. 6.1.c RGPD) | Conformité aux articles 15 à 22 du RGPD |
Vous pouvez vous opposer à tout moment aux traitements fondés sur l'intérêt légitime en nous contactant à privacy@tradpilot.app, ou directement depuis votre compte pour certains d'entre eux.
Article 4 — Destinataires de vos données
Vos données personnelles ne font l'objet d'aucune cession, location ni vente à des tiers. Elles sont accessibles uniquement :
- Au responsable du traitement
- À ses sous-traitants techniques (cf. article 5), strictement dans le cadre de leurs missions
- Aux autorités compétentes en cas de réquisition judiciaire ou administrative
Article 5 — Sous-traitants et transferts hors Union européenne
Tradpilot fait appel aux sous-traitants suivants, sélectionnés pour leur conformité au RGPD :
| Sous-traitant | Rôle | Localisation des serveurs | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification | Union européenne (Paris, France) | Aucun transfert hors UE pour le stockage |
| Vercel Inc. | Hébergement de l'application web | États-Unis (avec edge global) | Clauses contractuelles types (CCT) de la Commission européenne |
| Stripe Inc. | Traitement des paiements | États-Unis | CCT + certification EU-US Data Privacy Framework |
| Anthropic PBC | Génération d'analyses par intelligence artificielle | États-Unis | CCT — aucune donnée personnelle transmise (cf. art. 6) |
| Resend Inc. | Envoi des emails transactionnels | États-Unis | CCT |
| ImprovMX | Réception des emails à destination du domaine tradpilot.app | États-Unis | CCT — stockage transitoire (quelques secondes à 5 jours maximum) |
Tradpilot utilise également les sources de données publiques suivantes, qui ne reçoivent aucune donnée utilisateur :
- FRED (Federal Reserve Bank of St. Louis) : indicateurs économiques publics
- CFTC : données de positionnement spéculatif (Commitments of Traders)
- Finnhub : calendrier économique et données de marché
- Yahoo Finance : cotations de marché
Conformément aux articles 44 à 49 du RGPD, les transferts vers les sous-traitants situés aux États-Unis sont encadrés par des Clauses contractuelles types adoptées par la Commission européenne, garantissant un niveau de protection équivalent à celui de l'Union européenne.
Article 6 — Traitements automatisés et intelligence artificielle
Tradpilot utilise l'intelligence artificielle (modèles Anthropic Claude) pour générer certaines analyses et améliorer le Service.
6.1 Données envoyées aux modèles IA
| Traitement | Modèle | Données envoyées | Données personnelles |
|---|---|---|---|
| Brique d'analyse par actif | Claude Opus | Scores macro, indicateurs économiques publics, actualités | Aucune |
| Briefing quotidien personnalisé | Claude Sonnet | Liste des actifs que vous suivez, calendrier du jour | Aucune donnée d'identification ne transite vers le modèle |
| Classification des tickets de support | Claude Haiku | Sujet et corps de votre ticket | Potentiellement : votre ticket peut contenir des informations personnelles que vous y inscrivez volontairement |
| Génération de contenu marketing interne | Claude Opus | Sujets génériques | Aucune |
6.2 Conditions chez Anthropic
Conformément aux conditions d'utilisation de l'API Anthropic, les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles d'intelligence artificielle. Anthropic conserve les données pour une durée limitée précisée dans sa propre politique de confidentialité (https://www.anthropic.com/legal/privacy).
6.3 Décisions automatisées (article 22 du RGPD)
Le seul traitement susceptible de constituer une décision automatisée au sens de l'article 22 du RGPD est la classification automatique de vos tickets de support par Claude Haiku, qui propose une catégorisation et une première réponse.
Cette décision automatisée :
- Ne produit pas d'effet juridique vous concernant : votre ticket reste traité, votre demande est prise en compte
- Peut être refusée par vous a priori : avant de soumettre un ticket, vous pouvez cocher la case « Je préfère une réponse humaine uniquement (sans IA) ». Aucune analyse par IA ne sera alors effectuée
- Peut être refusée par vous a posteriori : si votre ticket a déjà été traité par l'IA, vous pouvez à tout moment cliquer sur le bouton « Demander une réponse humaine » dans l'historique de vos tickets pour qu'un humain reprenne le traitement
- Est tracée techniquement : les indicateurs
ai_processedetai_processed_atpermettent de savoir si et quand l'IA a effectivement traité votre ticket
Un bandeau d'information est affiché sur la page de création de ticket pour vous informer de ce traitement avant que vous ne soumettiez votre demande.
Article 7 — Durées de conservation
Vos données personnelles sont conservées pendant les durées strictement nécessaires aux finalités pour lesquelles elles sont collectées.
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de votre compte (profil, préférences, abonnement) | Tant que votre compte est actif | Exécution du contrat |
| Trades importés (si import futur disponible) | Tant que votre compte est actif | Conservation à votre demande |
| Plans de trading | Tant que votre compte est actif | Exécution du contrat |
| Briefings et rapports générés | Tant que votre compte est actif | Conservation à votre demande |
| Tickets de support | Tant que votre compte est actif | Suivi des demandes |
Logs techniques (agent_logs) | 12 mois maximum | Sécurité, audit, résolution d'incidents (recommandation CNIL) |
Événements d'onboarding (onboarding_events) | 24 mois maximum | Suivi de la séquence d'onboarding (qui dure 21 jours) |
| Notifications in-app | 6 mois maximum | Pas de pertinence au-delà |
| Données Stripe (paiements, factures) | 10 ans (chez Stripe) | Obligation légale comptable (Code de commerce, art. L123-22) |
| Cookies de session Supabase | Environ 7 jours, renouvelés | Authentification |
À l'expiration des durées maximales, les données techniques sont automatiquement supprimées par un cron quotidien sécurisé. La preuve de cette purge est conservée pour traçabilité.
À la suppression de votre compte, l'ensemble de vos données personnelles est immédiatement supprimé (cf. article 9).
Article 8 — Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
| Droit | Description |
|---|---|
| Droit d'accès (art. 15) | Obtenir la confirmation que vos données sont traitées et en obtenir une copie |
| Droit de rectification (art. 16) | Corriger des données inexactes ou incomplètes vous concernant |
| Droit à l'effacement (art. 17) | Demander la suppression de vos données — directement effectuée par la suppression de votre compte (cf. art. 9) |
| Droit à la limitation du traitement (art. 18) | Demander la suspension temporaire d'un traitement |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine, ou les transférer à un autre responsable |
| Droit d'opposition (art. 21) | Vous opposer au traitement de vos données pour les motifs liés à votre situation particulière, notamment pour les traitements fondés sur l'intérêt légitime |
| Droit relatif aux décisions automatisées (art. 22) | Refuser le traitement IA de vos tickets support (cf. art. 6.3) |
| Droit de définir des directives post-mortem | Définir le sort de vos données après votre décès |
Comment exercer vos droits ?
Pour exercer l'un de ces droits, contactez-nous à : privacy@tradpilot.app
Précisez dans votre message :
- Le droit que vous souhaitez exercer
- Votre identifiant (email du compte) pour permettre l'identification
Nous vous répondrons dans un délai d'un mois maximum à compter de la réception de votre demande, conformément à l'article 12 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe, auquel cas vous en serez informé.
Pour des raisons de sécurité, nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable sur l'identité du demandeur.
Article 9 — Suppression de votre compte
Vous pouvez supprimer votre compte à tout moment depuis votre espace personnel : Mon compte → Zone dangereuse → Supprimer mon compte. La suppression nécessite la confirmation par mot de passe.
Procédure technique
La suppression de votre compte déclenche un processus automatisé, atomique et tracé :
- Anonymisation des logs techniques (
agent_logs) qui vous concernent : votre identifiant utilisateur est effacé, mais les traces opérationnelles sont conservées de manière anonyme à des fins de sécurité et d'audit, conformément aux recommandations de la CNIL - Suppression définitive de l'ensemble de vos données dans les tables suivantes : profil, préférences de marchés, plans de trading, trades importés, briefings, rapports hebdomadaires, progression Academy, notifications, événements d'onboarding, tutoriels complétés, tickets de support
- Inscription d'une preuve d'audit dans le journal
deletion_audit_log, contenant un identifiant anonymisé (HMAC-SHA256 avec un sel serveur, irréversible) et le décompte des lignes purgées par table. Cette preuve permet de démontrer le respect du droit à l'effacement en cas de contrôle, sans permettre de remonter à votre identité - Suppression de votre compte d'authentification chez Supabase
L'ensemble du processus est conçu pour être atomique : si une étape échoue, l'opération est annulée et aucune donnée n'est partiellement supprimée. En cas d'échec exceptionnel de la dernière étape (suppression du compte d'authentification), un mécanisme de relance automatique se déclenche dans les 24 heures.
Données qui ne sont pas affectées
Les données globales du Service (scores macro, indicateurs économiques, calendrier économique, briques d'analyse par actif, données COT) ne sont pas liées à un utilisateur en particulier et ne sont donc pas affectées par la suppression de votre compte.
Les données conservées par Stripe (factures, historique de paiement) ne sont pas immédiatement supprimées, en raison de l'obligation légale comptable de conservation de 10 ans (Code de commerce, article L123-22). Vous pouvez exercer vos droits directement auprès de Stripe selon leur politique : https://stripe.com/fr/privacy.
Article 10 — Sécurité de vos données
Tradpilot met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement en transit : toutes les communications entre votre navigateur et Tradpilot utilisent le protocole HTTPS, avec activation forcée du mode strict (HSTS)
- Chiffrement au repos : les bases de données Supabase appliquent un chiffrement natif PostgreSQL
- Hashage des mots de passe : les mots de passe ne sont jamais stockés en clair, mais hachés selon les standards de l'industrie
- Cloisonnement par utilisateur (Row Level Security) : chaque utilisateur ne peut accéder qu'à ses propres données, garanti au niveau de la base de données
- Authentification renforcée : confirmation par email obligatoire à l'inscription, verrouillage temporaire après plusieurs tentatives de connexion échouées, blocage des emails jetables
- Limitation des accès aux fonctions sensibles : seul le serveur Tradpilot (et non vous, ni un attaquant éventuel) peut exécuter les fonctions de suppression et de purge
- En-têtes de sécurité HTTP : Content Security Policy stricte, protection contre le clickjacking, désactivation des permissions navigateur non nécessaires
- Limitation du nombre de requêtes (rate limiting) sur les actions sensibles
- Surveillance : journalisation des actions sensibles (création de compte, suppression, accès aux fonctions privilégiées)
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons et notifierons la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD.
Article 11 — Cookies
L'utilisation des cookies sur le Service est limitée au strict nécessaire au fonctionnement de l'authentification.
| Cookie | Service | Finalité | Durée |
|---|---|---|---|
sb-* | Supabase Auth | Authentification (session, token de rafraîchissement) | Environ 7 jours, renouvelés automatiquement |
Tradpilot n'utilise actuellement aucun service de mesure d'audience, aucun cookie publicitaire, aucun pixel de suivi. Aucun cookie tiers n'est posé sur votre navigateur.
Une politique cookies dédiée est disponible à l'adresse : https://tradpilot.app/politique-cookies
Article 12 — Communications
12.1 Emails transactionnels (obligatoires au fonctionnement du Service)
- Confirmation d'inscription
- Réinitialisation de mot de passe
- Notifications liées à votre abonnement (paiement, échec, renouvellement)
12.2 Emails d'onboarding (les 21 premiers jours)
Une séquence de 7 emails est envoyée durant les 21 premiers jours suivant votre inscription pour vous aider à prendre en main le Service. Vous pouvez à tout moment vous désabonner de ces communications via le lien présent dans chaque email ou en nous contactant.
12.3 Emails de rétention
En cas d'inactivité prolongée, nous pouvons vous adresser un ou deux emails pour reprendre contact. Vous pouvez vous y opposer en nous contactant à privacy@tradpilot.app.
12.4 Aucun email marketing tiers
Vos données ne sont jamais transmises à des partenaires commerciaux ou utilisées pour des campagnes marketing externes.
Article 13 — Mineurs
Le Service est destiné à un public majeur. L'inscription est interdite aux personnes âgées de moins de 18 ans. Si nous apprenons qu'un utilisateur est mineur, son compte sera immédiatement supprimé et les données associées effacées.
Article 14 — Modification de la présente Politique
Nous nous réservons le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour l'adapter aux évolutions du Service ou de la réglementation.
En cas de modification substantielle, vous en serez informé par email et/ou par une notification sur le Service au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête du présent document.
L'utilisation continue du Service après l'entrée en vigueur d'une nouvelle version vaut acceptation de celle-ci.
Article 15 — Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
CNIL 3 place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 France
Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr
Vous pouvez également déposer une plainte en ligne sur le site de la CNIL : https://www.cnil.fr/fr/plaintes
Article 16 — Contact
Pour toute question relative à la présente Politique de confidentialité ou à la protection de vos données personnelles :
- Email dédié : privacy@tradpilot.app
- Email général : contact@tradpilot.app
- Adresse postale : Alexandre Velly, 66 chemin des Baraques, 73190 Challes-les-Eaux, France
Nous nous engageons à répondre à toute demande dans un délai d'un mois.