RGPD et données personnelles

Confidentialité

Dernière mise à jour: 20 mars 2026

Cette politique explique quelles données sont collectées, pourquoi elles le sont, sur quelle base légale, combien de temps elles sont conservées et comment exercer vos droits.

Responsable du traitement Orynela, exploité sous la marque Orynela™, agit comme responsable du traitement pour les opérations de données décrites ci-dessous.
Vos droits Accès, rectification, opposition, effacement, limitation, portabilité et retrait du consentement lorsqu’il constitue la base légale.
Mesures de sécurité Chiffrement des secrets (AES-256), hachage des mots de passe (Argon2id), journalisation, HTTPS/TLS, cloisonnement des accès et revue technique continue.
Point de contact RGPD rgpd@orynela.ai
Délégué à la protection des données Aucun DPO n’a été désigné à ce stade compte tenu de la taille et de la nature de l’activité. Le point de contact RGPD (rgpd@orynela.ai) remplit cette fonction opérationnelle.

Catégories de données

  • Données de compte : nom, email, langue, statut du compte, dates de création et de connexion.
  • Données d’identification complémentaires : téléphone, adresse postale, ville, code postal et pays lorsque renseignés lors de l’inscription.
  • Données techniques : adresse IP, user agent, journaux de sécurité, traces de session et métadonnées anti-fraude.
  • Données d’utilisation : pages consultées, préférences d’interface, actions réalisées dans le tableau de bord et historique d’événements.
  • Données de facturation : identifiant client Stripe, abonnement, statut de paiement, factures et transactions gérées par le prestataire de paiement. Les données complètes de carte bancaire ne sont jamais stockées par Orynela.
  • Données liées aux courtiers : clés API chiffrées (clé publique, clé secrète), paramètres de stratégie, journaux d’exécution, historique d’instructions transmises et états techniques associés. Les clés API sont chiffrées au repos (AES-256) et en transit (TLS). L’accès est strictement limité aux processus automatisés nécessaires à la fourniture du service.
  • Données de marketing : adresse email et préférence d’opt-in lorsque l’utilisateur consent à recevoir des communications commerciales.

Finalités et bases légales

  • Exécution du contrat (art. 6, 1, b RGPD) : création de compte, fourniture du service, authentification, support, facturation, transmission des instructions d’opérations via l’API du courtier et prévention des incidents.
  • Intérêt légitime (art. 6, 1, f RGPD) : sécurité, journalisation, prévention de la fraude, amélioration du produit, statistiques internes et défense de nos droits.
  • Obligation légale (art. 6, 1, c RGPD) : conservation des pièces comptables (10 ans), conservation des logs de connexion (12 mois, obligation LCEN), lutte contre les abus, réponse aux demandes d’autorités compétentes.
  • Consentement (art. 6, 1, a RGPD) : dépôt de cookies optionnels, mesure d’audience non essentielle ou communication marketing si elle est activée.

Destinataires et sous-traitants

  • Équipe interne ou prestataires techniques strictement habilités selon le besoin d’accès.
  • Stripe (prestataire de paiement) pour la gestion des transactions et de la facturation — les clés API broker ne sont jamais partagées avec Stripe.
  • Hébergeur (Hostinger International Ltd.) et prestataires d’infrastructure pour la disponibilité, la sauvegarde et la sécurité du service.
  • Fournisseurs OAuth (Google, GitHub) lorsque l’utilisateur choisit ces mécanismes de connexion.
  • Courtier de l’utilisateur : les clés API sont utilisées exclusivement pour transmettre les instructions d’opérations configurées par l’utilisateur sur son propre compte chez le courtier.

Transferts hors UE

  • Certains prestataires (notamment Stripe, Google, GitHub) peuvent traiter des données depuis des pays situés hors de l’Union européenne.
  • Lorsque c’est le cas, les transferts sont encadrés par des garanties appropriées telles que clauses contractuelles types (CCT), décision d’adéquation de la Commission européenne ou mesures techniques équivalentes.

Durées de conservation

  • Données d’identification (nom, email, compte) : durée de la relation contractuelle, puis supprimé ou anonymisé dans un délai de 3 ans après la dernière activité, sauf obligation légale contraire.
  • Clés API broker : durée de l’abonnement actif, puis supprimées dans un délai de 30 jours suivant la résiliation du compte.
  • Données d’opérations (historique des instructions transmises, logs d’exécution) : durée de l’abonnement, puis archivées 5 ans pour obligations comptables et fiscales.
  • Données de paiement : durée de la transaction, puis 13 mois (recommandation CNIL). Les données complètes de carte ne sont jamais stockées.
  • Logs de sécurité et traces de connexion (IP, user-agent) : 12 mois glissants (obligation LCEN).
  • Pièces comptables et factures : 10 ans conformément à l’article L123-22 du Code de commerce.
  • Demandes RGPD et support : 3 ans à compter de la clôture de la demande.
  • Consentement cookies : durée du cookie (180 jours maximum), renouvelé à chaque nouveau choix.

Décisions automatisées et profilage

  • Le service utilise des algorithmes pour générer des signaux et, lorsque l’utilisateur l’a expressément configuré, transmettre automatiquement des instructions d’opérations au courtier tiers.
  • Ces traitements exécutent les instructions techniques configurées par l’utilisateur. L’utilisateur conserve à tout moment le contrôle total : il peut activer, modifier, suspendre ou désactiver toute stratégie.
  • Conformément à l’article 22 du RGPD, l’utilisateur dispose du droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester toute décision automatisée en écrivant à rgpd@orynela.ai.

Exercice des droits

  • Vous pouvez écrire à rgpd@orynela.ai pour exercer vos droits d’accès, de rectification, d’opposition, d’effacement, de limitation, de portabilité ou de retrait du consentement.
  • Une preuve d’identité raisonnable peut être demandée si cela est nécessaire pour protéger vos données.
  • Orynela s’engage à répondre à toute demande dans un délai d’un mois, conformément au RGPD.

Réclamation auprès de la CNIL

  • Si vous estimez que le traitement de vos données personnelles constitue une violation de la réglementation applicable, vous avez le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
  • CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr

Cookies et traceurs

  • L’utilisation de cookies et de technologies similaires est détaillée dans notre politique cookies, accessible depuis le pied de page du site ou à l’adresse /legal/cookies.