← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 2026-05-16

1. Responsable du traitement

BrightNova Yazılım A.Ş., Türkiye Teknopark Istanbul, Turquie. Pour toute question relative au traitement de vos données : privacy@brightnova.app.

2. Données collectées

  • Compte : email, identifiant Google/GitHub (OAuth), mot de passe haché (bcrypt via Supabase Auth).
  • Abonnement : statut, plan, identifiants Paddle (jamais de numéro de carte stocké chez nous).
  • Devices pairés : nom, OS, version agent, clé publique Ed25519.
  • Trades : opérations exécutées par l'agent (symbol, side, prix, montant, PnL).
  • Métadonnées techniques : adresse IP (limitée aux logs et audit), date/heure des actions.
  • Clé API Anthropic (mode BYOC) : chiffrée AES-256 via pgcrypto, jamais loggée, révocable.

Nous ne collectons jamais : vos clés API Binance/Coinbase (elles restent chiffrées localement sur votre machine via DPAPI/Keychain), votre solde d'exchange en clair, le contenu de vos communications hors support.

3. Bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : compte, abonnement, devices, trades.
  • Intérêt légitime (art. 6.1.f) : logs techniques, prévention de fraude, sécurité.
  • Consentement (art. 6.1.a) : disclaimer trading, cookies analytiques (non encore déployés).
  • Obligation légale (art. 6.1.c) : conservation comptable des factures Paddle (10 ans).

4. Sous-traitants

  • Supabase (Auth + Postgres) — hébergé en UE.
  • Fly.io (API cloud) — hébergé en UE (régions Paris/Amsterdam).
  • Vercel (frontend web) — edge global.
  • Paddle (paiement, MoR) — UK/EU.
  • Anthropic (modèle Claude pour décisions agent) — USA, sous DPA.
  • DeepSeek (modèle pour tâches LLM légères) — sous DPA.
  • Sentry / Better Stack (monitoring) — UE.

Les transferts hors UE (USA, Royaume-Uni) sont encadrés par les clauses contractuelles types de la Commission européenne (SCC 2021/914).

5. Durée de conservation

  • Compte actif : tant que l'abonnement est en cours + 3 ans après inactivité.
  • Compte supprimé : grace period 30 jours, puis suppression définitive (hard delete).
  • Factures Paddle : 10 ans (obligation légale).
  • Logs techniques (Sentry, Better Stack) : 90 jours.
  • Audit log immutable (sécurité) : durée du compte, supprimé au hard delete.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès et portabilité : export complet de vos données (JSON, zip) via GET /v1/me/export depuis votre compte.
  • Rectification : modifiez votre profil depuis le dashboard.
  • Effacement : DELETE /v1/me (grace 30j) puis purge définitive.
  • Limitation, opposition : contactez privacy@brightnova.app.
  • Réclamation auprès de la CNIL (France) ou de votre autorité de contrôle nationale.

7. Sécurité

  • Mot de passe haché (bcrypt) géré par Supabase Auth.
  • 2FA TOTP disponible et obligatoire pour les actions sensibles (révocation clé API, changement de mode, demande de suppression de compte).
  • Chiffrement at-rest AES-256 (pgcrypto) pour les secrets sensibles.
  • RLS Postgres : isolation stricte par utilisateur au niveau base de données.
  • Audit log immutable (hash chain SHA-256) pour les événements critiques.
  • JWT device avec signature Ed25519 par device (90 jours d'expiration).
  • HTTPS/WSS uniquement (TLS 1.3).

8. Cookies

Le site n'utilise actuellement que des cookies strictement nécessaires (authentification Supabase, préférences UI). Aucun cookie analytique ou publicitaire n'est déposé sans consentement.

9. Mineurs

Le Service est strictement réservé aux personnes majeures (18 ans ou plus). En cas de signalement d'un compte créé par un mineur, le compte est supprimé sans délai.

10. Modifications

Toute modification substantielle de la présente politique sera notifiée par email au moins 30 jours avant son entrée en vigueur, avec possibilité de résilier l'abonnement sans frais durant cette période.