Politique de confidentialité

1. Responsable du traitement

COWRIEX SAS opère la plateforme CowrieDesk et détermine les finalités et moyens des traitements de données.

Contact (vie privée/données personnelles) : [email protected].

2. Données que nous collectons

A. Identification (KYC)

• Nom, prénoms, date de naissance, adresse postale, pays de résidence, email, téléphone.
• Pièce d’identité (CNI / passeport / permis) : type et numéro.
• Selfie (contrôle visuel d’identité).

B. Sécurité et techniques

• Données techniques : adresse IP, user-agent, horodatages, journaux d’événements, empreinte d’appareil.
• 2FA TOTP : activation et secret 2FA (conservés de manière sécurisée).
• Connexion biométrique (optionnelle) : sur votre appareil uniquement, avec votre consentement. Le mécanisme permet de déverrouiller des identifiants chiffrés stockés localement (ex. email/mot de passe ou jeton de session). Aucune donnée biométrique n’est transmise à CowrieDesk.

C. Utilisation du service et données financières

• Comptes, soldes, paliers KYC, limites.
• Historique trading spot (ordres, exécutions).
• Historique on-chain (réseaux, adresses, hash, montants).
• P2P : annonces, ordres, échanges dans l’interface, preuves de paiement partagées volontairement (captures, références, etc.).
• Dépôts/retraits, tentatives et échecs (journalisation).

D. Support et communications

• Contenu de vos échanges avec le support (chat, pièces jointes, emails).
• Communications opérationnelles (transactionnelles).
• Emails promotionnels (occasionnels via Mailjet) avec désinscription possible à tout moment (opt-out).

E. Mesure d’audience et anti-bot

• Mesure d’audience sans cookies : événements agrégés et non identifiants pour améliorer le service.
• Anti-bot / sécurité formulaires : signaux techniques de session et témoin de pré-validation (clearance) de courte durée pour limiter les défis répétés.

3. Finalités et bases légales

• Exécution du contrat : création et gestion du compte, authentification, garde des crypto-actifs, exécution d’ordres, P2P/escrow, dépôts/retraits, service client.
• Obligations légales (AML/CFT, fiscalité, conservation) : vérifications d’identité, tenue de registres, réponse aux réquisitions.
• Intérêt légitime : sécurité (détection fraude/abus, anti-bot), continuité du support (persistance de conversation), mesure d’audience sans cookies.
• Consentement : connexion biométrique sur l’appareil ; emails promotionnels (opt-out via lien de désabonnement).

4. Destinataires et sous-traitants

Nous partageons des données strictement nécessaires avec :

• Prestataires de paiement (dépôts/retraits fiat) : FedaPay, PayDunya.
• Hébergement et cloud : Akamai Technologies, Inc. (Linode) – région UE (Francfort).
• Messagerie email : Mailjet (envoi d’emails transactionnels et promotionnels).
• Sécurité / anti-bot : Cloudflare (pré-validation anti-bot).
• Assistance client : solution de messagerie de support auto-hébergée (aucune donnée transmise à un tiers).
• Mesure d’audience : solution auto-hébergée (aucune donnée transmise à un tiers).
• Autorités compétentes : en cas d’obligation légale.

Pour le Trading P2P, les utilisateurs peuvent partager entre eux des éléments strictement nécessaires à la transaction : pseudonyme, historique d’échanges visibles dans l’interface, preuves de paiement qu’ils décident d’envoyer.

5. Localisation des données

Les systèmes de production sont hébergés dans l’Union européenne (Francfort, Allemagne). Certains prestataires peuvent opérer hors de votre pays de résidence ; des mesures de sécurité techniques et organisationnelles sont appliquées.

6. Durées de conservation

Conformément aux bonnes pratiques de sécurité (ISO 27001/PCI-DSS, principe de minimisation) et aux usages du secteur :

• Dossier KYC : 5 ans après clôture du compte ou fin de relation.
• Registres d’activité financière (trading, on-chain, P2P, preuves de paiement) : 5 ans.
• Journaux techniques et de sécurité : jusqu’à 24 mois (détection, enquête, forensic).
• Support (chat/tickets) : jusqu’à 24 mois après la clôture du ticket.
• Marketing (emails promotionnels) : jusqu’au retrait de l’abonnement ou au plus 3 ans après le dernier contact.
• Comptes inactifs / clôturés : anonymisation ou suppression des données non soumises à obligations de conservation, au terme des délais ci-dessus.

Les écritures on-chain sont immutables par nature.

7. Vos droits

Vous disposez des droits d’accès, rectification, effacement, opposition, limitation et portabilité, dans les limites légales et contractuelles (notamment obligations de conservation AML).

Demande à : [email protected]. Un contrôle d’identité peut être requis. Délai indicatif de réponse : 30 jours.

Désinscription marketing : lien “se désabonner” présent dans chaque email.

8. Sécurité

Mesures techniques et organisationnelles adaptées : chiffrement en transit et au repos, cloisonnement, sauvegardes, contrôle d’accès, 2FA (obligatoire pour retraits et transferts internes), surveillance et journalisation. Les secrets sensibles (ex. TOTP) sont stockés de manière chiffrée.

9. Incidents

En cas d’atteinte avérée à la sécurité des données, nous informerons les utilisateurs concernés dans un délai raisonnable, via email et/ou notre page statut : status.cowriedesk.com, avec les mesures utiles de mitigation.

10. Spécificités P2P

Les paiements fiat sont réalisés en dehors de la plateforme, directement entre utilisateurs. Ne partagez que les informations strictement nécessaires et masquez les données sensibles non requises. En cas de litige, nous pouvons demander des preuves et conserver les éléments du dossier pendant 5 ans.

11. Mineurs

Accès interdit aux mineurs. Si un mineur est détecté : non-validation du KYC et blocage du compte (impossibilité d’ouvrir une session), sous réserve des obligations de conservation.

12. Mises à jour

Nous pouvons modifier la présente politique pour refléter l’évolution des services ou du cadre applicable. La date de la dernière mise à jour figure en en-tête.

Langue : en cas de divergence entre les versions, la version française prévaut.