Politique de confidentialité et de protection des données personnelles
Chez Swaive, nous accordons une importance primordiale à la protection de vos données personnelles.
Nous nous engageons à garantir leur confidentialité et à les traiter dans le strict respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), ainsi que de la législation nationale applicable.
1. Objectif
En utilisant Swaive, vous nous confiez certaines données personnelles essentielles à nos services. En tant que Responsable du Traitement, nous traitons ces données dans le respect du RGPD et des lois françaises pour garantir leur sécurité et leur confidentialité.
Cette politique explique :
- Les types de données collectées.
- La finalité de cette collecte et l’utilisation de ces données.
- Les mesures de protection (partage, conservation, sécurité) de ces données.
- Vos droits pour protéger vos données et votre vie privée.
2. Données collectées
Nous collectons différentes catégories de données pour fournir nos services, respecter nos obligations réglementaires et améliorer l’expérience utilisateur. Ces données proviennent de plusieurs sources : elles peuvent être fournies directement par l’utilisateur, collectées automatiquement lors de l’utilisation de nos services, ou obtenues de tiers avec lesquels nous collaborons.
2.1. Données fournies directement par l’utilisateur
Les données personnelles que vous nous fournissez directement sont essentielles à la gestion de votre compte et à la personnalisation de nos services. Elles comprennent des informations permettant de vous identifier, de vous contacter, et d’établir votre profil en fonction de vos besoins et de vos attentes. Nous pouvons également collecter des documents justificatifs pour confirmer votre identité et veiller à la conformité réglementaire en matière de sécurité et de prévention de la fraude.
- Données d'identification : nom, prénom, sexe, date et lieu de naissance, nationalité.
- Données de contact : adresse email, adresse de résidence fiscale, numéro de téléphone.
- Données de vie personnelle : situation familiale, statut marital, régime matrimonial.
- Données de vie professionnelle : secteur d’activité, catégorie socio-professionnelle, titre du poste.
- Données financières : informations liées à vos revenus et à votre patrimoine.
- Documents : documents d’identité, justificatifs de domicile, etc.
- Données relatives à la lutte contre la fraude : informations nécessaires pour respecter nos obligations légales en matière de prévention de la fraude et du blanchiment d’argent.
2.2. Données collectées automatiquement
Certaines données sont collectées automatiquement lorsque vous interagissez avec notre site et nos services. Ces données nous permettent d’optimiser votre expérience en ligne, d’améliorer la qualité de nos services et de répondre à vos besoins. Elles incluent également des informations recueillies par des cookies, qui aident à personnaliser et à sécuriser votre utilisation de notre plateforme, ainsi que les données relatives aux actions entreprises sur nos services.
- Données de navigation : type de navigateur, historique de navigation, parcours de visite, actions entreprises sur le site, durée des sessions, informations sur les appareils, etc.
- Cookies : informations collectées par le biais de cookies pour optimiser votre expérience sur notre site (voir section 7 dédiée aux cookies).
- Données liées aux interactions avec notre service : historique des échanges, prises de contact, participation à des enquêtes de satisfaction, référence des contrats, ordres passés, historique des situations, etc.
2.3. Données partagées par nos partenaires
Dans le cadre de nos partenariats et pour assurer la qualité de nos services, nous pourrions également recevoir certaines données financières ou personnelles de tiers. Ces informations sont transmises dans le respect des politiques de confidentialité de nos partenaires.
3. Finalités du traitement des données
Conformément à la réglementation en vigueur, et notamment au RGPD, nous nous engageons à collecter et traiter uniquement les données strictement nécessaires au regard des finalités listées ci-dessous.
- Pour vérifier votre identité et respecter nos obligations légales : notamment en matière de lutte contre le blanchiment d'argent, de prévention de la fraude et de déclarations fiscales.
- Pour personnaliser nos services : en fonction de votre profil financier, votre situation et vos objectifs d’investissement.
- Pour gérer et suivre vos placements financiers : incluant l’ouverture de compte, la gestion et le suivi de vos investissements.
- Pour améliorer nos services : en analysant l’utilisation de notre plateforme et en menant des études de satisfaction et de performance pour améliorer l’expérience utilisateur.
- Pour communiquer avec vous et vous informer de nos services : en vous envoyant des newsletters, des informations ou des offres commerciales.
- Pour assurer le support client : en répondant à vos demandes d’assistance ou d’information via téléphone, email, chat, ou tout autre moyen de communication.
4. Partage des données
Il convient de souligner que nous ne vendrons jamais vos données à des tiers. Nous partageons vos données uniquement avec des tiers de confiance dans le cadre des finalités décrites ci-dessus. Ces tiers sont tenus de respecter des obligations strictes de confidentialité et de sécurité des données.
4.1. Prestataires de services
Nous faisons appel à des prestataires pour faciliter nos opérations et améliorer nos services. Ces prestataires ont accès à certaines données dans le cadre de leur prestation. Ils sont informés de la confidentialité des données qui leur sont communiquées, et ont l’obligation de garantir leur protection. Ils sont également liés par leurs propres politiques de confidentialité, consultables sur leurs sites. Les principaux prestataires sont les suivants :
- Amazon Web Services (AWS) pour l’hébergement sécurisé des données.
- Google Analytics pour l’analyse de l’audience de notre site.
- Amplitude pour l'analyse de l'usage de notre plateforme et le suivi des événements utilisateurs.
- Hubspot pour la gestion de la relation client (CRM) et les communications.
- Customer.io pour la gestion et l'automatisation des campagnes marketing.
- Google Ads et Facebook Pixel pour la publicité ciblée et l’analyse de performance.
- Yousign et Universign pour la mise en place de la signature électronique.
- MangoPay pour le maintien des wallets.
4.2. Partenaires financiers
Dans le cadre de l’exécution des services, certaines données comme celles du KYC (”Know your Customer”) peuvent être partagées avec nos partenaires financiers. Ce partage de données permet notamment de faciliter l’ouverture des placements, puis d’en assurer la bonne gestion.
4.3. Autorités compétentes
En cas de nécessité légale, nous pouvons être amenés à partager certaines de vos données avec des autorités judiciaires ou réglementaires, conformément aux obligations légales en vigueur (par exemple, dans le cadre de la lutte contre le blanchiment d'argent).
5. Durée de conservation des données
Nous conservons vos données personnelles aussi longtemps que la réglementation l’exige pour les finalités en vue desquelles elles ont été collectées. Ainsi, les durées de conservation varient en fonction de la typologie de données et de la situation. Les principales durées de conservation sont les suivantes :
- Données contractuelles : conservées pendant toute la durée de la relation contractuelle, puis 5 ans après sa résiliation, conformément aux obligations légales.
- Données marketing et promotionnelles : conservées jusqu'au retrait de votre consentement ou 3 ans après le dernier contact pour les prospects qui ne deviennent pas clients.
- Litiges et contestations : conservées pendant 5 ans après la fin du contrat pour traiter les éventuels litiges.
Une fois les délais de conservation expirés, vos données sont supprimées ou anonymisées.
6. Sécurité des données
Chez Swaive, la sécurité de vos données personnelles est au cœur de nos préoccupations. Nous mettons en place des mesures techniques et organisationnelles robustes pour garantir la protection de vos données contre tout accès non autorisé, altération, divulgation ou destruction.
6.1. Sécurité des applications et protection des données
Pour garantir la confidentialité et la sécurité de vos données, nous utilisons des technologies de pointe et des solutions avancées contre les menaces potentielles. Voici les principales mesures mises en place sur notre plateforme :
- Chiffrement des données en au repos et en transit : tout le trafic entre votre navigateur et notre site est chiffré via HTTPS (TLS) pour garantir la confidentialité de vos données lors de leur transmission. Toutes les données sensibles sont protégées en stockage par chiffrement AES-256. Les clés de chiffrement sont renouvelées à fréquence régulière. Des sauvegardes sont effectués régulièrement, de manière automatiques, et chiffrées de la même façon.
- Pare-feu et protection contre les attaques : notre infrastructure est protégée contre les attaques de type déni de service (DDoS), les injections SQL et autres menaces grâce à des solutions avancées telles que les pare-feux applicatifs (WAF).
- Protection contre les attaques par force brute : nous utilisons des systèmes de gestion des identifiants pour protéger vos comptes contre les tentatives d'accès non autorisées par force brute.
6.2. Hébergement et bases de données
Vos données sont hébergées sur des serveurs sécurisés chez Amazon Web Services (AWS) situés au sein de l'Union Européenne, conformément aux réglementations européennes en matière de protection des données. Les services cloud de AWS sont surveillés pour détecter les activités suspectes et les tentatives d'accès non autorisées. Les sauvegardes sont automatisées et opérées à fréquence régulière.
L'accès à nos bases de données est strictement restreint à notre réseau interne sécurisé, et elles ne sont pas accessibles depuis l'extérieur.
6.3. Politique de mots de passe et authentification
Pour sécuriser vos comptes, nous imposons une politique de mots de passe robustes :
- Exigences minimales : votre mot de passe doit comporter au moins 8 caractères, incluant au moins un chiffre et au moins un caractère spécial.
- Chiffrement des mots de passe : vos mots de passe ne sont jamais stockés en clair. Ils sont hachés de manière non réversible avec des algorithmes sécurisés, complétés par un processus de salage aléatoire unique à chaque utilisateur, pour protéger contre les attaques de type rainbow tables.
- Authentification forte : pour accéder à votre compte utilisateur Swaive, une authentification à deux facteurs (2FA) est obligatoire. Vous devez à chaque fois saisir votre mot de passe ainsi qu’un code à six chiffres à usage unique envoyé par mail. Cette sécurité supplémentaire sécurise l’accès à votre compte et minimise le risque de fraude.
6.4. Mesures organisationnelles
Chez Swaive, la protection des données personnelles repose sur des pratiques organisationnelles rigoureuses et sur la vigilance de nos équipes. Tous les collaborateurs de Swaive sont formés aux meilleures pratiques de sécurité et de protection des données. Voici quelques-unes des mesures mises en place :
- Accès restreint aux données : conformément au principe de moindre privilège, les collaborateurs ne peuvent accéder qu’aux données qui sont strictement nécessaires à l'exécution de leur mission.
- Gestion des accès : chaque collaborateur utilise des mots de passe uniques et complexes, gérés via un gestionnaire de mots de passe et une authentification à deux facteurs est obligatoire pour accéder à nos systèmes critiques.
- Chiffrement en interne : tous les ordinateurs des collaborateurs sont chiffrés avec des mises à jour de effectuées régulièrement, et un verrouillage après une courte période d'inactivité.
- Formation continue : les collaborateurs bénéficient de formations régulières sur la sécurité des données et la prévention des menaces, notamment les techniques d’ingénierie sociale. Ils sont également formés à signaler tout incident de sécurité au RSSI, permettant ainsi une remédiation rapide et préventive.
- Tests de sécurité : nous réalisons régulièrement des audits de sécurité internes ainsi que des tests d'intrusion effectués par des sociétés indépendantes pour identifier et corriger les éventuelles failles de sécurité.
7. Cookies
Nous utilisons des cookies pour améliorer votre expérience sur notre site. Vous pouvez gérer vos préférences à tout moment via les paramètres de votre navigateur.
Ces cookies servent à :
- Faciliter la navigation.
- Analyser la fréquentation.
- Adapter le contenu à vos préférences.
Pour plus de détails, consultez notre Politique de Cookies.
8. Vos droits
Conformément à la législation en vigueur, et dans le respect de la confidentialité et de la protection de vos données personnelles, vous disposez de droits spécifiques vous permettant de contrôler et de gérer l'utilisation de vos informations. Vous trouverez ci-dessous les détails de chacun de ces droits et la manière dont ils s'appliquent.
- Droit d’accès : ce droit vous permet d’accéder aux données que nous détenons à votre sujet ainsi que d’en demander une copie pour connaître précisément les informations détenues, ainsi que leur origine et les finalités pour lesquelles elles sont utilisées.
- Droit de rectification : ce droit vous permet de demander la rectification ou mise à jour des données détenues si vous constatez que ces données sont incorrectes, incomplètes ou obsolètes. Cela garantit que les informations vous concernant restent exactes, pertinentes et actuelles dans nos systèmes.
- Droit à l’effacement : ce droit vous permet de demander la suppression de vos données dans certaines situations, par exemple si les informations ne sont plus nécessaires pour les finalités initiales, ou encore si le traitement des données ne respecte plus les exigences légales. Cependant, ce droit peut être limité par certaines obligations légales de conservation de données.
- Droit à la portabilité : ce droit vous permet de recevoir vos données dans un format structuré, afin de transférer directement ces données vers un autre responsable de traitement à votre demande. Cela facilite le transfert ou la réutilisation de vos données pour un service similaire ailleurs.
- Droit d’opposition : ce droit vous permet de vous opposer au traitement de vos données pour des motifs légitimes, ou de retirer votre consentement à tout moment pour les traitements basés sur celui-ci.
- Droit de limitation : ce droit vous permet de demander temporairement la suspension du traitement de vos données dans certains cas (par exemple, le temps de vérifier l’exactitude des données ou l’exercice d’un autre droit). Pendant cette période, vos données seront conservées mais ne seront pas utilisées ou traitées pour d'autres finalités que celles pour lesquelles la limitation a été demandée.
- Droit au retrait du consentement : ce droit vous permet de retirer votre consentement à tout moment, si certaines de vos données sont traitées sur la base de celui-ci. Le retrait de consentement n'affecte pas la légalité des traitements effectués avant ce retrait, mais il mettra fin à tout traitement de vos données basé sur votre consentement.
9. Contact et réclamations
9.1. Délégué à la Protection des Données (DPO)
Pour toute question relative à cette Politique de Confidentialité, réclamation ou exercice de vos droits, vous pouvez contacter notre Délégué à la Protection des Données (DPO):
- par email à l’adresse mail suivante : dpo@swaive.fr
- par voix postale aux coordonnées suivantes : DPO Swaive, 112 Avenue de Paris, CS60002, 94300 Vincennes, CEDEX, France
Toute demande nécessitera d’avoir justifié de son identité en joignant a minima une copie de sa pièce d’identité en cours de validité. Nous répondrons à votre demande dans un délai d'un mois, sauf complexité ou volume exceptionnel des demandes.
9.2. Réclamation auprès de la CNIL
Si vous estimez que vos droits n'ont pas été respectés ou si vous souhaitez porter réclamation, vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) via leur site internet (www.cnil.fr) ou en envoyant un courrier à l'adresse suivante :
CNIL
3 Place de Fontenoy, TSA 80715
75334 PARIS CEDEX 07