Politique de Confidentialité
VERSION 1.1 · DERNIÈRE MISE À JOUR : 12 MARS 2026 · CONFORME AU RGPD (UE 2016/679)
Engagement de transparence. La présente politique décrit avec précision quelles données nous collectons, pourquoi, comment nous les protégeons, et comment vous pouvez exercer vos droits. Vos données ne sont jamais vendues. Vos clés API sont chiffrées et ne permettent techniquement aucun retrait de fonds.
La présente politique de confidentialité décrit comment la plateforme apothem (ci-après « nous » ou « apothem ») collecte, traite et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi française Informatique et Libertés modifiée.
01. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
- Nom : CREPIN
- Adresse : 76 Rue Masséna, 69006 Lyon, France
- Email : support@apothem.fr
- Statut : Particulier – opérateur de la plateforme apothem
Pour toute question relative à la protection de vos données, vous pouvez nous contacter directement à l'adresse email ci-dessus avec l'objet [RGPD]. Nous nous engageons à répondre dans un délai maximum de 30 jours calendaires.
02. Données collectées et finalités
Nous collectons uniquement les données strictement nécessaires au fonctionnement du Service, conformément au principe de minimisation des données (article 5(1)(c) du RGPD) :
| Catégorie de donnée |
Données collectées |
Finalité |
Base légale |
Durée de conservation |
| Identité |
Adresse email, pseudo |
Création et gestion du compte, communication |
Exécution du contrat |
Durée du compte + 3 ans |
| Authentification |
Mot de passe haché (bcrypt), token 2FA |
Sécurisation de l'accès au compte |
Exécution du contrat |
Durée du compte |
| Clés API |
Clé publique + clé secrète (chiffrées AES-256) |
Exécution des ordres de trading sur l'exchange |
Exécution du contrat |
Jusqu'à révocation ou clôture du compte |
| Trading |
Historique des trades, positions, P&L |
Tableau de bord, suivi de performance |
Exécution du contrat |
3 ans après clôture du compte |
| Configuration |
Paramètres de risque, taille de position |
Personnalisation du comportement du bot |
Exécution du contrat |
Durée du compte |
| Connexion |
Adresse IP, horodatage de connexion, user-agent |
Sécurité, détection de fraude, rate limiting |
Intérêt légitime (sécurité) |
30 jours |
| Session |
Token de session (cookie sécurisé) |
Maintien de la connexion |
Exécution du contrat |
30 jours ou jusqu'à déconnexion |
03. Traitement spécifique des clés API
Les clés API constituent la donnée la plus sensible que vous nous confiez. Nous lui accordons une protection particulière :
Sécurité des clés API : vos clés API sont chiffrées en base de données avec l'algorithme AES-256 via Fernet (chiffrement symétrique authentifié). Elles ne sont jamais stockées en clair, jamais affichées en intégralité dans l'interface, et jamais transmises à des tiers.
- Chiffrement au repos : stockage exclusivement sous forme chiffrée (AES-256 Fernet) — inutilisables sans la clé de déchiffrement du serveur ;
- Permissions restreintes : apothem exige et recommande des clés API avec les seules permissions « lecture » et « trading ». La permission de retrait n'est jamais requise et ne doit jamais être accordée ;
- Absence de partage : vos clés API ne sont jamais partagées, revendues ou transmises à des tiers, y compris à des partenaires commerciaux ;
- Utilisation unique et dédiée : vos clés API sont utilisées exclusivement pour soumettre des ordres de trading sur votre exchange, en réponse aux signaux reçus de TradingView ;
- Suppression sur demande : vos clés API sont supprimées de nos systèmes dès la révocation de la connexion ou la fermeture du compte.
04. Base légale des traitements
Chacun de nos traitements repose sur une base légale spécifique au sens de l'article 6 du RGPD :
- Exécution du contrat (art. 6(1)(b)) : traitement de l'email, du mot de passe, des clés API, des données de trading, des paramètres de configuration — nécessaires à la fourniture du Service ;
- Intérêt légitime (art. 6(1)(f)) : traitement des adresses IP, logs de connexion et données de session — pour assurer la sécurité de la plateforme et prévenir les accès non autorisés ;
- Obligation légale (art. 6(1)(c)) : conservation de certaines données en réponse à une injonction judiciaire ou obligation légale.
Nous ne procédons à aucun traitement fondé sur le consentement pour les fonctionnalités essentielles du Service — vous pouvez donc utiliser apothem sans que votre consentement soit requis pour des traitements indispensables. Les cookies non essentiels, s'ils venaient à être ajoutés, seraient soumis à votre consentement préalable.
05. Cookies et traceurs
La plateforme apothem utilise uniquement des cookies strictement nécessaires au fonctionnement du Service, qui ne requièrent pas de consentement préalable :
- session : cookie de session sécurisé (HttpOnly, Secure, SameSite=Lax) permettant de maintenir votre connexion — durée : 30 jours ;
- csrf_token : jeton de sécurité anti-CSRF (Cross-Site Request Forgery) injecté dans les formulaires — durée : session navigateur.
Nous n'utilisons aucun cookie publicitaire, cookie de profilage, ou traceur tiers à des fins d'analyse comportementale ou de ciblage marketing. Aucune régie publicitaire n'a accès à vos données de navigation sur apothem.
06. Destinataires des données
Vos données personnelles sont traitées exclusivement par les personnes et entités suivantes :
- L'Opérateur d'apothem (CREPIN) : accès aux données nécessaires à l'administration du Service ;
- Hetzner Online GmbH : hébergeur des serveurs sur lesquels sont stockées vos données, situés dans l'Union Européenne (datacenter de Nuremberg, Allemagne) — Hetzner agit en qualité de sous-traitant au sens du RGPD ;
- Votre exchange : vos clés API sont utilisées pour soumettre des ordres sur votre compte exchange en votre nom — l'exchange est une entité tierce indépendante, soumise à ses propres conditions d'utilisation ;
- Autorités compétentes : en cas d'obligation légale, injonction judiciaire ou enquête officielle.
Vos données personnelles ne sont jamais vendues, louées ou échangées à des fins commerciales.
07. Transferts de données hors Union Européenne
Vos données sont hébergées au sein de l'Union Européenne, sur les serveurs Hetzner de Nuremberg (Allemagne). Nous veillons à ce que vos données demeurent autant que possible dans l'espace économique européen.
Des transferts hors UE peuvent intervenir dans les cas suivants :
- Connexion à votre exchange : selon l'exchange que vous utilisez, les requêtes API peuvent transiter vers des serveurs situés hors UE. Ces échanges se font exclusivement via des connexions chiffrées (HTTPS/TLS) et se limitent aux données nécessaires à l'exécution des ordres ;
- Authentification via Google OAuth (si activée) : soumise aux conditions de la politique de confidentialité de Google et à leurs mécanismes de transfert (décision d'adéquation UE–États-Unis, Clauses Contractuelles Types).
Tout transfert hors UE s'effectue dans le cadre de garanties appropriées conformes aux articles 44 à 49 du RGPD.
08. Mesures de sécurité
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles adaptées au niveau de risque, conformément à l'article 32 du RGPD :
- Chiffrement des données sensibles : clés API chiffrées au repos (AES-256 Fernet), mots de passe hachés (bcrypt, coût élevé) ;
- Chiffrement des communications : protocole HTTPS/TLS sur l'ensemble des échanges client-serveur ;
- Protection CSRF : token CSRF sur toutes les requêtes sensibles pour prévenir les attaques cross-site ;
- Rate limiting : limitation des tentatives de connexion pour prévenir les attaques par force brute ;
- Gestion des sessions : cookies de session sécurisés (HttpOnly, Secure, SameSite), rotation des tokens ;
- Infrastructure sécurisée : serveurs Hetzner en datacenter certifié ISO 27001, situés dans l'UE ;
- Accès restreints : accès aux données limité aux seules personnes habilitées, selon le principe du moindre privilège.
09. Violation de données personnelles
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, apothem s'engage à :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance de l'incident, conformément à l'article 33 du RGPD ;
- Vous informer personnellement par email dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (article 34 du RGPD) ;
- Décrire la nature de la violation, les données concernées, les conséquences probables et les mesures prises pour y remédier.
10. Vos droits (RGPD)
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie de l'ensemble des données personnelles que nous détenons vous concernant, ainsi que des informations sur leur traitement ;
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes vous concernant ;
- Droit à l'effacement / « droit à l'oubli » (art. 17) : demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement (art. 18) : obtenir la suspension du traitement de vos données dans certains cas prévus par le RGPD ;
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV) ;
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur notre intérêt légitime, pour des raisons tenant à votre situation particulière ;
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs.
Comment exercer vos droits : adressez votre demande par email à support@apothem.fr avec l'objet [RGPD - Droit d'accès] ou [RGPD - Suppression], en joignant une pièce d'identité si nécessaire pour vérifier votre identité. Nous répondrons dans un délai maximum de 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
- En France : CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr
- Dans tout autre pays de l'UE : l'autorité de protection des données de votre pays de résidence
11. Protection des mineurs
La plateforme apothem est strictement réservée aux personnes âgées de 18 ans ou plus. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous constatez qu'un mineur a créé un compte, nous vous invitons à nous contacter immédiatement à support@apothem.fr afin que nous puissions supprimer les données et le compte dans les meilleurs délais.
12. Données non collectées
Nous confirmons expresssément que nous ne collectons pas les données suivantes :
- Données de paiement ou bancaires (aucune transaction financière ne transite par apothem) ;
- Données de navigation à des fins publicitaires ou de profilage commercial ;
- Données de localisation précise (GPS) ;
- Données biométriques ou de santé ;
- Données relatives aux opinions politiques, convictions religieuses ou origine ethnique ;
- Contenu de vos communications privées.
13. Modifications de la politique de confidentialité
La présente politique de confidentialité peut être mise à jour pour refléter des évolutions légales, réglementaires ou techniques. En cas de modification substantielle, nous vous informerons par email à l'adresse associée à votre compte, au moins 15 jours avant l'entrée en vigueur des changements.
La date de dernière mise à jour est systématiquement indiquée en haut de ce document. Nous vous encourageons à consulter régulièrement cette page.
Pour toute question relative à la protection de vos données personnelles :
Email : support@apothem.fr
Objet : [RGPD] Votre demande
Nous nous engageons à accuser réception de votre demande sous 48 heures et à y répondre dans un délai maximum de 30 jours.