Politique de confidentialité.

La présente politique de confidentialité (la « Politique ») s'applique au traitement des données à caractère personnel en lien avec l'ensemble des services fournis par Cryptonow GmbH, société immatriculée en République d'Autriche, dont le siège social est établi au Marc-Aurel-Str. 10–12, 1010 Vienne, Autriche (« Cryptonow », « la Société », « nous » ou « notre »), via notre plateforme de courtage électronique (y compris toutes les applications mobiles et tous les sites internet connexes permettant d'y accéder) (collectivement, la « Plateforme »).

La présente Politique décrit la manière dont nous collectons, utilisons et divulguons des données à caractère personnel dans le cadre de la fourniture de nos services, notamment :

  • la création et la gestion de comptes ;

  • la vérification d'identité (KYC) ;

  • l'exécution des transactions ;

  • l'assistance à la clientèle ;

  • les campagnes promotionnelles ; et

  • toute interaction avec la Plateforme (collectivement, les « Services »).

La présente Politique complète nos autres politiques et n'est pas destinée à les remplacer.

Les termes utilisés dans les présentes ont la signification qui leur est donnée dans le règlement (UE) 2016/679 (le règlement général sur la protection des données – RGPD) et la loi autrichienne sur la protection des données (Datenschutzgesetz – DSG), selon le cas.

Aux fins de la présente Politique :

  • « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable.

  • « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit ou non par des moyens automatisés (telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction).

  • « Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

  • « Autorité de contrôle » désigne l'Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Vienne (T +43 1 52 152-0, M [email protected]).

  • « Personne concernée » désigne une personne physique identifiée ou identifiable.

1. Notre relation avec vous

Cryptonow agit en qualité de responsable du traitement de vos données à caractère personnel en lien avec les Services, garantissant la sécurité de vos données à caractère personnel et le respect des exigences réglementaires applicables.

Étant responsables des données à caractère personnel traitées dans le cadre de la fourniture de nos Services, nous avons désigné un délégué à la protection des données (DPD), qui contrôle notre conformité avec la législation en matière de protection des données et agit en tant que point de contact principal pour l'Autorité de contrôle et pour les personnes concernées sur les questions relatives à la vie privée.

Vous pouvez nous contacter en lien avec des Services que vous envisagez d'obtenir ou souhaitez obtenir de notre part (tels que la conversion entre crypto-actifs et monnaie fiduciaire). En vous inscrivant sur la Plateforme et en l'utilisant, vous reconnaissez que vos données à caractère personnel seront traitées conformément à la présente Politique et aux conditions générales applicables à la Plateforme (le « Contrat de service »).

Pour toute question ou préoccupation concernant le traitement de vos données à caractère personnel, vous pouvez contacter notre délégué à la protection des données à l'adresse : [email protected]

2. Base juridique du traitement de vos données à caractère personnel

Nous pouvons traiter vos données à caractère personnel sur la base d'un ou plusieurs des fondements juridiques suivants au titre de l'article 6 du RGPD :

2.1 Exécution d'un contrat – art. 6, par. 1, let. b, du RGPD

Lorsque le traitement est nécessaire à l'exécution d'un contrat auquel vous êtes partie, ou à l'exécution de mesures précontractuelles prises à votre demande avant la conclusion d'un tel contrat (par exemple, la fourniture de Services via notre Plateforme).

2.2 Respect d'une obligation légale – art. 6, par. 1, let. c, du RGPD

Lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle nous sommes soumis (par exemple, la lutte contre le blanchiment de capitaux (LBC), les exigences de connaissance du client (KYC), la déclaration fiscale et autres exigences de conformité).

2.3 Intérêts légitimes – art. 6, par. 1, let. f, du RGPD

Lorsque le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons (ou qu'un tiers poursuit), à condition que ces intérêts ne soient pas supplantés par vos droits et libertés fondamentaux. Nos intérêts légitimes peuvent inclure :

  • la fourniture, le maintien et l'amélioration de nos Services ;

  • la garantie de la sécurité de la Plateforme, la conformité informatique et fiscale, et les contrôles internes ;

  • la prévention de la fraude et des abus ; et

  • le maintien d'opérations commerciales efficaces.

2.4 Consentement – art. 6, par. 1, let. a, du RGPD

Dans certains cas limités, nous nous appuyons sur votre consentement librement donné, spécifique, éclairé et non ambigu (et, le cas échéant, explicite) pour traiter vos données à caractère personnel (par exemple, pour le marketing direct ou les fonctionnalités optionnelles).

Lorsque le traitement est fondé sur le consentement :

  • vous n'êtes soumis(e) à aucune obligation de donner votre consentement ;

  • vous ne subirez aucun désavantage si vous choisissez de ne pas consentir ou si vous retirez ultérieurement votre consentement ; et

  • vous pouvez retirer votre consentement à tout moment, avec effet pour l'avenir, en nous contactant aux coordonnées indiquées dans la présente Politique.

Le retrait du consentement ne porte pas atteinte à la licéité du traitement fondé sur le consentement avant ce retrait.

Veuillez noter que nous pouvons traiter vos données à caractère personnel sur la base de plusieurs fondements juridiques selon la finalité spécifique. Si vous souhaitez obtenir des informations sur le fondement juridique d'une activité de traitement particulière, vous pouvez nous contacter à tout moment.

3. Données à caractère personnel que nous collectons et modes de collecte

Nous veillons à ne traiter que les données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément au principe de minimisation des données énoncé à l'art. 5, par. 1, let. c, du RGPD.

3.1 Données obtenues directement auprès de vous

Par exemple :

  • lorsque vous vous inscrivez pour utiliser la Plateforme ou soumettez des informations dans le cadre du processus KYC ;

  • lorsque vous remplissez des formulaires ou téléchargez des documents sur la Plateforme ;

  • lorsque vous nous contactez par courrier électronique ou via d'autres canaux de communication ;

  • lorsque vous soumettez des demandes d'assistance, participez à une résolution de litige, ou sollicitez une aide ;

  • lorsque vous vous rendez physiquement dans nos locaux.

3.2 Données collectées automatiquement

  • via votre utilisation de la Plateforme et de nos Services (par exemple, données de journaux, données relatives aux appareils, données d'utilisation).

3.3 Données obtenues auprès de tiers

Par exemple :

  • nos partenaires et entités affiliées qui vous permettent d'utiliser nos Services ;

  • les prestataires de vérification des antécédents, les services de vérification d'identité, le prestataire de services au titre de la règle de voyage de l'UE (TFR), les agences d'évaluation du crédit, les prestataires de vérification des personnes politiquement exposées (PPE) et des sanctions ;

  • les sources accessibles au public (par exemple, les registres officiels ou les bases de données d'entreprises au sein de l'UE, les données blockchain on-chain) ;

  • les courtiers et agrégateurs de données, dans la mesure où cela est légalement autorisé.

3.4 Catégories de données à caractère personnel traitées

Dans le cadre de l'exploitation de notre Plateforme et de la fourniture de nos Services, nous pouvons traiter les catégories de données à caractère personnel suivantes :

  • Données d'identification : nom complet, date et lieu de naissance, nationalité, numéro d'identification officiel, données du passeport/de la pièce d'identité.

  • Coordonnées : adresse de résidence, adresse électronique, numéro de téléphone.

  • Données financières et transactionnelles : origine des fonds et du patrimoine, coordonnées bancaires, données de carte de paiement (y compris le numéro de carte, la date d'expiration et le cryptogramme visuel), numéro d'identification fiscale (NIF), situation professionnelle et informations sur les revenus.

  • Données de vérification : résultats des vérifications PPE/sanctions, documents d'identité, certificats (par exemple, d'emploi, de succession).

  • Informations relatives à l'emploi : historique professionnel, formation, références d'employeurs le cas échéant.

  • Données d'utilisation de la Plateforme : historique de connexion, type d'appareil, préférences de l'utilisateur, historique des interactions.

  • Données relatives aux appareils : type d'appareil, système d'exploitation, identifiants uniques de l'appareil, journaux de plantage, type de navigateur.

  • Données de journaux : adresse IP, horodatages, localisation de connexion, journaux d'activité de l'utilisateur.

  • Données de compte et de transaction : soldes de compte, historique des transactions, instantanés de dépôts, garanties de vérification.

  • Données de visite sur site : enregistrements d'images ou vidéos réalisés lors de visites dans nos locaux.

  • Veuillez noter que certaines des données à caractère personnel que nous traitons sont vérifiées par rapport à des profils de risque et des listes de surveillance réglementaires afin de respecter les lois applicables en matière de lutte contre le blanchiment de capitaux et nos politiques internes KYC/LBC (par exemple, des vérifications auprès d'agences d'évaluation du crédit, d'agences anti-fraude, de listes de sanctions et de PPE).

4. Finalités du traitement de vos données à caractère personnel

Nous traitons vos données à caractère personnel pour les finalités décrites ci-après, conformément aux bases juridiques énoncées à l'art. 6, par. 1, du RGPD :

  • Fourniture des Services et gestion du compte : pour fournir et gérer l'accès à nos Services et à votre compte sur la Plateforme, notamment le traitement des transactions, l'authentification des utilisateurs, le service clientèle et l'assistance technique → art. 6, par. 1, let. b, du RGPD – exécution d'un contrat.

  • Respect des obligations légales et réglementaires : pour respecter les lois relatives à la LBC et au financement du terrorisme (FT), les obligations fiscales et comptables, et les exigences de conservation des données → art. 6, par. 1, let. c, du RGPD – obligation légale (par exemple, loi sur les marchés financiers relative à la lutte contre le blanchiment de capitaux, code fédéral des impôts, code de commerce, loi fédérale contre la concurrence déloyale).

  • Sécurité et intégrité des systèmes : pour garantir la sécurité et l'intégrité de nos systèmes, notamment la détection des fraudes, les mesures de sécurité informatique, la reprise après sinistre et les audits → art. 6, par. 1, let. f, du RGPD – intérêts légitimes.

  • Communications liées aux Services : pour communiquer avec vous concernant les mises à jour, les modifications ou les avis juridiques/administratifs relatifs à votre compte ou à l'utilisation de la Plateforme → art. 6, par. 1, let. b, ou let. c, du RGPD, selon le cas.

  • Exploitation et maintenance des sites internet et applications : pour exploiter, maintenir et améliorer nos sites internet et applications mobiles, notamment la personnalisation de l'interface utilisateur, la résolution des erreurs et la compatibilité entre les appareils et les systèmes → art. 6, par. 1, let. f, du RGPD – intérêts légitimes.

  • Gestion des médias sociaux et de la communauté : pour assurer la communication sur les médias sociaux et la gestion de la communauté, répondre aux demandes des utilisateurs, modérer les contenus et maintenir un environnement sûr sur nos canaux officiels → art. 6, par. 1, let. f, du RGPD – intérêts légitimes.

  • Vidéosurveillance des locaux : si vous visitez nos locaux, pour assurer la vidéosurveillance afin de protéger les biens de la société, la sécurité du personnel, des clients et des visiteurs, et pour prévenir la fraude, le vandalisme ou d'autres activités illicites → art. 6, par. 1, let. f, du RGPD – intérêts légitimes ; et, le cas échéant, art. 6, par. 1, let. a, du RGPD – consentement (sous réserve du droit national, par exemple les articles 12 et 13 du DSG).

  • Marketing et promotion : pour promouvoir nos Services et produits via des actions de marketing, des initiatives de croissance des utilisateurs et des campagnes promotionnelles (y compris la publicité ciblée, le suivi des performances et la prospection), sur la base de votre consentement lorsque requis → art. 6, par. 1, let. a, du RGPD – consentement ; ou art. 6, par. 1, let. f, du RGPD – intérêts légitimes.

  • Lettres d'information et communications optionnelles : lorsque vous avez donné votre consentement, pour vous envoyer des lettres d'information, des communications marketing et d'autres contenus optionnels → art. 6, par. 1, let. a, du RGPD – consentement (que vous pouvez retirer à tout moment).

Nous ne traiterons vos données à caractère personnel que dans la mesure nécessaire aux finalités déclarées et conformément aux principes de minimisation des données et de limitation des finalités.

Si vous ne fournissez pas les données à caractère personnel contractuellement ou légalement requises, nous pourrions ne pas être en mesure de fournir les Services associés à ces données.

5. Comment nous partageons vos données à caractère personnel

Conformément aux art. 13, par. 1, let. e, et 14, par. 1, let. e, du RGPD, nous pouvons partager vos données à caractère personnel avec les catégories de destinataires suivantes :

  • Sociétés du groupe et entités affiliées : aux fins de la fourniture et de l'amélioration de nos Services et de la Plateforme.

  • Prestataires de services informatiques : prestataires externes qui hébergent, maintiennent et sécurisent nos systèmes techniques et notre infrastructure.

  • Prestataires de services de paiement et financiers : prestataires de services de traitement des paiements, de services bancaires et d'infrastructure financière pour faciliter les transactions.

  • Prestataires de service clientèle et de communication : prestataires de plateformes de communication, de centres d'appels ou de systèmes de gestion des tickets utilisés pour le service clientèle.

  • Prestataires de vérification d'identité et de conformité : prestataires externes mandatés pour les vérifications d'identité, le contrôle LBC/FT, la règle de voyage (TFR), la vérification des listes PPE et de sanctions, et la prévention de la fraude.

  • Conseillers juridiques et auditeurs : avocats, auditeurs et autres professionnels, lorsque cela est nécessaire pour la conformité ou pour l'établissement, l'exercice ou la défense de droits en justice.

  • Autorités de surveillance et autorités publiques : organismes gouvernementaux ou réglementaires et autorités répressives, lorsque la loi l'exige ou sur demande légale.

  • Acquéreurs ou investisseurs potentiels : dans le cadre de transactions d'entreprise telles que des fusions, acquisitions ou cessions d'actifs, sous réserve d'obligations de confidentialité.

  • Prestataires de cloud et de stockage de données : prestataires d'infrastructure cloud et de stockage sécurisé des données.

  • Conseillers fiscaux externes : lorsque cela est nécessaire pour la conformité fiscale et les contrôles internes.

Lorsque ces destinataires traitent des données à caractère personnel pour notre compte, ils agissent en qualité de sous-traitants au sens de l'art. 28 du RGPD. Nous concluons des accords de traitement des données avec ces sous-traitants, leur imposant de :

  • n'agir que sur la base de nos instructions documentées ;

  • mettre en œuvre des mesures techniques et organisationnelles appropriées ; et

  • maintenir la confidentialité et la sécurité des données à caractère personnel.

Dans certains cas, les destinataires agissent en qualité de responsables du traitement indépendants, traitant les données à caractère personnel à leurs propres fins (par exemple, certains prestataires de services financiers soumis à leurs propres obligations en matière de LBC). Dans ces cas, les transferts de données sont fondés sur le fondement juridique pertinent de l'art. 6 du RGPD, et un accord de traitement au sens de l'art. 28 du RGPD n'est pas requis.

Dans des scénarios spécifiques, les données peuvent également être traitées dans le cadre d'une responsabilité conjointe au sens de l'art. 26 du RGPD, lorsque deux parties ou plus déterminent conjointement les finalités et les moyens du traitement. Dans ce cas, nous concluons un accord de responsabilité conjointe définissant les responsabilités respectives, notamment en ce qui concerne les droits des personnes concernées et les obligations d'information. L'essentiel d'un tel arrangement est mis à la disposition des personnes concernées sur demande.

Les communications aux autorités publiques, aux tribunaux et aux autorités de réglementation sont effectuées uniquement sur la base d'une obligation légale au sens de l'art. 6, par. 1, let. c, du RGPD, et ces entités agissent en qualité de responsables du traitement indépendants.

6. Transferts internationaux de données

Lorsque nous faisons appel à des destinataires situés en dehors de l'Espace économique européen (EEE), vos données à caractère personnel peuvent être transférées et traitées dans des pays tiers susceptibles de ne pas offrir le même niveau de protection des données que l'EEE.

Dans ce cas, nous veillons à ce que des garanties appropriées soient mises en œuvre conformément au chapitre V du RGPD, notamment :

  • le recours à une décision d'adéquation adoptée par la Commission européenne (art. 45 du RGPD) ; ou

  • en l'absence d'une décision d'adéquation, la conclusion de clauses contractuelles types (CCT) adoptées par la Commission européenne (art. 46, par. 2, let. c, du RGPD) ; ou

  • d'autres garanties appropriées au titre de l'art. 46 du RGPD, le cas échéant.

Nous faisons également appel à des prestataires de cloud réputés (par exemple, des services d'infrastructure dont les serveurs peuvent être situés dans des pays tiers tels que Singapour), ce qui peut impliquer des transferts transfrontaliers.

Conformément à l'arrêt de la CJUE dans l'affaire C-311/18 (« Schrems II »), nous procédons à des évaluations d'impact du transfert (EIT) afin d'évaluer le cadre juridique dans les pays destinataires et de garantir un niveau de protection essentiellement équivalent pour vos données à caractère personnel. Lorsque cela est nécessaire, nous mettons en œuvre des mesures supplémentaires (telles que le chiffrement et des contrôles d'accès stricts) pour compléter les CCT et atténuer les risques découlant des législations locales.

Vous pouvez demander des informations complémentaires ou une copie des garanties pertinentes en contactant notre DPD à l'adresse [email protected].

7. Sécurité de vos données à caractère personnel

Nous accordons la plus grande importance à la sécurité de vos données à caractère personnel. Conformément à l'art. 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles (MTO) appropriées pour assurer un niveau de sécurité adapté au risque, notamment une protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.

Ces mesures comprennent notamment :

  • les contrôles d'accès ;

  • le chiffrement ;

  • des évaluations et audits de sécurité réguliers ;

  • des pratiques sécurisées de développement logiciel.

Nos contrôles de sécurité sont régulièrement examinés et mis à jour conformément aux meilleures pratiques du secteur et aux évolutions techniques.

Afin de renforcer davantage la sécurité de votre compte et de vos données à caractère personnel, nous vous recommandons vivement de :

  • choisir des identifiants de connexion (nom d'utilisateur, mot de passe, PIN) très forts et uniques, et de les garder confidentiels ;

  • installer et mettre à jour régulièrement des logiciels antivirus, anti-espion et pare-feu ;

  • maintenir votre système d'exploitation et vos logiciels de sécurité à jour ;

  • désactiver le partage de fichiers et d'imprimantes inutile, en particulier sur les appareils connectés à internet ;

  • effectuer des sauvegardes régulières des données critiques ;

  • envisager l'utilisation de technologies de chiffrement pour les informations hautement sensibles ;

  • vous déconnecter complètement et vider le cache de votre navigateur après chaque session en ligne ;

  • éviter d'installer ou d'exécuter des logiciels provenant de sources inconnues ;

  • supprimer les courriels indésirables ou en chaîne et éviter d'ouvrir des pièces jointes provenant d'expéditeurs inconnus ;

  • éviter de communiquer des données personnelles ou financières à des sites internet non vérifiés ;

  • éviter d'utiliser des ordinateurs ou des appareils qui ne peuvent pas être considérés comme fiables ;

  • éviter d'accéder à votre compte depuis des ordinateurs publics ou partagés (par exemple, des cybercafés).

Vous devez nous notifier immédiatement à l'adresse [email protected] si vous constatez une utilisation non autorisée ou un accès non autorisé à votre compte ou à vos identifiants de connexion.

Bien que nous prenions toutes les mesures appropriées au titre de l'art. 32 du RGPD, vous êtes responsable du maintien de la confidentialité et de la sécurité de vos identifiants de connexion. Nous ne pouvons être tenus responsables d'un accès non autorisé ou d'une utilisation abusive de votre compte résultant de votre manquement à protéger adéquatement vos identifiants, sauf si cet accès résulte de notre propre manquement à mettre en œuvre des mesures de sécurité appropriées.

8. Vos droits en matière de protection des données

En vertu des articles 13 à 22 du RGPD, vous disposez des droits suivants concernant vos données à caractère personnel, sous réserve des conditions et limitations prévues par le RGPD :

  • Droit d'accès (art. 15 du RGPD) : obtenir la confirmation que nous traitons des données à caractère personnel vous concernant et, dans l'affirmative, l'accès à ces données et à des informations complémentaires (par exemple, finalités du traitement, catégories de données, destinataires).

  • Droit de rectification (art. 16 du RGPD) : obtenir la correction des données à caractère personnel inexactes et la complétude des données incomplètes.

  • Droit à l'effacement (« droit à l'oubli ») (art. 17 du RGPD) : demander la suppression de vos données à caractère personnel dans certaines circonstances (par exemple, lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement et qu'il n'existe pas d'autre fondement juridique).

  • Droit à la limitation du traitement (art. 18 du RGPD) : demander la limitation du traitement, par exemple lorsque l'exactitude des données est contestée ou lorsque le traitement est illicite et que vous vous opposez à l'effacement.

  • Droit à la portabilité des données (art. 20 du RGPD) : lorsque le traitement est fondé sur le consentement ou sur un contrat et effectué par des moyens automatisés, recevoir les données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.

  • Droit d'opposition (art. 21 du RGPD) : lorsque le traitement est fondé sur des intérêts légitimes (art. 6, par. 1, let. f, du RGPD), s'y opposer pour des raisons tenant à votre situation particulière. Nous cessons le traitement, sauf si nous démontrons des motifs légitimes impérieux qui prévalent sur vos intérêts, droits et libertés.

  • Droit de retrait du consentement : lorsque le traitement est fondé sur le consentement (art. 6, par. 1, let. a, du RGPD et/ou art. 9, par. 2, let. a, du RGPD), retirer votre consentement à tout moment. Le retrait ne porte pas atteinte à la licéité du traitement fondé sur le consentement avant ce retrait.

  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22 du RGPD) : ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significativement similaire, sauf dans les cas autorisés par le RGPD.

  • Droit d'introduire une réclamation (art. 77 du RGPD) : introduire une réclamation auprès de l'Autorité de contrôle, en particulier l'Autorité autrichienne de protection des données (Datenschutzbehörde – DSB), Barichgasse 40–42, 1030 Vienne, Autriche (https://www.dsb.gv.at).

  • Droit à réparation (art. 82 du RGPD) : si vous subissez un dommage matériel ou moral résultant d'une violation du RGPD, obtenir réparation du responsable du traitement ou du sous-traitant concerné.

Vous pouvez exercer ces droits gratuitement. Si les demandes sont manifestement infondées ou excessives (par exemple, en raison de leur caractère répétitif), nous pouvons :

  • exiger le paiement de frais raisonnables basés sur les coûts administratifs ; ou

  • refuser de donner suite à la demande.

Nous répondrons sans délai injustifié et, en tout état de cause, dans un délai d'un mois à compter de la réception de votre demande, conformément à l'art. 12, par. 3, du RGPD. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes. Vous serez informé(e) de toute prolongation et des motifs du retard.

Si nous ne sommes pas en mesure de donner suite à votre demande, nous vous en informerons dans un délai d'un mois à compter de la réception et vous en communiquerons les motifs. En cas de doute raisonnable quant à votre identité, nous pouvons demander des informations supplémentaires pour la vérifier (art. 12, par. 6, du RGPD).

Veuillez noter que dans certains cas, nous pourrions ne pas être en mesure de satisfaire votre demande, par exemple lorsque :

  • nous devons conserver des données pour respecter des obligations de conservation légales (par exemple, LBC, fiscalité, comptabilité) ;

  • nous devons conserver ou divulguer des données dans le cadre de procédures civiles, pénales ou réglementaires ;

  • nous devons conserver des données pour établir, exercer ou défendre des droits en justice ;

  • la suppression ou la limitation entrerait en conflit avec le secret professionnel ou des informations propriétaires protégées par la loi.

Pour toute préoccupation concernant notre utilisation de vos données à caractère personnel, vous pouvez nous contacter à l'adresse : [email protected]

9. Utilisation des cookies

Nous utilisons des cookies pour offrir une expérience de navigation sécurisée, conviviale et techniquement optimisée sur notre site internet (le « Site Internet »). En particulier, les cookies nous permettent de :

  • maintenir les sessions des utilisateurs entre les requêtes de pages ;

  • mémoriser vos préférences ;

  • améliorer la convivialité et les performances ;

  • faciliter la navigation ;

  • prendre en charge des fonctionnalités telles que l'état de connexion.

Pour les cookies techniquement nécessaires, le traitement est effectué dans le cadre de la poursuite de nos intérêts légitimes visant à fournir un site internet fonctionnant correctement → art. 6, par. 1, let. f, du RGPD.

Lorsque des cookies sont utilisés à des fins d'analyse, de marketing ou de personnalisation, nous ne traitons vos données que sur la base de votre consentement éclairé et librement donné (art. 165, par. 3, de la loi sur les télécommunications 2021, art. 6, par. 1, let. a, du RGPD). Vous pouvez retirer votre consentement à tout moment avec effet pour l'avenir.

  • Les cookies de session sont supprimés à la fermeture de votre navigateur.

  • Les cookies persistants restent stockés pendant une période définie ou jusqu'à ce que vous les supprimiez.

Vous disposez d'un contrôle total sur l'utilisation des cookies via les paramètres de votre navigateur. La plupart des navigateurs vous permettent de :

  • bloquer entièrement les cookies ;

  • être notifié(e) avant qu'un cookie soit enregistré ;

  • accepter les cookies uniquement dans certains cas ;

  • supprimer automatiquement les cookies à la fermeture du navigateur.

  • Remarque importante : si vous bloquez les cookies, certaines parties de notre Site Internet pourraient ne plus fonctionner comme prévu.

10. Protection des données en lien avec les crypto-actifs et les blockchains

Lors de l'utilisation de nos Services impliquant des crypto-actifs, certaines données à caractère personnel peuvent être traitées via des réseaux blockchain publics.

Les blockchains publiques sont des registres décentralisés qui enregistrent immuablement les transactions sur des réseaux distribués. Bien que les clés publiques ou les adresses de Wallet puissent ne pas identifier directement une personne, elles peuvent être qualifiées de données à caractère personnel au sens du RGPD, notamment lorsqu'elles peuvent être liées à un individu grâce à des informations supplémentaires.

Conformément à l'art. 5, par. 1, let. c, du RGPD (minimisation des données), nous cherchons à limiter l'enregistrement de données à caractère personnel sur les blockchains au strict nécessaire. Dans la mesure du possible, nous stockons les données d'identification supplémentaires hors chaîne (off-chain) et n'écrivons sur la chaîne (on-chain) que des identifiants pseudonymes (par exemple, des clés publiques).

Les réseaux blockchain ne sont généralement pas sous notre contrôle. Dans les blockchains publiques, il n'existe pas de relation hiérarchique entre les participants. Les mineurs, les validateurs et les opérateurs de nœuds agissent généralement de manière indépendante et sont qualifiés de responsables du traitement distincts au sens du RGPD.

En raison de la nature immuable des blockchains publiques, l'effacement ou la modification des données à caractère personnel stockées on-chain peut ne pas être techniquement réalisable. En conséquence, certains droits des personnes concernées (par exemple, la rectification ou l'effacement au titre des art. 16 et 17 du RGPD) peuvent être limités en pratique pour les données enregistrées sur une blockchain. Nous vous informerons toujours au préalable lorsqu'un traitement basé sur une blockchain est impliqué et vous expliquerons les limitations qui en résultent.

Lorsque des transactions basées sur une blockchain impliquent des transferts internationaux de données à caractère personnel, ces transferts peuvent être légitimés au titre de l'art. 49, par. 1, let. b, ou let. c, du RGPD dans la mesure nécessaire à l'exécution d'un contrat ou à la mise en œuvre de mesures précontractuelles prises à votre demande.

11. Conservation de vos données à caractère personnel

Nous conservons vos données à caractère personnel uniquement le temps nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées, y compris pour satisfaire aux exigences légales, comptables ou de déclaration.

En particulier :

  • Données liées au contrat – art. 6, par. 1, let. b, du RGPD : généralement conservées pendant la durée de la relation contractuelle et jusqu'à l'expiration des délais de prescription applicables (en principe 3 ans en droit civil autrichien – art. 1486 du Code civil général), sauf si une conservation plus longue est requise (par exemple, en cas de litiges en cours). Lorsque le délai de prescription étendu de 30 ans prévu à l'art. 1487 du Code civil général s'applique, les données peuvent être conservées jusqu'à 15 ans sur la base de considérations pratiques d'exécution.

  • Données fiscales et comptables : conservées pendant une durée minimale de 7 ans après la fin de l'année civile concernée, conformément à l'art. 132 du Code fédéral des impôts et à l'art. 212 du Code de commerce.

  • Données traitées sur la base du consentement – art. 6, par. 1, let. a, du RGPD : conservées jusqu'au retrait du consentement ou jusqu'à ce que les données ne soient plus nécessaires à la finalité d'origine. Tout traitement ultérieur n'a lieu que lorsque la loi l'exige (par exemple, obligations de conservation fiscale ou délais de prescription).

  • Données KYC/LBC : peuvent être conservées au-delà des délais standards, par exemple jusqu'à 10 ans après la cessation de la relation commerciale, conformément à la loi sur les marchés financiers relative à la lutte contre le blanchiment de capitaux et aux réglementations connexes.

Dès l'expiration du délai de conservation applicable et en l'absence de toute autre finalité légitime, les données seront supprimées de manière sécurisée ou anonymisées conformément au droit applicable.

12. Prise de décision automatisée et profilage

Nous n'utilisons pas vos données à caractère personnel à des fins de prise de décision automatisée, y compris le profilage, au sens de l'art. 22, par. 1 et 4, du RGPD. Vous n'êtes soumis(e) à aucune décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant ou vous affectant de manière significativement similaire.

13. Enfants de moins de 14 ans

Nos Services ne sont pas destinés aux enfants de moins de 14 ans.

Lorsque nous proposons des services de la société de l'information directement à un enfant et que nous nous appuyons sur le consentement au titre de l'art. 6, par. 1, let. a, du RGPD, ce consentement n'est valable que si l'enfant est âgé d'au moins 14 ans conformément à l'art. 4, par. 4, du DSG. Si l'enfant est âgé de moins de 14 ans, le traitement n'est licite que si et dans la mesure où le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.

Si nous apprenons que nous avons collecté des données à caractère personnel auprès d'un enfant de moins de 14 ans sans consentement valable, nous supprimerons ces données sans délai injustifié, sauf si nous sommes légalement tenus de les conserver.

14. Nous contacter

Pour toute question concernant la présente Politique ou la manière dont nous traitons vos données à caractère personnel, ou si vous souhaitez exercer vos droits au titre des art. 15 à 22 du RGPD (par exemple, accès, rectification, effacement, limitation, opposition, portabilité des données), vous pouvez nous contacter à :

Adresse électronique : [email protected]

15. Modifications de la Politique

La présente Politique est à jour à la date d'entrée en vigueur indiquée ci-après. Nous pouvons la modifier périodiquement. Toute modification sera publiée sur le site internet de Cryptonow.

Date d'entrée en vigueur : 1er février 2026