La présente Politique de confidentialité explique comment CoinKirin (le « Service », « nous » ou « notre ») collecte, utilise, partage et protège les données personnelles des visiteurs et des utilisateurs enregistrés (« vous »). Elle est rédigée pour se conformer au Règlement général sur la protection des données de l'UE (RGPD), au California Consumer Privacy Act (CCPA/CPRA) et à la loi sur la protection des informations personnelles de la République populaire de Chine (PIPL). En utilisant CoinKirin, vous reconnaissez avoir lu et compris cette Politique.
1. Responsable du traitement
L'entité responsable du traitement de vos données personnelles (le « responsable du traitement » selon le RGPD ou le « gestionnaire des informations personnelles » selon la PIPL) est :
- Entité: CoinKirin.com
- Contact général pour la confidentialité: privacy@coinkirin.com
- Délégué à la protection des données (DPD): dpo@coinkirin.com
- Représentant dans l'UE (art. 27 du RGPD): Nous sommes en train de désigner un représentant dans l'UE. En attendant, veuillez nous contacter à privacy@coinkirin.com.
- Représentant PIPL en Chine: Pas encore désigné. Les utilisateurs chinois peuvent contacter privacy@coinkirin.com avec l'objet « PIPL Request ».
2. Catégories de données personnelles collectées
Nous collectons le minimum de données nécessaires au fonctionnement du Service. Concrètement, nous traitons les catégories suivantes de données personnelles :
Données du compte
Adresse e-mail, mot de passe (stocké uniquement en tant que hash bcrypt avec un facteur de coût de 12 — nous ne voyons ni ne stockons jamais le texte en clair), secret TOTP pour l'authentification à deux facteurs (chiffré au repos avec AES-GCM), nom d'affichage, horodatage de création du compte.
Préférences utilisateur
Langue, thème, région, préférences de notification, préférence de devise.
Données financières (saisies par l'utilisateur)
Positions de portefeuille, entrées de watchlist, règles d'alertes de prix. Ces données sont saisies volontairement par vous et ne sont jamais transmises à des courtiers ou plateformes d'échange externes — elles servent uniquement aux fonctionnalités que vous demandez.
Données d'appareil et techniques
Adresse IP (tronquée à /24 avant utilisation en analytique), chaîne User-Agent, empreinte d'appareil / identifiant d'appareil du refresh token, résolution d'écran et langue (optionnels, côté client uniquement).
Données d'usage
Pages vues, fonctionnalités utilisées, requêtes de recherche, événements de clic, Core Web Vitals (LCP, CLS, INP) et rapports d'erreurs anonymisés.
Cookies et technologies similaires
Cookies strictement nécessaires (session, CSRF, langue), cookies de préférence (thème), et — uniquement avec votre consentement explicite — cookies d'analytique. Consultez notre politique des cookies pour la liste complète.
Nous ne collectons pas intentionnellement de données de catégories particulières (origine raciale, religion, santé, orientation sexuelle, opinions politiques, données biométriques ou génétiques). Veuillez ne pas nous soumettre de telles données.
3. Comment nous collectons vos données
Nous obtenons des données personnelles de la manière suivante :
Directement de vous
Lorsque vous créez un compte, modifiez votre profil, saisissez des positions de portefeuille, soumettez une demande d'assistance ou interagissez de toute autre manière avec le Service.
Automatiquement
Via les cookies, les journaux serveur et les analyses d'usage lorsque vous visitez le Service.
De tiers
Cloudflare nous fournit des informations approximatives sur le pays déduites de votre adresse IP à des fins de sécurité et de localisation. Nous n'achetons pas de données personnelles auprès de courtiers en données.
4. Finalités du traitement et bases légales
En application de l'article 6 du RGPD, nous ne traitons vos données personnelles que lorsque au moins une base légale s'applique. Le tableau ci-dessous présente nos finalités et la base légale correspondante :
| Finalité | Base juridique |
|---|---|
| Fourniture du Service (création de compte, authentification, diffusion de données de marché, fonctionnalités de portefeuille et de watchlist) | Exécution d'un contrat (art. 6.1.b du RGPD) |
| Sécurité, prévention des abus et détection de fraude (limitation de débit, CAPTCHA, détection d'anomalies, journalisation d'audit) | Intérêts légitimes (art. 6.1.f du RGPD) |
| E-mails transactionnels (vérification d'e-mail, réinitialisation de mot de passe, alertes de sécurité, messages de bienvenue) | Exécution d'un contrat / intérêts légitimes |
| Analytique produit et amélioration du Service | Intérêts légitimes, avec opt-out via les paramètres de cookies |
| E-mails marketing et contenu promotionnel (fonctionnalité future) | Consentement (art. 6.1.a du RGPD) ; vous pouvez retirer votre consentement à tout moment |
| Respect des obligations légales (registres fiscaux, réponse aux demandes légales) | Obligation légale (art. 6.1.c du RGPD) |
5. Conservation des données
Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour atteindre les finalités décrites ci-dessus, ou comme l'exige la loi. Concrètement :
- Données du compte : pendant la durée de vie de votre compte actif. Après votre demande de suppression, votre compte entre dans une période de grâce de suppression logique de 30 jours durant laquelle vous pouvez le restaurer ; après cela, il est définitivement supprimé.
- Journaux d'audit (généraux) : 1 an.
- Journaux d'audit couvrant les événements critiques (actions d'administrateur, suppressions de compte, incidents de sécurité) : jusqu'à 7 ans, lorsque requis pour la conformité réglementaire.
- Rapports d'erreurs client : 90 jours (TTL automatique).
- Données d'analytique : 90 jours (TTL automatique), après quoi elles sont supprimées ou entièrement agrégées / anonymisées.
- Refresh tokens : 30 jours maximum ; les tokens expirés sont purgés automatiquement.
- Sauvegardes : jusqu'à 35 jours, chiffrées au repos, puis rotées.
6. Comment nous partageons vos données
Nous ne vendons pas vos données personnelles. Nous ne partageons pas vos données personnelles à des fins de publicité comportementale inter-contextuelle au sens du CCPA/CPRA.
Nous nous appuyons sur un nombre limité de sous-traitants ultérieurs de confiance qui agissent sur nos instructions dans le cadre d'accords écrits de traitement de données (DPA) avec clauses contractuelles types (CCT) lorsque applicable :
Sous-traitants actifs
| Fournisseur | Service | Données traitées | Localisation | DPA / CSC |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, protection DDoS, WAF, Turnstile (anti-bot), Access (tunnel zero-trust) | Adresses IP, user-agent, métadonnées TLS, chemins de requête, jetons de challenge Turnstile | États-Unis (edge mondial ; PoPs UE disponibles) | DPA + SCC (Module 2) |
Nous annonçons les nouveaux sous-traitants au moins 30 jours avant leur activation via un article de blog et sur cette page. Vous avez le droit de vous opposer à un nouveau sous-traitant conformément à l'art. 28(2) du RGPD.
Sous-traitants prévus / conditionnels
Les suivants ne sont pas actuellement engagés mais figurent dans notre feuille de route. Nous annoncerons leur activation 30 jours à l'avance.
- Grafana Labs, Inc. (Grafana Cloud) — En cas de migration de l'observabilité depuis l'auto-hébergement
- Anthropic, PBC — Lors du lancement des fonctionnalités IA / MCP
Ne sont pas sous-traitants
Les fournisseurs suivants ne traitent pas de données personnelles d'utilisateurs et ne sont donc pas listés comme sous-traitants : GitHub (hébergement de code uniquement), npm / Go module proxy (dépendances), Let's Encrypt (certificats TLS), Docker Hub (distribution d'images).
Droit d'opposition
Vous pouvez vous opposer à tout moment à un nouveau sous-traitant en écrivant à dpo@coinkirin.com. Si nous ne pouvons raisonnablement donner suite à votre opposition, vous conservez le droit de supprimer votre compte et d'exporter vos données au préalable.
Divulgations légales
Nous pouvons divulguer des données personnelles lorsque la loi applicable, une ordonnance judiciaire ou une procédure légale valide l'exige — par exemple, en réponse à une citation à comparaître ou à une demande réglementaire. Lorsque la loi le permet, nous en informerons les utilisateurs concernés avant la divulgation.
Transferts d'entreprise
Si CoinKirin est impliqué dans une fusion, acquisition ou cession d'actifs, vos données personnelles peuvent être transférées dans le cadre de cette transaction. Nous informerons les utilisateurs et offrirons un choix significatif lorsque requis par la loi.
7. Transferts internationaux de données
Les sauvegardes et l'infrastructure des sous-traitants ultérieurs peuvent également se trouver aux États-Unis.
Pour les utilisateurs situés dans l'Espace économique européen, au Royaume-Uni et en Suisse, les transferts de données personnelles vers les États-Unis s'appuient sur les Clauses contractuelles types (CCT) de la Commission européenne comme garantie appropriée au titre de l'article 46 du RGPD. Une copie des CCT peut être demandée à privacy@coinkirin.com.
Pour les utilisateurs du Royaume-Uni, nous nous appuyons sur le UK International Data Transfer Addendum aux CCT.
Pour les utilisateurs en République populaire de Chine, vos informations personnelles seront transférées, stockées et traitées en dehors de Chine continentale, principalement aux États-Unis. En créant un compte et en utilisant CoinKirin, vous consentez expressément à ce transfert transfrontalier de vos informations personnelles, comme requis par les articles 38-39 de la PIPL. Vous pouvez retirer ce consentement à tout moment en supprimant votre compte ; notez que nous ne pouvons pas fournir le Service sans un tel transfert.
8. Vos droits
Selon votre lieu de résidence, vous disposez des droits suivants concernant vos données personnelles. Nous respectons ces droits pour tous les utilisateurs dans la mesure la plus large possible, indépendamment de la juridiction.
Droit d'accès / droit de savoir
Vous pouvez demander une copie des données personnelles que nous détenons à votre sujet. Les utilisateurs enregistrés peuvent exporter leurs données à tout moment via /api/v1/auth/me/export (« Exporter mes données » dans les paramètres du profil). (Art. 15 du RGPD / droit de savoir du CCPA / art. 45 de la PIPL.)
Droit de rectification
Vous pouvez rectifier des données personnelles inexactes ou incomplètes depuis la page de votre profil. Pour les données que vous ne pouvez pas modifier directement, contactez privacy@coinkirin.com. (Art. 16 du RGPD.)
Droit à l'effacement / droit de suppression
Vous pouvez supprimer votre compte depuis la page de profil. La suppression déclenche une période de suppression en douceur de 30 jours, après laquelle votre compte et les données personnelles associées sont effacés définitivement des systèmes de production. Les sauvegardes contenant vos données expirent sous 35 jours. (Art. 17 du RGPD / droit à la suppression du CCPA / art. 47 de la PIPL.)
Droit à la limitation du traitement
Vous pouvez nous demander de limiter le traitement de vos données personnelles dans certaines situations (par exemple, pendant que vous en contestez l'exactitude). Contactez privacy@coinkirin.com. (Art. 18 du RGPD.)
Droit à la portabilité des données
Le point de terminaison d'exportation des données renvoie vos données dans un format JSON structuré, couramment utilisé et lisible par machine. (Art. 20 du RGPD / art. 45 de la PIPL.)
Droit d'opposition
Vous pouvez vous opposer au traitement fondé sur les intérêts légitimes, y compris la prospection directe. Chaque e-mail marketing contient un lien de désabonnement en un clic. (Art. 21 du RGPD.)
Droit de retirer le consentement
Lorsque le traitement est fondé sur le consentement (par ex. cookies d'analytique, e-mails marketing), vous pouvez retirer votre consentement à tout moment via notre bannière de cookies (« Tout refuser ») ou en vous désabonnant.
Droit relatif à la prise de décision automatisée
Nous ne soumettons pas les utilisateurs à des décisions prises uniquement sur la base d'un traitement automatisé produisant des effets juridiques ou similaires importants.
Droits spécifiques à la Californie (CCPA/CPRA)
Les résidents californiens peuvent également demander la divulgation des catégories d'informations personnelles collectées, des sources de ces informations, de la finalité commerciale de leur collecte et des catégories de tiers avec qui elles sont partagées. Nous ne vendons pas vos informations personnelles et ne l'avons pas fait au cours des 12 derniers mois.
Droits spécifiques à la PIPL
Les utilisateurs en Chine disposent de droits équivalents à ceux ci-dessus, plus le droit de faire transférer une copie de leurs informations personnelles à un autre gestionnaire, et le droit de déposer une plainte auprès de la Cyberspace Administration of China (CAC).
Droit de déposer une plainte
Vous pouvez déposer une plainte auprès de votre autorité locale de protection des données. Les utilisateurs de l'UE peuvent localiser leur autorité sur https://edpb.europa.eu/about-edpb/about-edpb/members_en. Nous apprécierions cependant d'abord la possibilité de répondre directement à vos préoccupations — veuillez écrire à privacy@coinkirin.com.
Comment exercer ces droits
Lorsque c'est possible, nous avons intégré des outils en libre-service au Service (exportation, suppression, désabonnement). Pour toute autre demande, envoyez un e-mail à privacy@coinkirin.com. Nous répondrons dans un délai de 30 jours (RGPD / PIPL) ou de 45 jours (CCPA). Nous pouvons vous demander de vérifier votre identité avant de donner suite à une demande.
9. Données des enfants
CoinKirin n'est pas destiné aux personnes de moins de 18 ans et nous ne dirigeons pas sciemment le Service vers ces personnes. En particulier, nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 13 ans (COPPA aux États-Unis) ou de moins de 16 ans (art. 8 du RGPD dans l'UE). Si nous apprenons que nous avons collecté des données personnelles auprès d'un enfant sans consentement parental, nous les supprimerons rapidement et, le cas échéant, en informerons le parent ou le tuteur. Si vous pensez que nous avons collecté des données auprès d'un enfant, veuillez contacter privacy@coinkirin.com.
10. Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, notamment :
- Chiffrement TLS 1.2+ pour toutes les données en transit.
- Chiffrement AES-GCM au repos pour les secrets TOTP et autres champs hautement sensibles.
- Mots de passe hachés avec bcrypt au facteur de coût 12 — jamais stockés ni transmis en clair.
- HTTPS uniquement, HSTS préchargé, Content Security Policy (CSP) stricte et en-têtes de sécurité modernes.
- Limitation de débit, CAPTCHA Cloudflare Turnstile sur les endpoints sensibles, et authentification à deux facteurs TOTP optionnelle pour les comptes utilisateurs.
- Journalisation d'audit exhaustive pour toutes les actions administratives.
- Principe du moindre privilège pour l'accès des employés, avec revues d'accès et permissions basées sur les rôles.
- Analyse régulière des dépendances et application des correctifs de sécurité.
Bien que nous prenions la sécurité au sérieux, aucun système n'est sûr à 100 %. Vous êtes responsable de la confidentialité des identifiants de votre compte.
11. Notification de violation de données
Dans le cas peu probable d'une violation de données personnelles, nous notifierons l'autorité de contrôle compétente sans retard injustifié et, lorsque cela est possible, dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous notifierons également directement par e-mail et notification in-app sans retard injustifié.
12. Modifications de cette politique de confidentialité
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre pour refléter des changements dans nos pratiques, notre technologie, des exigences légales ou d'autres facteurs. Les modifications substantielles seront notifiées aux utilisateurs enregistrés par e-mail (lorsqu'une adresse est disponible) et via une annonce visible sur le Service au moins 14 jours avant leur entrée en vigueur. La date de « dernière mise à jour » en haut de cette page reflète toujours la version en vigueur.
Les versions antérieures de cette politique sont archivées. Pour demander une copie d'une version historique, écrivez à privacy@coinkirin.com.
13. Comment nous contacter
Pour toute question relative à la confidentialité ou pour exercer vos droits, veuillez utiliser le canal approprié ci-dessous :
- Demandes générales de confidentialité: privacy@coinkirin.com
- Délégué à la protection des données: dpo@coinkirin.com
- Demandes CCPA de Californie: privacy@coinkirin.com — objet : « CCPA Request »
- Demandes PIPL de Chine: privacy@coinkirin.com — objet : « PIPL Request »
- Courrier postal: Contactez-nous d'abord par e-mail ; une adresse postale sera fournie sur demande.