Politique de Confidentialité de la Plateforme invstore®

1. Objet et champ d’application

La présente Politique de Confidentialité (ci-après la « Politique ») décrit les modalités selon lesquelles Sowhat S.A.S., société par actions simplifiée au capital de 50.000 €, opérant en France et immatriculée au RCS de Lyon sous le numéro B 981 844 459 (ci-après « la Société »), opère, en qualité de Responsable du traitement (art. 4(7) RGPD), le traitement des données à caractère personnel des utilisateurs particuliers (ci-après les « Utilisateurs ») de la plateforme invstore® (ci-après la « Plateforme »).

La Plateforme propose (i) un service principal de mise en relation entre Utilisateurs et professionnels de la finance vérifiés (ORIAS/AMF/ACPR) et (ii) une fonctionnalité secondaire d’open banking opérée via Powens conformément à la Directive (UE) 2015/2366 dite DSP2.

La Politique est établie en conformité avec :

• le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD),
• la Loi n°78-17 du 6 janvier 1978 modifiée (LIL),
• la DSP2 et les dispositions pertinentes du Code monétaire et financier.

Elle complète les Conditions Générales d’Utilisation (CGU). En cas de contradiction, la Politique prévaut pour les aspects « protection des données ».

---

2. Qualité des acteurs et rôles

• Responsable du traitement : Sowhat S.A.S. pour l’ensemble des traitements nécessaires à l’exploitation de la Plateforme (création de compte, onboarding, matching IA, messagerie, sécurité, conformité, open banking en tant qu’orchestrateur fonctionnel).

• Sous-traitants (art. 28 RGPD) contractuellement engagés :

  • Hébergeur basé et opérant au sein de l’Union Européenne : infrastructure et sauvegardes.
  • Prestataire IA : exécution d’analyses sur données anonymisées à des fins d’information préliminaire.
  • Outils de communication : messagerie in-app, courriel transactionnel, système d’organisation de rendez-vous.

• Powens : dans le cadre des services Open Banking fournis sur la Plateforme, Powens agit au minimum en qualité de prestataire de services d’information sur les comptes (AISP), susceptible d’être responsable de traitement pour certains volets réglementaires DSP2 et sous-traitant pour les flux strictement instruits par la Société. Les responsabilités sont précisées dans la documentation contractuelle de Powens et prévalent pour la conformité DSP2.

• Professionnels (ORIAS/AMF/ACPR) : responsables de traitement indépendants pour leurs propres traitements (devoirs réglementaires, conseil, distribution, LCB/FT, conformité). Aucun accès à l’identité ni aux coordonnées de l’Utilisateur avant consentement explicite de ce dernier via la Plateforme.

---

3. Catégories de données traitées (art. 14(1)(d) RGPD)

Selon les cas d’usage et principe de minimisation (art. 5(1)(c) RGPD) :

1. Données d’identification : nom, prénom, adresse e-mail, numéro de téléphone, identifiant de compte, préférences, etc.
2. Données de profilage patrimonial/financier (saisies lors de l’onboarding) : situation personnelle et patrimoniale, revenus/plans d’épargne indicatifs, objectifs, horizon d’investissement, contraintes, centres d’intérêt produits, etc.
3. Données DSP2 issues de l’open banking (optionnel, via Powens) : soldes, historiques de transactions, catégories de dépenses/revenus, métadonnées de comptes. Aucun identifiant bancaire (PSU credentials) n’est accessible à la Société.
4. Données d’usage et techniques : logs applicatifs, événements de sécurité, adresse IP, identifiants techniques d’appareil, version applicative, paramètres de performance.
5. Échanges et contenus : messages dans la messagerie, notes, documents volontairement partagés par l’Utilisateur.
6. Gestion de la relation et conformité : preuves d’opt-in/opt-out, horodatages des consentements, traçabilité des accès, facturation, prévention de la fraude.

Données sensibles (art. 9 RGPD) : invstore® ne sollicite pas de données relevant de catégories particulières. Toute communication spontanée de telles données par l’Utilisateur est fortement déconseillée et pourra être supprimée.

---

4. Finalités et bases légales (art. 6 RGPD)

1. Création et gestion de compte; support, notifications, sécurité :

   • Base légale : exécution du contrat (art. 6(1)(b)) et intérêt légitime (art. 6(1)(f)) pour la sécurité/anti-fraude.

2. Onboarding & profilage patrimonial/financier (questionnaire) pour matching avec des Professionnels :

   • Base légale : consentement explicite (art. 6(1)(a)).

3. Analyse préliminaire par Intelligence Artificielle sur données anonymisées pour produire des informations indicatives :

   • Base légale : consentement (art. 6(1)(a)).
   • Absence de décisions automatisées produisant des effets juridiques au sens de l’art. 22 RGPD.

4. Mise à disposition anonyme aux Professionnels (consultation de la fiche profil sans identité/coordonnées) :

   • Base légale : exécution du contrat (art. 6(1)(b)) et consentement (art. 6(1)(a)) pour l’utilisation des informations de profil.

5. Communication des coordonnées à un Professionnel (si l’Utilisateur décide d’avancer) :

   • Base légale : consentement explicite (art. 6(1)(a)).

6. Open banking via Powens (optionnel) :

   • Base légale : consentement (art. 6(1)(a)) et obligations DSP2 (art. 6(1)(c)) relevant de Powens.

7. Conformité réglementaire, contentieux, prévention de la fraude :

   • Base légale : obligation légale (art. 6(1)(c)) et intérêt légitime (art. 6(1)(f)).

8. Amélioration produit, statistiques agrégées non identifiantes :

   • Base légale : intérêt légitime (art. 6(1)(f)), avec anonymisation lorsque possible.

---

5. Destinataires et accès (art. 13(1)(e), 14(1)(e) RGPD)

• Interne Société : équipes habilitées (sécurité, produit, support, conformité), sur la base du moindre privilège et de la need-to-know policy.
• Sous-traitants (UE/EEE prioritairement) : hébergeur, prestataire IA, envoi d’e-mails, outils de support. Accords de sous-traitance (art. 28 RGPD), instructions documentées, mesures techniques/organisationnelles (art. 32).
• Powens (DSP2) : accès strictement nécessaire à l’exécution des services d’information sur les comptes.
• Professionnels : accès uniquement à une fiche anonyme (aucune identité/coordonnées) jusqu’au consentement explicite de l’Utilisateur pour la levée d’anonymat.
• Autorités/juridictions : lorsque requis (obligation légale, réquisition, exercice/défense de droits). Aucune vente de données personnelles.

---

6. Transferts hors UE/EEE (chap. V RGPD)

La Société privilégie des traitements et hébergements au sein de l’UE/EEE.Si un transfert hors UE/EEE s’avère nécessaire :

• (i) vers un pays disposant d’une décision d’adéquation (art. 45), ou
• (ii) via des clauses contractuelles types (SCC) approuvées (art. 46), complétées le cas échéant par des mesures additionnelles (chiffrement, pseudonymisation, segmentation), après évaluation de l’encadrement juridique local (EDPB) et vérification continue.

---

7. Durées de conservation (art. 5(1)(e) RGPD)

• Compte & profil : durée d’utilisation active + 1 mois après suppression (logs/traçabilité), puis suppression/anonymisation, sauf obligations légales supérieures (prescription, défense des droits).
• Données open banking (via Powens) : durées DSP2/contractuelles applicables chez Powens ; la Plateforme ne conserve que ce qui est nécessaire au service et à la preuve des consentements.
• Journaux techniques & sécurité : 6 à 24 mois selon la finalité (détection incidents, forensic, lutte fraude).
• Messagerie : durée de la relation + 12 mois après suppression du compte, sauf conservation requise par la loi.

Les durées sont documentées dans un registre interne de traitements (art. 30 RGPD) et révisées périodiquement.

---

8. Droits des personnes (art. 12 à 22 RGPD)

L’Utilisateur dispose des droits suivants :

• Accès (art. 15), Rectification (art. 16), Effacement (art. 17), Limitation (art. 18), Portabilité (art. 20), Opposition (art. 21), et retrait du consentement à tout moment (sans effet rétroactif).
• Directives post-mortem (art. 85 LIL) : l’Utilisateur peut définir le sort de ses données après son décès. Exercice des droits : via contact@sowhat-app.com (ou espace compte). Une preuve d’identité peut être demandée. Réponse sous un (1) mois (prolongeable de deux mois pour complexité/volume).

Réclamation : CNIL (www.cnil.fr).

---

9. Spécificités du matching & absence de décision automatisée (art. 22 RGPD)

Le matching assisté par IA génère des informations indicatives basées sur les réponses d’onboarding et, le cas échéant, des données agrégées issues de l’open banking.

Il n’emporte aucune décision produisant des effets juridiques ou affectant l’Utilisateur de manière significative au sens de l’art. 22 RGPD. L’Utilisateur conserve plein contrôle des suites à donner et peut refuser toute mise en relation.

---

10. Modalités propres à l’open banking (DSP2)

• Connexion bancaire optionnelle via Powens (AISP), conformément aux art. L.523-1 et s. CMF et à la DSP2.
• Consentement explicite requis, révocable à tout moment depuis la Plateforme.
• Aucun ordre de paiement, aucune initiation de virement, aucune interaction avec les fonds.
• Identifiants bancaires jamais accessibles à la Société.
• Les obligations prudentielles, de sécurité forte (SCA) et de conformité DSP2 incombent au prestataire agréé pour son périmètre.

---

11. Relations avec les Professionnels

• Avant consentement : fiche anonyme (pas d’identité/coordonnées).
• Après consentement explicite de l’Utilisateur : transmission ciblée des coordonnées pour permettre l’échange direct et, le cas échéant, l’entrée en relation réglementée.
• Les Professionnels agissent en responsables de traitement indépendants pour leurs propres finalités (conseil, distribution, LCB/FT, reporting régulatoire). Ils doivent fournir leur propre information RGPD à l’Utilisateur.

---

12. Mineurs

Le service est réservé aux personnes majeures (18 ans révolus). Aucune inscription mineur n’est autorisée.

---

13. Cookies / SDK / traceurs

La version actuelle de la Plateforme limite les traceurs au strict nécessaire au fonctionnement, à la sécurité et à la mesure d’audience exempte de consentement lorsque les conditions CNIL sont réunies (données agrégées, finalités limitées, durée courte, absence de recoupement).

Si des traceurs soumis au consentement devaient être ajoutés (publicité, retargeting, analytics non exemptés), un bandeau CMP conforme (TCF ou équivalent) serait déployé.

---

14. Modifications de la Politique

La Politique peut être mise à jour pour refléter l’évolution légale, réglementaire, technique ou fonctionnelle. L’Utilisateur est informé des modifications substantielles (notification in-app/e-mail). La version à jour est disponible sur la Plateforme et applicable à compter de son entrée en vigueur. Lorsque la base est le consentement, une nouvelle collecte pourra être sollicitée.

---

15. Contact, DPO et réclamations

• Contact général & droits : contact@sowhat-app.com
• Autorité de contrôle : CNIL – www.cnil.fr

---

16. Loi applicable

Droit applicable : droit français. Juridictions compétentes : Tribunaux de Lyon.