Politique de confidentialité
Version : 0.1-draft
Date : [À INSÉRER]
Statut : Testnet / Bêta — application non encore disponible en production
1. Responsable du traitement
[À DÉFINIR — entité juridique : dénomination sociale, forme, adresse du siège, numéro d'immatriculation, pays]
Contact : voir section 13.
2. Principe général — Privacy by design, non-custodial, sans compte
BaoMoney est un portefeuille (wallet) cryptomonnaies non-custodial : l’éditeur n’a jamais accès à vos clés privées, à votre phrase de récupération (12 mots), ni à vos fonds. Vous êtes le seul détenteur de vos actifs.
L’application repose sur les principes suivants :
- Aucun compte utilisateur, aucune inscription, aucun KYC. BaoMoney ne demande ni nom, ni adresse électronique, ni numéro de téléphone, ni aucune pièce d’identité.
- Vos données sensibles ne quittent jamais votre appareil. Clés privées, phrase de récupération, adresses de portefeuille, soldes et historique de transactions sont chiffrés localement et ne sont jamais transmis à l’éditeur à des fins de collecte (voir §6 — données on-chain publiques — et §8 — nœuds RPC).
- Collecte minimale. En dehors des données expressément décrites aux sections 4 et 5 ci-après, et uniquement sur accord explicite de l’utilisateur, aucune donnée n’est collectée.
3. Données que nous NE collectons PAS
Les données suivantes ne sont pas collectées, ni stockées, ni transmises à l’éditeur (voir §6 — données on-chain publiques — et §8 — nœuds RPC) :
- Nom, prénom, pseudonyme
- Adresse électronique
- Numéro de téléphone
- Adresse postale
- Date de naissance
- Pièce d’identité ou justificatif KYC de toute nature
- Clés privées de portefeuille
- Phrase de récupération (seed phrase / mnémotechnique 12 mots)
- Adresses de portefeuille de l’utilisateur
- Soldes de comptes et de tokens
- Historique personnel de transactions
- Identifiants publicitaires (GAID, IDFA ou équivalents)
- Données de localisation (GPS ou réseau)
- Données biométriques (empreinte digitale, reconnaissance faciale) (utilisées localement par le système d’exploitation / Keystore-StrongBox, jamais transmises ni stockées par l’éditeur)
- Données de navigation inter-applications
4. Données traitées uniquement sur opt-in (télémétrie et rapports de crash)
4.1 Télémétrie technique
Activation : désactivée par défaut. Activée uniquement si l’utilisateur le choisit explicitement dans les paramètres de l’application.
Nature des données collectées : traces techniques au format OTLP (OpenTelemetry Protocol) — événements de performance applicative, durées d’exécution, codes de résultat d’opérations techniques. Ces traces sont soumises avant tout envoi à un scrubber fail-closed (filtrage en cas d’échec = aucune émission) qui supprime systématiquement :
- adresses de portefeuille,
- montants de transactions,
- hashs de transactions,
- identifiants d’appareil,
- tout fragment de phrase de récupération.
Aucune valeur financière, aucune donnée d’identité n’est présente dans les données transmises.
Finalité : amélioration des performances techniques et de la stabilité de l’application.
Base légale : consentement de l’utilisateur [à vérifier : formulation conforme RGPD art. 6(1)(a) ou cadre local applicable].
Retrait du consentement : l’utilisateur peut désactiver la télémétrie à tout moment dans les paramètres. La désactivation prend effet immédiatement ; aucune donnée n’est transmise postérieurement.
Durée de conservation : données agrégées conservées environ 30 jours [à vérifier : durée justifiable au regard du principe de minimisation].
4.2 Rapports de crash
Activation : désactivés par défaut. Activés uniquement si l’utilisateur le choisit explicitement dans les paramètres.
Nature des données collectées : pile d’appel technique (stack trace) et message d’exception, après passage par le même scrubber fail-closed décrit en 4.1. Le scrubber supprime toute valeur (montants, adresses, mots de passe, fragments de phrase). Aucun contenu utilisateur n’est inclus.
Finalité : diagnostic et correction des défauts techniques.
Base légale : consentement de l’utilisateur [à vérifier].
Retrait du consentement : désactivation immédiate dans les paramètres.
Durée de conservation : [à définir — aligner sur la politique de rétention des logs techniques].
5. Support utilisateur
Code support anonyme
Si vous contactez le support, l’application génère localement un code support anonyme à usage unique. Ce code est calculé sur l’appareil et ne contient, par construction, aucune donnée personnelle (ni identifiant, ni adresse, ni solde). Il permet uniquement de corréler une session de support avec un ticket, sans identifier l’utilisateur.
Tickets de support
Le support est géré via une solution auto-hébergée par l’éditeur (Chatwoot [à vérifier : préciser l'hébergement géographique et le sous-traitant éventuel]). Le contenu d’un ticket de support ne comprend que :
- le code support anonyme,
- les informations que l’utilisateur choisit librement de communiquer dans ses messages.
Ne communiquez jamais votre phrase de récupération ou vos clés privées dans un ticket de support. L’éditeur n’en a pas besoin et ne les demandera jamais.
Durée de conservation des tickets : 90 jours à compter de la clôture du ticket, puis suppression automatique [à vérifier : définir la procédure technique et la traçabilité de suppression].
Base légale : intérêt légitime de l’éditeur à assurer la continuité du service de support [à vérifier : ou consentement si requis par le droit local].
6. Données inscrites sur la blockchain (données on-chain)
Lorsque vous effectuez des transactions via BaoMoney, ces transactions sont diffusées et enregistrées sur des registres publics décentralisés (blockchain Bitcoin, Ethereum, Polygon, BNB Smart Chain, Base, Solana, etc.). Ces registres sont, par nature, publics, permanents et irréversibles.
Ces données (adresses d’expéditeur et de destinataire, montants, hashs de transactions, horodatages) ne sont pas collectées par l’éditeur — l’éditeur ne les stocke pas et n’en est pas responsable au sens du droit de la protection des données. Elles sont inscrites sur des réseaux décentralisés hors du contrôle de l’éditeur.
[à vérifier : qualification juridique exacte au regard du RGPD — les adresses de portefeuille peuvent être qualifiées de données pseudonymes voire personnelles selon les juridictions et les possibilités de réidentification ; consulter un juriste spécialisé]
7. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données locales (clés, phrase, soldes, historique) | Sur l’appareil de l’utilisateur ; supprimées lors de la désinstallation ou de la réinitialisation |
| Télémétrie technique agrégée (opt-in) | ~30 jours |
| Rapports de crash (opt-in) | [à définir] |
| Tickets de support | ~90 jours après clôture, puis suppression automatique |
[à vérifier : s'assurer que les durées sont justifiables au regard du principe de minimisation et documentées dans un registre des traitements]
8. Destinataires et transferts de données
Destinataires
Les données visées aux sections 4 et 5 sont traitées par l’éditeur sur ses propres infrastructures auto-hébergées. Aucune donnée n’est transmise à des tiers à des fins publicitaires, de profilage ou de courtage de données.
[à vérifier : lister les prestataires d'hébergement effectifs et établir les contrats de sous-traitance requis (art. 28 RGPD ou équivalent)]
Nœuds RPC de blockchain
Pour diffuser des transactions et consulter des soldes, l’application communique avec des nœuds RPC de réseaux blockchain (publics ou configurés par l’utilisateur). Ces communications sont inhérentes au fonctionnement d’un wallet multi-chaînes. L’éditeur n’exploite pas ces nœuds à des fins de collecte.
[à vérifier : identifier les fournisseurs RPC utilisés par défaut et évaluer leurs politiques de confidentialité ; données potentiellement transmises = adresses IP + adresses de portefeuille vers le nœud RPC]
Transferts hors de l’Union européenne
[à vérifier : identifier si des données sont transférées vers des pays tiers et, le cas échéant, documenter les garanties appropriées (clauses contractuelles types, décision d'adéquation, etc.)]
9. Sécurité
L’éditeur met en œuvre des mesures techniques et organisationnelles adaptées pour protéger les données traitées :
- Les données sensibles (clés privées, phrase de récupération) sont chiffrées sur l’appareil et ne sont jamais transmises.
- Les données de télémétrie et de crash sont filtrées par un mécanisme fail-closed avant toute émission réseau.
- Les tickets de support sont hébergés sur une infrastructure dédiée et font l’objet d’une purge automatique.
[à compléter : mesures d'accès, authentification admin, chiffrement en transit (TLS), gestion des incidents]
[à vérifier : rédiger une politique de gestion des incidents de sécurité et de notification des violations de données conformément à l'art. 33-34 RGPD ou équivalent local]
10. Droits des personnes concernées
[Cadre applicable : à confirmer — RGPD (UE/EEE) / loi locale applicable selon le pays d'établissement de l'éditeur et la localisation des utilisateurs cibles]
Dans la mesure où des données vous concernant sont traitées par l’éditeur, vous disposez des droits suivants [à vérifier et adapter selon le droit applicable] :
- Droit d’accès : obtenir une copie des données vous concernant.
- Droit de rectification : faire corriger des données inexactes.
- Droit à l’effacement (« droit à l’oubli ») : demander la suppression de vos données, dans les limites des obligations légales de conservation.
- Droit à la limitation du traitement.
- Droit à la portabilité des données fournies sur la base du consentement ou d’un contrat.
- Droit d’opposition.
- Droit de retrait du consentement : vous pouvez retirer votre consentement à la télémétrie ou aux rapports de crash à tout moment dans les paramètres de l’application, sans préjudice des traitements réalisés antérieurement.
Note pratique : compte tenu de l’absence de compte utilisateur et de l’anonymat par conception, l’éditeur peut ne pas être en mesure d’identifier les données vous concernant sans le code support anonyme. [à vérifier : procédure concrète pour exercer les droits à documenter]
Pour exercer vos droits, voir la section 13.
[à vérifier : délai de réponse légal — 1 mois sous RGPD ; possibilité de réclamation auprès d'une autorité de contrôle (CNIL ou équivalent)]
11. Cookies et traceurs
BaoMoney est une application mobile Android. Elle n’utilise pas de cookies au sens de la réglementation sur les communications électroniques.
Traceurs publicitaires : aucun traceur publicitaire, aucun réseau publicitaire tiers, aucun SDK de mesure d’audience publicitaire n’est intégré à l’application.
Identifiants d’appareils : l’application ne collecte pas d’identifiant publicitaire Android (GAID). [à vérifier : confirmer l'absence de tout SDK collectant ces identifiants après audit technique du binaire]
12. Modifications de la présente politique
L’éditeur se réserve le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, l’utilisateur en sera informé [à définir : modalité — notification in-app, mise à jour de la page store, etc.] avant l’entrée en vigueur des changements. La date de version figurant en en-tête est mise à jour à chaque révision.
[à vérifier : définir le délai de préavis en cas de modification défavorable ; certaines juridictions imposent des exigences spécifiques]
13. Contact
BaoMoney ne dispose pas d’un formulaire de contact reposant sur des données personnelles. Pour toute question relative à la vie privée ou pour exercer vos droits :
- Ouvrez l’application et générez un code support anonyme (Paramètres → Support).
- Soumettez votre demande en indiquant ce code.
Fin du document — BROUILLON v0.1 — à faire valider par un juriste avant toute publication.