Politique de Confidentialité — PHANTOM Validation Engine
Dernière mise à jour : 2026-04-11
Responsable du traitement
Nom : Renaud Lauffenburger
Adresse : 45b avenue Aristide Briand, 68200 Mulhouse, France
Email : renaud.lauffenburger@phantom-research.fr
Données collectées
| Catégorie | Exemples | Base légale | Durée de conservation |
|---|---|---|---|
| Données d’identification | Nom, prénom, adresse email professionnelle | Exécution du contrat (Art. 6-1-b RGPD) | Durée du contrat + 3 ans |
| Données de connexion | Adresse IP, horodatage, user-agent | Intérêt légitime — sécurité (Art. 6-1-f RGPD) | 12 mois |
| Données d’utilisation | Stratégies soumises, résultats de validation, actions UI | Exécution du contrat (Art. 6-1-b RGPD) | Durée du contrat + 60 jours |
| Données de facturation | Plan souscrit, historique de paiement (via Stripe) | Obligation légale (Art. 6-1-c RGPD) — conservation comptable | 10 ans (obligation fiscale française) |
Destinataires (sous-traitants)
- Render Services, Inc. (hébergement) — région Frankfurt (UE), DPA + SCC
- Cloudflare, Inc. (CDN, TLS, WAF) — routage UE, certifié ISO 27001 + SOC 2
- Stripe Payments Europe Ltd. (paiement) — Irlande, certifié PCI-DSS L1 + SOC 2 Type II
- Resend (email transactionnel) — USA avec sous-traitance UE possible, DPA + SCC
- Sentry (observabilité) — projet UE/Frankfurt explicitement choisi pour le RGPD
- GitHub, Inc. (dépôt de code, CI/CD, sauvegardes chiffrées) — USA, clauses contractuelles types (SCC)
- Dukascopy Bank SA (données OHLC publiques) — Suisse, adhésion adequacy decision
Transferts hors UE
Les données applicatives sont hébergées au sein de l'UE (Render Frankfurt, Allemagne). Les transferts vers Stripe (Irlande) sont intra-UE. Les transferts vers Resend (USA) et Dukascopy (Suisse) sont encadrés par des Clauses Contractuelles Types (SCC) ou la décision d'adéquation suisse, conformément au chapitre V du RGPD.
Posture de conformité et limites
PHANTOM publie un mapping technique entre ses contrôles internes et les frameworks DORA, MiFID II RTS 6, NIST AI RMF, SOC 2 TSC et ISO 27001 Annex A. Ce mapping est une auto-évaluation maintenue à jour par l'équipe.
Aucune attestation SOC 2 (Type 1 ou Type 2) ni certification ISO 27001 n'a été émise par un tiers à la date de publication. Les certifications mentionnées ci-dessus pour Stripe et Cloudflare concernent ces sous-traitants, pas PHANTOM.
Pour toute due diligence client, le pack de readiness complet (9 documents : ISMS scope, mapping SOC 2 TSC, mapping ISO 27001 Annex A, registre des risques, politiques de sécurité, plan IR, BCP/DR, politique de rétention, évaluation des sous-traitants) est disponible sur demande à dpo@phantom-research.fr.
Vos droits
- Accès : Obtenez une copie de vos données (Art. 15)
- Rectification : Corrigez vos informations (Art. 16)
- Effacement : Demandez la suppression de votre compte (Art. 17)
- Portabilité : Exportez vos données en JSON (Art. 20)
- Opposition : Opposez-vous au traitement (Art. 21)
- Limitation : Limitez le traitement (Art. 18)
- Réclamation CNIL : Déposez une réclamation auprès de la CNIL (www.cnil.fr)
Délégué à la protection des données (DPO)
Email : dpo@phantom-research.fr