Politique de confidentialité

Version 2026-05-25 — conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

1. Responsable du traitement

Le responsable du traitement des données collectées via NEXUS est [À COMPLÉTER — Nom Prénom] (Entrepreneur Individuel (EI), Entreprise individuelle en cours d'immatriculation). Pour toute question relative à vos données : contact@nexus-finance.app. Identité complète et coordonnées postales : mentions légales.

2. Données collectées

Données d'identification : adresse e-mail, mot de passe (stocké uniquement sous forme hachée bcrypt, jamais en clair), nom complet (facultatif).
Données de profil : nom d'utilisateur, biographie, photo de profil, liens externes (ex. LinkedIn), badges et score Elo — lorsque vous choisissez de les renseigner.
Préférences d'onboarding : parcours de carrière visé, secteur, priorités de fonctionnalités, canal d'acquisition, fuseau horaire.
Données d'usage des modules : progression et réponses au Daily Drop, séries (streaks). Au fur et à mesure de l'activation des autres modules (Brain Gym, groupes d'étude, etc.), les données d'usage correspondantes seront collectées et la présente politique mise à jour.
Métadonnées techniques minimales : horodatages des actions (création, connexion, modification) et journaux d'erreurs techniques.

Aucune donnée sensible n'est collectée (santé, opinions, données biométriques). Aucune donnée bancaire n'est stockée par NEXUS.

3. Finalités et bases légales

Fourniture du service (authentification, persistance des données, modules pédagogiques) : exécution du contrat (acceptation des CGU).
E-mails transactionnels (vérification d'adresse, réinitialisation de mot de passe) : exécution du contrat.
Mesure d'audience anonyme (statistiques agrégées d'usage) : intérêt légitime, sans profilage individuel.
Sécurité et prévention des incidents (journalisation des erreurs) : intérêt légitime.

4. Destinataires et sous-traitants

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers commerciaux. Les sous-traitants techniques strictement nécessaires à l'exécution du service sont :

Neon, Inc. — Hébergement de la base de données (données de compte et d'usage). (Union Européenne (Francfort))
Render Services, Inc. — Hébergement de l'API applicative. (Union Européenne (Francfort))
Maison-mère aux États-Unis ; encadré par les clauses contractuelles types de la Commission européenne.
Cloudflare, Inc. — Diffusion du frontend, protection réseau et acheminement des e-mails de contact. (Réseau mondial)
Maison-mère aux États-Unis ; encadré par le Data Privacy Framework et/ou les clauses contractuelles types.
Resend (Plus Five Five, Inc.) — Envoi des e-mails transactionnels (vérification d'adresse, réinitialisation de mot de passe). (Union Européenne)
Plausible Analytics — Mesure d'audience anonyme, sans cookie. (Union Européenne)
Functional Software, Inc. (Sentry) — Supervision technique et journalisation des erreurs (sans rejeu de session). (Union Européenne (région .de))
Maison-mère aux États-Unis ; encadré par le Data Privacy Framework et/ou les clauses contractuelles types.

Fonctionnalités à venir. Lors de l'activation de fonctionnalités d'intelligence artificielle, le prestataire Anthropic (États-Unis) traitera les contenus concernés, dans le cadre de clauses contractuelles types ; les prompts envoyés ne sont pas utilisés pour l'entraînement des modèles. Les paiements ne sont pas encore actifs : lors de leur ouverture, le prestataire Stripe traitera les données de paiement (NEXUS n'en stocke aucune) et des conditions générales de vente seront publiées. La présente politique sera mise à jour en conséquence.

5. Hébergement et transferts hors UE

Les données utilisateur sont stockées et traitées au sein de l'Union Européenne (Francfort). Certains prestataires ont une maison-mère située aux États-Unis (Cloudflare, Sentry) ou y traitent des données (Anthropic, à venir) : ces transferts sont encadrés par le Data Privacy Framework et/ou les clauses contractuelles types de la Commission européenne.

6. Durée de conservation

Les données sont conservées tant que le compte est actif. À la suppression du compte, l'accès est révoqué immédiatement et les données personnelles sont purgées définitivement sous trente (30) jours. Les journaux techniques sont conservés pour une durée limitée à des fins de sécurité.

7. Cookies et traceurs

NEXUS limite volontairement les traceurs au strict nécessaire. Aucun consentement préalable n'est requis pour les traceurs actuellement en place, car ils sont soit strictement nécessaires au service, soit exemptés au titre de la mesure d'audience (lignes directrices CNIL).

Cookies d'authentification (nexus_access, nexus_refresh) : strictement nécessaires à votre connexion, sécurisés (HttpOnly). Exemptés de consentement.
Mesure d'audience (Plausible) : sans cookie, sans identifiant persistant, données agrégées et anonymes, hébergée dans l'UE. Exemptée de consentement ; vous en êtes informé ici.
Supervision des erreurs (Sentry) : aucun cookie, aucun rejeu de session ; uniquement la capture d'erreurs techniques.
Stockage local fonctionnel : utilisé pour mémoriser la fermeture du bandeau d'information cookies et certaines préférences d'affichage. Ce n'est pas un traceur publicitaire.

Aucun cookie publicitaire, aucun traceur tiers de profilage, aucun pistage inter-sites n'est déposé.

8. Vos droits (RGPD)

Vous disposez à tout moment des droits suivants :

Accès et rectification : depuis la page Paramètres de votre compte.
Portabilité : export JSON complet de vos données via le bouton « Exporter mes données » dans Paramètres.
Effacement (droit à l'oubli) : suppression du compte via le bouton « Supprimer mon compte » dans Paramètres (purge définitive sous 30 jours).
Opposition et limitation : par e-mail à contact@nexus-finance.app.

9. Réclamation

Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

10. Modifications

La présente politique peut évoluer pour refléter des changements techniques ou réglementaires. Toute modification substantielle sera notifiée par e-mail au moins quinze (15) jours avant son entrée en vigueur.