Protection des données

Politique de confidentialité

RegistreOr traite des données personnelles sensibles — pièces d'identité, informations financières, données LCB-FT. Cette politique explique précisément quelles données sont collectées, pourquoi, combien de temps et comment elles sont protégées.

📅 Mise à jour : 01/06/2026 📋 Conforme RGPD (UE) 2016/679 🔒 Version bêta

⚖️ Responsable du traitement & sous-traitant

RegistreOr est un service SaaS. La relation de responsabilité des données est la suivante :

Le responsable du traitement — vous, le comptoir d'or

C'est le professionnel titulaire du compte RegistreOr (le comptoir d'or) qui détermine les finalités et les moyens du traitement des données de ses propres clients. Il est seul responsable de la licéité de la collecte, de l'information des personnes et du respect de leurs droits.

Le sous-traitant — PulsePeakSolutions

PulsePeakSolutions (SIRET 987 774 395 00022 — 6 rue Emile Delalo, 15200 Mauriac) agit exclusivement en qualité de sous-traitant au sens de l'article 28 RGPD. PulsePeakSolutions ne traite les données que sur instruction du responsable du traitement et pour les finalités définies dans le contrat de sous-traitance signé lors de l'accès au service.

Ce que cela signifie concrètement : PulsePeakSolutions n'utilise jamais les données des clients des comptoirs à d'autres fins que le fonctionnement du service. Aucune revente, aucun profilage commercial, aucune utilisation à des fins de démarchage.

Cette politique s'adresse à deux publics

  • Les gérants de comptoirs d'or (utilisateurs du service) : traitements relatifs à la gestion de leur compte, facturation, authentification.
  • Les clients des comptoirs d'or (personnes dont les données sont saisies dans les registres) : données traitées par le comptoir sous sa responsabilité, hébergées par PulsePeakSolutions en qualité de sous-traitant.

📊 Traitements et bases légales

Traitements relatifs aux gérants de comptoirs (utilisateurs directs)

Finalité Données concernées Base légale
Création et gestion du compte
Identification, paramétrage boutique		 Dénomination sociale, SIRET, adresse, email, téléphone, logo Contrat
Authentification OTP
Vérification de l'identité à chaque connexion		 Adresse email, code OTP (haché bcrypt), horodatage, adresse IP Contrat
Gestion des sessions
Maintien de la connexion 30 jours		 Token de session (SHA-256, jamais en clair), IP, User-Agent Contrat
Facturation et comptabilité
Émission et conservation des factures		 Dénomination, SIRET, adresse, montants, références de paiement Stripe Obligation légale
Acceptation du DPA RGPD
Traçabilité de l'accord art. 28		 Date, IP, User-Agent, empreinte SHA-256 du document signé Obligation légale
Journal d'audit
Traçabilité des actions sur les registres		 Action, table concernée, IP, User-Agent, horodatage, résultat Obligation légale
Communications transactionnelles
OTP, alertes, factures par email		 Adresse email, contenu des messages (via Brevo/Sendinblue) Contrat
Protection contre les abus
Rate limiting, détection de fraude		 Adresse IP, horodatage, action tentée Intérêt légitime

Contrat Art. 6.1.b RGPD  ·  Obligation légale Art. 6.1.c RGPD  ·  Intérêt légitime Art. 6.1.f RGPD

🪪 Données des clients du comptoir

Ces données sont saisies par le comptoir dans le cadre de ses obligations légales strictes. PulsePeakSolutions les héberge en qualité de sous-traitant. La base légale est l'obligation légale du comptoir (art. 6.1.c RGPD), renforcée par les textes suivants :

Catégorie Données collectées Obligation légale source
Identification du vendeur
(particulier)		 Nom, prénom, date et lieu de naissance, nationalité, adresse, profession, résidence fiscale Art. 321-7 C.pénal
Arrêté 15/05/2020
Identification du vendeur
(personne morale)		 Dénomination, SIRET/SIREN, adresse siège, représentant légal, bénéficiaires effectifs Art. L.561-5 CMF
PAS ACPR/DGDDI 07/2024
Pièces d'identité Type, numéro, autorité émettrice, date de délivrance, scan numérisé chiffré Art. 321-7 C.pénal
Art. L.561-5 CMF
Données de l'opération Date, type (achat/vente/dépôt), montant, moyen de paiement, IBAN Art. 321-7 C.pénal
Art. 150 VI CGI
Objet précieux Nature du métal, forme, poids brut/fin, titre millième, description, provenance déclarée, signes distinctifs, présence poinçon Arrêté 15/05/2020
Art. L.834-6 C.com.
Données LCB-FT Profil de risque, résidence fiscale, résultat vérification gel des avoirs, examen renforcé, déclaration de soupçon (n° ERMES TRACFIN) Art. L.561-14-2 CMF
PAS ACPR/DGDDI 07/2024
Justificatifs LCB-FT Origine des fonds, justificatif patrimoine, actes de succession, factures, justificatifs PPE (fichiers chiffrés) Art. L.561-6 CMF
Données fiscales TFOP Montant de la taxe, régime applicable (11,5% ou 6,5%), net versé au vendeur Art. 150 VI CGI
Formulaire 2091-SD
Aucune collecte excessive : RegistreOr ne collecte que les données expressément requises par les textes réglementaires cités. Aucune donnée n'est collectée à des fins commerciales, analytiques ou publicitaires sur les clients des comptoirs.

📅 Durées de conservation

Les durées sont imposées par les textes réglementaires. RegistreOr applique la durée légalement applicable la plus longue pour chaque catégorie :

Registre de police & données client associées
Art. 321-7 C.pénal · Arrêté 15/05/2020
5 ans
Registre LCB-FT & justificatifs
Art. L.561-12 CMF
5 ans
Registre de garantie des métaux précieux
Art. L.834-6 C.com. · Art. L.123-22 C.com.
6 ans
Factures et pièces comptables
Art. L.123-22 C.com. · Art. 289 CGI
10 ans
Journal d'audit des accès et actions
ISO 14641-1 · Arrêté 15/05/2020
5 ans
Logs de connexion et sessions
Recommandation CNIL
1 an
Données OTP & rate limiting
Intérêt légitime sécurité
90 jours
Données compte utilisateur après résiliation
Durée légale applicable la plus longue
6 ans min.

À l'expiration de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible. Les durées légales de conservation s'imposent à PulsePeakSolutions : une demande de suppression anticipée ne peut pas être satisfaite pour les données dont la conservation est obligatoire.

🔒 Sécurité des données

PulsePeakSolutions met en œuvre des mesures techniques et organisationnelles adaptées à la sensibilité des données traitées :

🔐
Chiffrement des données sensibles
Tous les scans de pièces d'identité et justificatifs sont chiffrés au repos en AES-256-GCM (authentifié). La clé de chiffrement est gérée exclusivement via variable d'environnement serveur.
🔑
Authentification sans mot de passe
L'accès s'effectue par code OTP à usage unique envoyé par email (valide 15 min). Aucun mot de passe permanent n'est stocké. Les tokens de session sont des hash SHA-256, jamais stockés en clair.
⛓️
Intégrité des registres (ISO 14641-1)
Chaque enregistrement est signé par un hash SHA-256 chaîné incluant le hash précédent. Toute tentative de modification casse la chaîne et est détectée immédiatement. Aucun UPDATE ni DELETE n'est possible.
📋
Journal d'audit complet
Toutes les actions (connexion, saisie, impression, accès autorités, upload) sont tracées avec IP, User-Agent, horodatage et résultat. Le journal est immuable et conservé 5 ans.
🛡️
Protection contre les abus
Rate limiting sur les OTP (3 envois/heure, 5 tentatives/heure), tokens CSRF sur tous les formulaires, protection XSS et injection SQL systématique.
🏢
Hébergement France
Données exclusivement sur des serveurs OVH situés en France (Roubaix/Gravelines). Aucun transfert hors Union européenne.

En cas d'incident de sécurité (violation de données), PulsePeakSolutions s'engage à notifier le responsable du traitement sans délai, afin de lui permettre de remplir son obligation de notification à la CNIL dans le délai de 72 heures (art. 33 RGPD).

👥 Destinataires des données

Accès interne — PulsePeakSolutions

Seul le personnel technique strictement nécessaire à la maintenance et au support a accès aux données, sous obligation contractuelle de confidentialité. Aucun accès aux données de registres n'est effectué sauf demande explicite du responsable du traitement pour résoudre un incident.

Sous-traitant hébergeur — OVH SAS

OVH SAS (SIRET 424 761 419 00045 — 2 rue Kellermann, 59100 Roubaix) héberge les serveurs. OVH n'a pas accès au contenu des données applicatives. Un accord de sous-traitance conforme au RGPD est en place.

Envoi d'emails — Brevo (ex-Sendinblue)

Les codes OTP et communications transactionnelles sont envoyés via l'API Brevo (Sendinblue SAS — 55 rue d'Amsterdam, 75008 Paris). Seules l'adresse email de destination et le contenu du message sont transmis. Brevo agit en qualité de sous-traitant avec un DPA conforme.

Paiement — Stripe (version commerciale)

Le traitement des paiements sera assuré par Stripe Payments Europe Ltd (1 Grand Canal Street Lower, Dublin 2, Irlande — entité européenne). PulsePeakSolutions ne stocke aucune donnée de carte bancaire. Stripe est certifié PCI-DSS niveau 1.

Autorités de contrôle habilitées

Dans le cadre de leurs missions légales, les autorités suivantes peuvent accéder aux registres via un accès sécurisé en lecture seule, authentifié par OTP, sans intervention de PulsePeakSolutions :

  • ACPR (Autorité de contrôle prudentiel et de résolution) — contrôle LCB-FT
  • DGDDI (Direction générale des douanes et droits indirects) — contrôle registres
  • TRACFIN (Traitement du renseignement et action contre les circuits financiers clandestins) — déclarations de soupçon
  • Officiers de police judiciaire sur réquisition judiciaire

Chaque accès d'une autorité est tracé dans le journal d'audit et visible par le comptoir.

Aucune autre communication : Les données ne sont jamais vendues, cédées, échangées ou transmises à des tiers à des fins commerciales. Aucune utilisation à des fins de profilage, publicité ou marketing.

🌍 Transferts hors Union européenne

Aucun transfert de données hors de l'Union européenne n'est effectué.

L'ensemble des données est stocké et traité sur des serveurs situés en France. Les sous-traitants utilisés (OVH, Brevo) sont des entités européennes dont les données restent dans l'UE. Stripe Payments Europe Ltd est l'entité irlandaise de Stripe, dont les données des clients européens restent dans l'EEE.

Vos droits

Droits des gérants de comptoirs (utilisateurs)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données de compte :

Droit d'accès
Obtenir une copie de toutes les données vous concernant traitées par PulsePeakSolutions.
Droit de rectification
Corriger des données inexactes ou incomplètes vous concernant (depuis les paramètres ou par email).
Droit à l'effacement
Demander la suppression de vos données de compte.
⚠ Limité par les obligations légales de conservation des registres réglementaires.
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible (JSON/CSV) pour les transférer à un autre service.
Droit d'opposition
Vous opposer aux traitements fondés sur l'intérêt légitime (ex : logs de sécurité).
⚠ Non applicable aux traitements fondés sur une obligation légale.
Droit à la limitation
Demander la suspension temporaire d'un traitement le temps d'une vérification ou d'un litige.

Droits des clients des comptoirs

Les personnes dont les données sont saisies dans les registres par un comptoir doivent adresser leurs demandes directement au comptoir, responsable du traitement. PulsePeakSolutions ne peut répondre directement à ces demandes qu'en qualité de sous-traitant agissant sur instruction.

PulsePeakSolutions s'engage à répondre à toute demande d'exercice de droits dans un délai d'un mois (prolongeable à trois mois en cas de demande complexe). Si la demande est manifestement infondée ou excessive, PulsePeakSolutions peut la refuser ou la conditionner au paiement de frais raisonnables.

🍪 Cookies et traceurs

RegistreOr utilise un unique cookie technique, strictement nécessaire au fonctionnement du service :

Nom Finalité Durée Type
rgor_sess Maintien de la session authentifiée. Contient un token aléatoire (hash SHA-256 stocké en base). Ne contient aucune donnée personnelle en clair. 30 jours (ou fin de session navigateur) Fonctionnel · HttpOnly · Secure · SameSite=Lax

Aucun cookie analytique, publicitaire ou de suivi n'est déposé. Aucun outil de mesure d'audience tiers (Google Analytics, Matomo, etc.) n'est utilisé. Aucune bannière de consentement cookie n'est affichée car le seul cookie utilisé est strictement nécessaire et exempt de consentement (directive ePrivacy).

✉️ Contact et réclamations

Pour toute question relative à cette politique ou pour exercer vos droits :

📬
PulsePeakSolutions — Responsable de la protection des données
Par email :
Par courrier : PulsePeakSolutions — 6 rue Emile Delalo — 15200 Mauriac
Délai de réponse : 1 mois maximum (art. 12 RGPD)
Identification : Merci de préciser votre nom, email de compte et la nature de votre demande.

Droit de réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés après avoir contacté PulsePeakSolutions, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

CNIL (Commission nationale de l'informatique et des libertés)
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr · Tél. : 01 53 73 22 22

Modifications de cette politique

Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. En cas de modification substantielle, les utilisateurs en seront informés par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est affichée en haut de cette page. La version en vigueur est toujours accessible sur cette page.