← Retour à l'accueil ← Retour aux informations légalesPolitique de Confidentialité
Dernière mise à jour : 12 mars 20261. Introduction
La société
ADVIJU INVESTISSEMENT SAS, en qualité de responsable de traitement, s’engage à protéger la vie privée des utilisateurs de l’application mobile Fibo (ci-après « l’Application »). La présente Politique de Confidentialité a pour objet d’informer les utilisateurs sur les conditions dans lesquelles ADVIJU INVESTISSEMENT collecte, traite, conserve et protège leurs données à caractère personnel, conformément au :
- Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) ;
- Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Libertés) ;
- Directives et recommandations de la CNIL (Commission Nationale de l’Informatique et des Libertés).
La présente politique fait partie intégrante des
Conditions Générales d’Utilisation de l’Application.
2. Responsable de traitement
Le responsable du traitement des données à caractère personnel est :
ADVIJU INVESTISSEMENT SAS Éditeur du logiciel Fibo — Portefeuille non-custodial d’actifs numériques
Siège social : 22 rue Durantin, Paris
RCS 919 110 387 R.C.S. Paris
Délégué à la Protection des Données (DPO) / Contact vie privée :3. Données collectées
Dans le cadre de l’utilisation de l’Application, ADVIJU INVESTISSEMENT est susceptible de collecter les catégories de données suivantes :
3.1 Données d’identification
Adresse email associée au compte Google ou Apple utilisé pour l’authentification. Note : les données de vérification d’identité (KYC) éventuellement requises lors de l’achat de crypto-actifs en euros sont collectées et traitées directement par le prestataire tiers
Transak, et non par ADVIJU INVESTISSEMENT.
3.2 Données de compte
Identifiants Google et/ou Apple utilisés pour la création du compte et le mécanisme de Recovery sociale. Ces identifiants permettent l’authentification de l’utilisateur et la récupération de l’accès au portefeuille.
3.3 Données techniques
Adresse IP, type et modèle d’appareil, système d’exploitation et version, version de l’Application, identifiants techniques de session, paramètres de langue et de région.
3.4 Données d’utilisation
Interactions avec l’Application (fonctionnalités utilisées, écrans consultés, fréquence d’utilisation), préférences de paramétrage, données de performance de l’Application (temps de chargement, erreurs).
3.5 Données blockchain
Adresses publiques des portefeuilles créés au sein de l’Application. Ces adresses sont
publiques par nature et visibles par quiconque sur les Blockchains concernées. Elles ne constituent pas, en elles-mêmes, des données permettant d’identifier directement une personne physique.
3.6 Données NON collectées
Engagement de non-collecte
En raison de la nature
non-custodiale de l’Application, ADVIJU INVESTISSEMENT
ne collecte pas et n’a jamais accès aux données suivantes :
- Clés privées — générées et stockées exclusivement sur l’appareil de l’utilisateur ou dans l’environnement TEE de Privy ;
- Seed phrases (phrases de récupération) — jamais transmises aux serveurs d’ADVIJU INVESTISSEMENT ;
- Soldes de portefeuille côté serveur — les soldes sont calculés localement sur l’appareil à partir des données publiques de la Blockchain. ADVIJU INVESTISSEMENT ne stocke pas les soldes de ses utilisateurs ;
- Pièces d’identité et justificatifs KYC — les vérifications d’identité (KYC) sont réalisées exclusivement par le prestataire tiers Transak. ADVIJU INVESTISSEMENT ne collecte ni ne traite ces données.
Ce principe est fondamental dans l’architecture de Fibo et garantit que les fonds de l’utilisateur restent sous son contrôle exclusif à tout moment.
4. Finalités et bases légales
Les données personnelles sont traitées pour les finalités suivantes, chacune reposant sur une base légale conforme au RGPD :
| Finalité | Données concernées | Base légale (RGPD) |
|---|
| Fourniture et fonctionnement du service (création de compte, gestion du portefeuille, Recovery sociale) | Données de compte, données techniques, adresses blockchain | Exécution du contrat (Art. 6.1.b) |
| Sécurité et prévention de la fraude (détection d’activités suspectes, protection des comptes) | Données techniques, données d’utilisation, adresse IP | Intérêt légitime (Art. 6.1.f) |
| Amélioration du service (analyse de l’expérience utilisateur, correction de bugs, optimisation des performances) | Données d’utilisation, données techniques | Intérêt légitime (Art. 6.1.f) |
| Communication commerciale (newsletters, informations sur les nouvelles fonctionnalités) | Email, préférences de communication | Consentement (Art. 6.1.a) |
| Statistiques et analytics (mesure de fréquentation, analyse des usages agrégés) | Données d’utilisation anonymisées, données techniques | Intérêt légitime (Art. 6.1.f) |
5. Destinataires des données
Les données personnelles collectées peuvent être communiquées aux catégories de destinataires suivantes, dans les strictes limites nécessaires aux finalités décrites ci-dessus :
5.1 Sous-traitants techniques
| Prestataire | Service fourni | Données concernées |
|---|
| AWS (Amazon Web Services) | Hébergement infrastructure | Données techniques, données d’utilisation |
| Privy | Infrastructure de portefeuilles (TEE), Recovery sociale | Données de compte (identifiants Google/Apple), fragments chiffrés |
| Transak | Achat de crypto-actifs en EUR, KYC (géré intégralement par Transak) | Données d’identification et de paiement (collectées et traitées directement par Transak, sous sa propre responsabilité) |
| Biconomy | Infrastructure transactions gasless | Adresses blockchain, données de transactions |
| LI.FI | Routage et agrégation de swaps | Adresses blockchain, données de transactions |
5.2 Autorités compétentes
ADVIJU INVESTISSEMENT peut être tenue de communiquer des données personnelles aux autorités suivantes, dans le cadre de ses obligations légales :
- Autorités judiciaires — sur réquisition judiciaire ou dans le cadre d’une procédure légale ;
- Autorités administratives compétentes — dans le cadre d’obligations légales applicables.
Engagement de non-vente
ADVIJU INVESTISSEMENT ne vend jamais les données personnelles de ses utilisateurs à des tiers. Les données ne sont partagées qu’avec les prestataires décrits ci-dessus, dans le strict cadre des finalités mentionnées.6. Transferts hors Union européenne
Certains de nos sous-traitants sont établis en dehors de l’Union européenne (UE) ou de l’Espace économique européen (EEE). Les données personnelles peuvent ainsi faire l’objet de transferts vers des pays tiers, notamment :
| Prestataire | Localisation | Garantie de transfert |
|---|
| AWS | Région EU (Francfort, Paris) principalement. Certains services annexes aux États-Unis. | Clauses Contractuelles Types (CCT) de la Commission européenne + Décision d’adéquation UE-USA (Data Privacy Framework) |
| Privy | États-Unis | Clauses Contractuelles Types (CCT) + mesures techniques supplémentaires (chiffrement TEE) |
| Transak | Royaume-Uni / États-Unis | Clauses Contractuelles Types (CCT) + Décision d’adéquation Royaume-Uni |
Ces transferts sont réalisés conformément au
chapitre V du RGPD et sont encadrés par :
- Des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d’exécution 2021/914) ;
- Des décisions d’adéquation de la Commission européenne, le cas échéant ;
- Des mesures techniques et organisationnelles supplémentaires (chiffrement de bout en bout, pseudonymisation, contrôle d’accès renforcé).
L’utilisateur peut obtenir une copie des garanties applicables en contactant le DPO à l’adresse indiquée à l’article 12.
7. Durée de conservation
Les données personnelles sont conservées pour les durées suivantes, en fonction de leur nature et de la finalité du traitement :
| Type de données | Durée de conservation |
|---|
| Données de compte (identifiants Google/Apple, préférences) | Durée de la relation contractuelle + 3 ans après la dernière activité (prescription civile) |
| Logs techniques (adresse IP, connexions) | 12 mois à compter de la collecte (LCEN, Décret n° 2011-219) |
| Données d’analytics et de mesure d’audience | 25 mois maximum (recommandation CNIL) |
| Cookies et traceurs | Voir la politique de cookies accessible dans l’Application et sur le site fibo-crypto.fr |
| Données de prospection commerciale | 3 ans à compter du dernier contact actif de l’utilisateur |
À l’expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.
8. Droits des utilisateurs (RGPD)
Conformément au RGPD et à la loi Informatique et Libertés, l’utilisateur dispose des droits suivants sur ses données personnelles :
| Droit | Référence RGPD | Description |
|---|
| Droit d’accès | Article 15 | Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie |
| Droit de rectification | Article 16 | Faire corriger des données inexactes ou compléter des données incomplètes |
| Droit à l’effacement | Article 17 | Obtenir la suppression de vos données, sous réserve des obligations légales de conservation |
| Droit à la limitation | Article 18 | Demander la limitation du traitement de vos données dans certaines circonstances |
| Droit à la portabilité | Article 20 | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement |
| Droit d’opposition | Article 21 | S’opposer au traitement de vos données fondé sur l’intérêt légitime, y compris le profilage |
| Retrait du consentement | Article 7.3 | Retirer votre consentement à tout moment pour les traitements fondés sur le consentement (ex. : communications commerciales), sans affecter la licéité du traitement antérieur |
| Droit de réclamation | Article 77 | Introduire une réclamation auprès de la CNIL si vous estimez que le traitement de vos données constitue une violation du RGPD |
Procédure d’exercice des droits
Pour exercer vos droits, vous pouvez adresser votre demande :
- Par email : [email protected]
- Par courrier postal : ADVIJU INVESTISSEMENT — DPO, 22 rue Durantin
Votre demande doit être accompagnée d’une copie d’un document d’identité en cours de validité. ADVIJU INVESTISSEMENT s’engage à répondre à votre demande dans un délai maximal de
30 jours à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité de la demande, après notification motivée.
Limitation liée à la nature non-custodiale
Certains droits (notamment le droit à l’effacement et à la portabilité) peuvent être limités concernant les données inscrites sur les Blockchains. Les adresses publiques et les transactions enregistrées sur les Blockchains sont par nature immuables et publiques. ADVIJU INVESTISSEMENT ne peut pas supprimer ou modifier des données enregistrées sur une Blockchain.9. Sécurité des données
ADVIJU INVESTISSEMENT met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données personnelles, conformément à l’article 32 du RGPD :
Mesures techniques
- Chiffrement des données : chiffrement en transit (TLS/HTTPS) et au repos (AES-256) pour l’ensemble des données stockées ;
- Environnement d’exécution de confiance (TEE) : les données cryptographiques sensibles (fragments de clés privées) sont traitées dans un TEE via Privy, isolant les données du reste de l’infrastructure ;
- Communications sécurisées : toutes les communications entre l’Application et les serveurs sont effectuées via HTTPS avec des certificats TLS valides ;
- Authentification renforcée : utilisation de Passkeys (FIDO2/WebAuthn) et d’authentification biométrique pour l’accès à l’Application ;
- Séparation des environnements : isolation stricte entre les environnements de développement, de test et de production.
Mesures organisationnelles
- Accès restreint : seuls les collaborateurs habilités accèdent aux données personnelles, sur la base du principe du moindre privilège ;
- Sensibilisation : formation régulière des équipes aux bonnes pratiques de protection des données ;
- Journalisation des accès : traçabilité des accès aux données personnelles ;
- Audits de sécurité : réalisation périodique d’audits et de tests de sécurité.
Notification des violations
En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, ADVIJU INVESTISSEMENT s’engage à :
- Notifier la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l’article 33 du RGPD ;
- Informer les utilisateurs concernés dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés, conformément à l’article 34 du RGPD.
10. Données des mineurs
L’Application Fibo est destinée exclusivement aux personnes âgées de
18 ans ou plus. ADVIJU INVESTISSEMENT ne collecte pas intentionnellement de données personnelles auprès de personnes mineures. Si ADVIJU INVESTISSEMENT découvre avoir collecté des données concernant un mineur, elle procédera à la suppression immédiate de ces données et à la clôture du compte concerné. Si vous êtes parent ou tuteur légal et estimez que votre enfant mineur a fourni des données personnelles via l’Application, veuillez nous contacter immédiatement à l’adresse indiquée à l’article 12.
11. Modifications de la politique
ADVIJU INVESTISSEMENT se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de l’adapter aux évolutions législatives, réglementaires ou techniques. En cas de modification substantielle, l’utilisateur sera informé par :
- Une notification dans l’Application ;
- Un email à l’adresse associée à son compte (si disponible) ;
- Une mise à jour de la date de « dernière mise à jour » en tête du présent document.
L’utilisateur est invité à consulter régulièrement la présente politique. La poursuite de l’utilisation de l’Application après notification d’une modification vaut acceptation de la nouvelle version. La version en vigueur de la Politique de Confidentialité est accessible à tout moment dans l’Application et à l’adresse :
fibo-crypto.fr/politique-confidentialite-2026/.
12. Contact
Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez nous contacter :
Délégué à la Protection des Données (DPO) ADVIJU INVESTISSEMENT SAS
Email :
[email protected]
Adresse postale : 22 rue Durantin, Paris
Pour introduire une réclamation auprès de l’autorité de contrôle :
Commission Nationale de l’Informatique et des Libertés (CNIL) 3, Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site :
www.cnil.fr