MENTIONS LÉGALES · POLITIQUE DE CONFIDENTIALITÉ

Politique de confidentialité

Quelles données personnelles nous collectons, pourquoi nous les collectons, comment nous les utilisons et les partageons, et les droits dont vous disposez au titre du GDPR, du CCPA et des lois équivalentes. Rédigée pour être lisible, conçue pour être auditable.

Version

v1.0

En vigueur à partir du

25 mai 2026

Dernière mise à jour

23 mai 2026

Statut

v1.0 · susceptible d'évoluer

NOTE EN LANGAGE CLAIR

Ce document est rédigé pour être lisible. Il constitue un instrument juridique en vigueur — veuillez le lire attentivement. Pour toute clarification, écrivez à [email protected] avec pour objet [Legal]. EDMA Group se réserve le droit de mettre à jour ce document ; les modifications substantielles seront annoncées au moins 30 jours à l'avance par e-mail et publiées sur /newsroom.

01 Qui nous sommes

La présente Politique de confidentialité s'applique aux données personnelles collectées par EDMA Group (« EDMA », « nous ») via l'application TradeOS, le Trade Marketplace, nos sites web edma.trade et edma.co, ainsi que les services associés.

Pour la plupart des traitements décrits dans cette politique, EDMA est le responsable du traitement. Lorsque EDMA traite des données personnelles pour le compte d'un Client utilisant TradeOS (par exemple des données concernant ses propres employés, fournisseurs, clients ou financeurs), EDMA agit en qualité de sous-traitant et le Client est le responsable du traitement. Les conditions de l'Accord de traitement des données régissent les relations de sous-traitance.

Notre siège social et nos coordonnées pour les questions relatives à la confidentialité figurent en bas de cette page.

02 Ce que nous collectons

Nous collectons des données personnelles dans les catégories suivantes.

Données de compte et d'identité

  • nom, adresse e-mail, intitulé de poste, organisation, pays
  • identifiants de compte (les mots de passe sont hachés ; nous ne stockons pas les mots de passe en clair)
  • photo de profil, si téléversée

Données d'utilisation et techniques

  • adresse IP, chaîne user-agent, type d'appareil, langue du navigateur, fuseau horaire
  • pages visitées, fonctionnalités utilisées, actions dans le produit, horodatages
  • journaux d'erreurs et rapports de plantage
  • métadonnées des requêtes API (points de terminaison, codes de statut, latence)

Données commerciales et opérationnelles

  • enregistrements opérationnels saisis par le Client dans TradeOS, pouvant inclure des données personnelles des employés, fournisseurs, clients et financeurs du Client (contrôlés par le Client ; traités par nos soins)
  • métadonnées de communication (expéditeur, destinataire, horodatage, canal) pour les messages échangés via les portails TradeOS
  • documents téléversés et leurs métadonnées

Marketing et correspondance

  • messages soumis via nos formulaires de contact (edma.trade/contact)
  • statut d'abonnement à la newsletter de briefing des opérateurs
  • inscriptions à des événements marketing et réservations de démo

Cookies et technologies similaires

Consultez la Politique en matière de cookies pour connaître les cookies que nous déposons, leurs finalités et la manière de les gérer.

03 Comment nous utilisons les données personnelles

Nous utilisons les données personnelles pour :

  • Fournir le Service — authentifier les utilisateurs, restituer les bonnes données au bon locataire, acheminer les documents et notifications entre contreparties, calculer les cascades de règlement et exploiter le Trade Marketplace.
  • Améliorer le Service — analyser les schémas d'utilisation agrégés, identifier les anomalies, prioriser les fonctionnalités et entraîner des modèles d'IA internes sur des données agrégées et anonymisées uniquement (nous n'entraînons pas les fournisseurs d'IA externes avec des Données Client ; voir §5).
  • Sécuriser le Service — détecter et prévenir les abus, fraudes, violations de sanctions, logiciels malveillants, scraping et accès non autorisés ; enquêter sur les incidents.
  • Répondre aux demandes et assurer le support — répondre aux messages soumis via les formulaires de contact ou envoyés à [email protected] ; acheminer les demandes vers l'équipe interne compétente.
  • Envoyer des communications opérationnelles et marketing — annonces de service, avis de sécurité, avis de facturation et (avec consentement ou lorsque la loi le permet) la newsletter d'information opérateur.
  • Respecter les obligations légales — satisfaire aux obligations fiscales, comptables, relatives aux sanctions, à la lutte contre le blanchiment d'argent et à la protection des données ; répondre aux demandes légitimes des autorités.

04 Bases légales (GDPR)

Lorsque le GDPR s'applique, notre traitement repose sur une ou plusieurs des bases suivantes :

  • Exécution du contrat — pour fournir le Service auquel le Client a souscrit et exploiter le Marketplace.
  • Intérêt légitime — pour sécuriser le Service, prévenir la fraude et les abus, améliorer le produit et conduire les opérations commerciales. Nous mettons en balance nos intérêts avec vos droits et libertés.
  • Consentement — pour les cookies non essentiels, les communications marketing auxquelles vous souscrivez et tout autre traitement pour lequel le consentement constitue la base appropriée. Vous pouvez retirer votre consentement à tout moment.
  • Obligation légale — pour respecter le droit fiscal, comptable, relatif aux sanctions, à l'AML et à la protection des données.

Vous avez le droit de vous opposer à un traitement fondé sur l'intérêt légitime. Voir §8 pour savoir comment exercer ce droit.

05 Avec qui nous partageons les données

Nous ne partageons des données personnelles que dans les cas décrits ci-dessous.

Prestataires de services (sous-traitants)

Nous faisons appel à un nombre limité de sous-traitants contrôlés pour héberger le Service, acheminer les e-mails et fournir des fonctionnalités spécifiques. La liste actualisée des sous-traitants est tenue dans le Accord de traitement des données. Les sous-traitants sont liés par des contrats écrits conformes aux exigences de l'article 28 du RGPD. Nous informons les Clients de tout nouveau sous-traitant au moins trente (30) jours avant le début du traitement des Données Client.

Fournisseurs d'IA

Atlas Document Intelligence, l'Accounting AI, le Bot Studio et les fonctionnalités similaires font appel à un ou plusieurs fournisseurs d'IA tiers (p. ex. Anthropic, OpenAI, Google) selon un mode par requête. Nous ne transmettons que les données strictement nécessaires à la tâche demandée ; nous utilisons des points de terminaison entreprise sans rétention de données lorsqu'ils sont disponibles, de sorte que les requêtes ne sont ni conservées ni utilisées pour l'entraînement. Le Client peut désactiver les fournisseurs d'IA externes au profit du modèle Gemma hébergé localement sur les niveaux Sovereign et Air-Gapped.

Contreparties du Marketplace

Lorsqu'un Client (Opérateur) publie une annonce sur le Marketplace, des données récapitulatives anonymisées sont visibles par les Financeurs agréés. Les informations identifiantes (nom de l'opérateur, noms des contreparties, localisation de l'usine) ne sont divulguées qu'après approbation explicite par l'Opérateur d'un Financeur spécifique, selon le protocole de divulgation en deux étapes décrit à l'adresse edma.trade/network/how-financing-works.

Autorités

Nous communiquons des données personnelles aux tribunaux, aux régulateurs ou aux autorités chargées de l'application de la loi lorsque cela est requis par une procédure légale valide ou pour protéger nos droits. Dans la mesure où la loi le permet, nous en informons les Clients concernés à l'avance.

Opérations sur le capital

Si EDMA fait l'objet d'une fusion, d'une acquisition, d'une restructuration ou d'une cession d'actifs, les données personnelles pourront être transférées à l'entité successeure. Cette entité sera liée par la présente Politique de confidentialité ou par une politique successeure offrant des protections matériellement équivalentes.

Nous ne vendons ni ne louons de données personnelles.

06 Transferts internationaux

EDMA opère dans plusieurs juridictions, dont l'Espace économique européen, le Royaume-Uni et d'autres régions. Les données personnelles peuvent être transférées vers des pays autres que celui dans lequel elles ont été collectées, et y être traitées.

Lorsque des données personnelles sont transférées hors de l'EEE ou du Royaume-Uni vers un pays ne bénéficiant pas d'une décision d'adéquation, nous nous appuyons sur des garanties appropriées, notamment les Clauses contractuelles types de la Commission européenne (ainsi que leur équivalent britannique), des mesures techniques complémentaires (chiffrement en transit et au repos) et des mesures contractuelles complémentaires avec le sous-traitant destinataire.

La liste des régions dans lesquelles les Données Client sont hébergées est documentée dans le DPA.

07 Conservation

Nous conservons les données personnelles uniquement aussi longtemps que nécessaire aux finalités énoncées au §3, puis nous les supprimons ou les anonymisons. Plus précisément :

  • Données de compte — pendant la durée du compte, plus une période d'archivage raisonnable pour les réclamations juridiques.
  • Données client dans TradeOS — pendant la Durée d'abonnement plus une fenêtre d'export de 30 jours, après quoi nous les supprimons (sous réserve des obligations de conservation imposées par la loi au Client, p. ex. les registres fiscaux).
  • Journaux d'utilisation & journaux de sécurité — généralement 12 mois, plus longtemps si nécessaire pour des enquêtes.
  • Données marketing — jusqu'au désabonnement de l'abonné, plus une liste de suppression pour respecter le désabonnement.
  • Documents financiers & factures — pendant la durée requise par la législation fiscale et comptable (généralement 6 à 10 ans selon la juridiction).

08 Vos droits

Si le RGPD ou une loi équivalente vous est applicable, vous disposez des droits suivants concernant les données personnelles que nous détenons à votre sujet :

  • Accès — demandez une copie des données personnelles que nous détenons à votre sujet.
  • Rectification — demandez-nous de corriger des données inexactes ou incomplètes.
  • Effacement — demandez-nous de supprimer des données personnelles lorsqu'il n'existe pas de base juridique prépondérante justifiant leur conservation.
  • Limitation — demandez-nous de suspendre le traitement le temps qu'un litige soit résolu.
  • Portabilité — demandez une copie lisible par machine des données que vous avez fournies, dans un format structuré et couramment utilisé.
  • Opposition — opposez-vous au traitement fondé sur un intérêt légitime, y compris le profilage et la prospection commerciale directe.
  • Retrait du consentement — lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
  • Réclamation — déposez une réclamation auprès de votre autorité de contrôle compétente. Voir §14.

Pour exercer ces droits, écrivez à [email protected] en indiquant comme objet [Privacy]. Nous répondons dans un délai de trente (30) jours. Nous pouvons vous demander une preuve d'identité avant de donner suite à votre demande. Lorsque les données constituent des Données Client (traitées par nous pour le compte d'un Client), nous transmettons votre demande au Client-responsable concerné.

09 CCPA / Avis relatifs aux lois américaines sur la protection des données

Si vous résidez en Californie, le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) vous confèrent des droits supplémentaires :

  • Droit d'accès aux catégories de données personnelles que nous avons collectées vous concernant, aux sources, aux finalités ainsi qu'aux destinataires de ces données.
  • Droit à l'effacement des données personnelles, sous réserve des exceptions applicables.
  • Droit de rectification des données personnelles inexactes.
  • Droit d'opposition à la « vente » ou au « partage » de données personnelles. Nous ne vendons ni ne partageons de données personnelles au sens des définitions prévues par la CCPA/CPRA.
  • Droit de limiter l'utilisation des données personnelles sensibles, le cas échéant.
  • Droit à la non-discrimination dans l'exercice de ces droits.

Pour exercer ces droits, contactez-nous selon les modalités indiquées au §8. Nous ne collectons pas sciemment de données personnelles concernant des personnes de moins de 16 ans.

Si vous résidez en Virginie, au Colorado, dans le Connecticut, en Utah, au Texas ou dans tout autre État américain doté d'une législation globale sur la protection des données, vous bénéficiez de droits substantiellement similaires à ceux décrits ci-dessus. Nous appliquons les mêmes procédures quelle que soit la juridiction.

10 Cookies & traçage

Nous utilisons un nombre limité de cookies et de technologies similaires sur nos sites web et dans le Service. Consultez la Politique en matière de cookies pour l'inventaire complet et les modalités de gestion.

Nous n'utilisons pas de cookies publicitaires tiers. Nous ne participons à aucun réseau publicitaire intersites.

11 Sécurité

Nous protégeons les données personnelles par des mesures de protection administratives, techniques et physiques adaptées au risque, notamment le chiffrement en transit (TLS 1.2+) et au repos, le contrôle d'accès basé sur les rôles, l'accès à la production selon le principe du moindre privilège, la journalisation d'audit, la gestion des vulnérabilités, les procédures de sauvegarde et de reprise après sinistre, ainsi que la formation du personnel. Les mesures techniques et organisationnelles que nous appliquons sont décrites en détail dans le DPA.

Aucun système n'est parfaitement sécurisé. Si vous découvrez une vulnérabilité ou suspectez une violation, écrivez à [email protected] avec pour objet [Security].

12 Mineurs

Le Service est destiné à un usage professionnel par des adultes. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans. Si vous pensez qu'un mineur nous a communiqué des données personnelles, veuillez nous contacter et nous les supprimerons.

13 Modifications

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. La version en vigueur est toujours disponible à l'adresse edma.trade/legal/privacy avec la date de « Dernière mise à jour » en haut. Les modifications substantielles — celles qui réduisent sensiblement vos droits ou ajoutent de nouvelles catégories de traitement — seront notifiées aux administrateurs de compte par e-mail au moins 30 jours avant leur entrée en vigueur.

14 Contact et réclamations

Pour toute question, demande ou réclamation relative à la confidentialité, contactez-nous à [email protected] avec pour objet [Privacy]. Nous accusons réception dans un délai d'un jour ouvrable et apportons une réponse de fond dans un délai de trente (30) jours.

Si vous êtes dans l'EEE, au Royaume-Uni ou en Suisse et que vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une réclamation auprès de votre autorité de contrôle locale en matière de protection des données.

QUESTIONS

Écrivez-nous.

Pour des clarifications, des réclamations ou pour exercer un droit sur vos données au titre de ce document — écrivez à [email protected] avec pour objet [Legal]. Nous répondons dans un délai d'un jour ouvré.

ENTITÉ JURIDIQUE

EDMA Group

L'entité derrière TradeOS, le Marketplace et les activités plus larges de EDMA Group. Les informations d'immatriculation sont disponibles sur demande à l'adresse ci-dessus. edma.co →

ARCHIVES

Versions précédentes.

Les versions antérieures de ce document sont archivées. Pour demander une version spécifique, écrivez à [email protected] avec pour objet [Legal archive].

Politique de confidentialité | TradeOS