Corporaly · Légal

Politique de confidentialité.

Dernière mise à jour : 26 avr. 2026Version 1.0

La présente politique décrit comment Corporaly collecte, utilise et protège vos données personnelles au sens du Règlement (UE) 2016/679 (RGPD). Elle s'applique à toute personne physique utilisant le site corporaly.com et les services associés.

1. Identité du responsable de traitement

Le responsable de traitement est Steep Agency LLC, opérant sous la marque Corporaly, sise 8206 Louisiana Blvd NE, Ste A #6863, Albuquerque, NM 87113, USA. EIN 61-2277489.

Contact RGPD / Délégué à la protection des données : dpo@corporaly.com.

Steep Agency LLC, en tant qu'entité non établie dans l'UE proposant des services à des résidents UE, est soumise au RGPD au titre de l'article 3.2.a du règlement.

2. Données collectées

Corporaly collecte et traite les catégories de données suivantes :

  • Données d'identité : nom, prénom, date et lieu de naissance, nationalité, photo de pièce d'identité (passeport recto-verso), signature manuscrite ou électronique.
  • Données de contact : adresse email, numéro de téléphone, adresse postale.
  • Données KYC / LCB-FT : justificatif de domicile de moins de 3 mois, copie de passeport, et le cas échéant relevé bancaire ou source des fonds.
  • Données société(en cours de constitution) : raison sociale envisagée, État de constitution, capital, secteur d'activité, code NAICS, structure d'ownership.
  • Données de paiement : tokenisées, traitées par Stripe — Corporaly ne stocke ni numéro de carte ni cryptogramme.
  • Données techniques : adresse IP, type de navigateur, pages visitées, durée de session, identifiants de cookies (cf. politique cookies).
  • Données de communication : échanges email, tickets support, transcripts d'appels Cal.com (si enregistrement consenti).
  • Données marketing : préférences de communication, statut newsletter.

3. Finalités et bases légales

Pour chaque finalité, la base légale au sens de l'article 6 du RGPD est précisée ci-dessous :

FinalitéBase légale
Création et gestion du compte clientExécution du contrat (art. 6.1.b)
Exécution des Services (LLC, EIN, RA, abonnements)Exécution du contrat (art. 6.1.b)
Vérification d'identité et conformité LCB-FTObligation légale (art. 6.1.c — L.561-2 12° CMF)
Facturation et obligations comptablesObligation légale (art. 6.1.c)
Gestion des paiements et lutte contre la fraudeIntérêt légitime (art. 6.1.f)
Sécurité du site et journalisationIntérêt légitime (art. 6.1.f)
Réponse aux demandes supportExécution du contrat / intérêt légitime
Communications marketing (newsletter, séquences)Consentement (art. 6.1.a) — retirable à tout moment
Cookies analytiques et marketingConsentement (art. 6.1.a)
Constatation, exercice, défense de droits en justiceIntérêt légitime (art. 6.1.f)

4. Destinataires et sous-traitants

Les données sont accessibles aux personnels habilités de Corporaly et à ses sous-traitants liés par des engagements contractuels (Data Processing Agreement RGPD-compliant). La liste complète des sous-traitants est tenue à jour et inclut notamment :

  • Vercel Inc.(USA) : hébergement, edge.
  • Supabase(UE — Paris) : base de données et stockage chiffré.
  • Stripe Payments Europe Ltd(Irlande, UE) : paiements (sous-traitant ultérieur Stripe Inc., USA).
  • Resend(UE — Irlande) : envoi d'emails transactionnels.
  • Cal.com(USA) : prise de rendez-vous.
  • PostHog(UE Cloud) : produit-analytics.
  • Crisp(FR) : support client.
  • Sumsub(UE) : vérification d'identité KYC.
  • Partenaires CPA agréés(USA / autres) : préparation comptable, traitement au cas par cas sur demande client.

5. Transferts hors Union européenne

Le responsable de traitement est lui-même établi aux États-Unis, et plusieurs sous-traitants traitent les données dans des pays tiers, notamment aux États-Unis. Les transferts sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD :

  • Décision d'adéquation EU-US Data Privacy Framework (DPF), pour les sous-traitants certifiés. Sont à ce jour DPF-certifiés, sous réserve de vérification périodique sur dataprivacyframework.gov/list : Stripe, Vercel, Cal.com.
  • Clauses contractuelles types (CCT)adoptées par la Commission européenne le 4 juin 2021, à défaut d'adéquation, complétées par des mesures techniques (chiffrement, pseudonymisation).
  • Évaluation des risques de transferts (Transfer Impact Assessment) tenue à jour, conformément à la jurisprudence Schrems II.

Le Client peut obtenir copie des CCT signées sur demande à dpo@corporaly.com.

6. Durées de conservation

  • Données du compte client (actif) : pendant toute la durée de la relation contractuelle.
  • Données KYC(passeport, justificatif de domicile) : 5 ans à compter de la fin de la relation contractuelle (article L.561-12 CMF).
  • Données comptables et factures : 10 ans (article L.123-22 du Code de commerce français).
  • Logs techniques et journaux de sécurité : 12 mois maximum.
  • Données marketing : jusqu'au retrait du consentement, et 3 ans maximum après le dernier contact en cas d'inactivité.
  • Cookies : durées précisées dans la politique cookies.

À l'issue de ces durées, les données sont supprimées ou anonymisées de façon irréversible.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accèsà vos données ;
  • Droit de rectification ;
  • Droit à l'effacement(« droit à l'oubli »), sous réserve des obligations légales de conservation (notamment LCB-FT 5 ans et comptable 10 ans) ;
  • Droit à la limitationdu traitement ;
  • Droit d'oppositionau traitement fondé sur l'intérêt légitime ou à des fins de prospection ;
  • Droit à la portabilité ;
  • Droit de retirer son consentementà tout moment, sans rétroactivité ;
  • Droit de définir des directives relatives au sort des données après votre décès.

Ces droits s'exercent par email à dpo@corporaly.com, accompagnés d'un justificatif d'identité si nécessaire à la levée de doute. Une réponse est apportée dans un délai d'un (1) mois, prolongeable de deux (2) mois en cas de demande complexe (article 12.3 RGPD).

8. Réclamation auprès de l'autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France — cnil.fr/fr/plaintes — ou auprès de l'autorité de contrôle de l'État membre de votre résidence habituelle.

9. Sécurité

Corporaly met en œuvre des mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD :

  • Chiffrement des données au repos et en transit (TLS 1.3, AES-256) ;
  • Authentification multi-facteurs (MFA) obligatoire pour les opérateurs disposant d'un accès administrateur ;
  • Politique d'accès Row-Level Securitycôté base de données Postgres ;
  • Journalisation des accès aux données sensibles (KYC), audit log immutable ;
  • Sauvegardes chiffrées avec rétention limitée ;
  • Formation périodique des collaborateurs aux risques RGPD et LCB-FT.

10. Cookies

L'utilisation des cookies et traceurs est détaillée dans la politique cookies. Vous pouvez modifier vos choix à tout moment depuis le lien « Cookies » en pied de page.

La présente politique est susceptible d'évoluer. Toute modification substantielle est notifiée par email aux Clients actifs. Pour toute question : dpo@corporaly.com.