Politique de Confidentialité
Protection des données personnelles — Clients professionnels (B2B)
La présente Politique de Confidentialité décrit la manière dont OSTRIA SAS collecte, utilise, conserve et protège les données à caractère personnel dans le cadre de la solution OstriaPay, fournie en mode SaaS à des professionnels (B2B).
Elle est établie en conformité avec le RGPD (UE) 2016/679, la loi Informatique et Libertés n° 78-17, et le Règlement MiCA (UE) 2023/1114.
Ostria agit en qualité de responsable de traitement des données à caractère personnel collectées dans le cadre du Service OstriaPay.
| Dénomination sociale | OSTRIA SAS |
| SIREN | 992 610 618 |
| Siège social | VILLA LA MAISON BLEUE, 286 Carrughju di Guglielmu, 20620 BIGUGLIA |
| Contact / DPO | info@ostriapay.com |
3.1 Données d'identification et de compte
- Données d'identification du Client : raison sociale, SIREN/SIRET, forme juridique, adresse, représentant légal, Administrateur désigné.
- Coordonnées professionnelles : adresse email, numéro de téléphone.
- Données de connexion : identifiants, horodatages, logs d'accès, traces d'authentification.
3.2 Données financières et bancaires — Confidentialité renforcée
- Coordonnées bancaires (IBAN) : utilisées exclusivement pour la transmission à Bridge aux fins d'exécution des virements. Jamais partagées à des fins commerciales.
- Historique des transactions : encaissements en stablecoins, opérations de conversion, opérations d'off-ramp, statuts.
- Rapports et exports comptables : données figurant dans les exports générés par OstriaPay.
3.3 Données d'utilisation et logs techniques
- Journaux techniques horodatés : authentifications, appels API, webhooks, erreurs système.
- Données de navigation : adresse IP, navigateur, pages visitées dans l'interface OstriaPay.
3.4 Ce qu'Ostria ne collecte PAS
- Ostria ne collecte PAS les pièces justificatives KYB/KYC — ces documents sont traités directement par Bridge.
- Ostria ne conserve pas les clés privées cryptographiques — la custody est assurée par Bridge.
- Ostria ne traite pas les données des clients finaux (payeurs) — le Client en est seul responsable de traitement.
| Finalité | Données concernées | Base légale (RGPD) |
|---|---|---|
| Gestion du compte et fourniture du Service | ID client, email, coordonnées | Exécution du contrat (art. 6.1.b) |
| Exécution des transactions (encaissements, conversions, off-ramp) | Données financières, IBAN, historique | Exécution du contrat (art. 6.1.b) |
| Génération des rapports et exports comptables | Historique, montants, statuts | Exécution du contrat (art. 6.1.b) |
| Sécurité du Service et prévention des fraudes | Logs, IP, traces d'authentification | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales (LCB-FT, MiCA) | Données d'identification, transactions | Obligation légale (art. 6.1.c) |
| Support client et traitement des réclamations | Données de contact, logs, tickets | Exécution du contrat / Intérêt légitime |
| Amélioration du Service | Données agrégées et anonymisées uniquement | Intérêt légitime (art. 6.1.f) |
5.1 Engagements de confidentialité
- Données transactionnelles et financières : jamais transmises à des tiers à des fins commerciales ou publicitaires.
- Accès interne limité : seuls les membres de l'équipe Ostria disposant d'une habilitation spécifique ont accès aux données des Clients. Cet accès est journalisé.
- Non-exploitation commerciale : Ostria n'exploite ni ne monétise les données des Clients.
5.2 Mesures de sécurité techniques et organisationnelles
- Chiffrement en transit : toutes les communications sont chiffrées via HTTPS/TLS.
- Contrôle d'accès : authentification renforcée, gestion des droits par rôles (RBAC).
- Traçabilité : journalisation horodatée de l'ensemble des actions sensibles.
- Hébergement sécurisé : données hébergées dans l'EEE ou avec garanties appropriées.
- Gestion des incidents : notification CNIL sous 72h conformément à l'art. 33 RGPD.
Les données personnelles transmises à Bridge sont traitées conformément à la Politique de Confidentialité de Bridge :
- Clients EEE : bridge.xyz/legal/eea-privacy-policy
- Contact DPO Bridge : privacy@bridge.xyz
Ostria transmet à Bridge uniquement les données strictement nécessaires : identifiants techniques du Compte Bridge, coordonnées bancaires (IBAN) pour les virements off-ramp, et informations requises pour les contrôles de conformité LCB-FT.
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Données d'identification du compte | Durée du contrat + 5 ans | Obligation légale / prescription civile |
| Données transactionnelles et financières | Durée du contrat + 10 ans | Art. L.123-22 C. com. / AML 5AMLD |
| Coordonnées bancaires (IBAN) | Durée du contrat + 1 an | Exécution du contrat |
| Logs techniques et d'accès | 12 mois glissants | Intérêt légitime / recommandation CNIL |
| Données de support (tickets) | 3 ans à compter de la clôture | Prescription légale |
| Données de facturation | 10 ans à compter de l'émission | Art. L.123-22 C. com. |
Les données traitées par Ostria sont hébergées en priorité au sein de l'EEE. En cas de transfert hors EEE, Ostria s'assure que des garanties appropriées sont en place (décisions d'adéquation ou clauses contractuelles types de la Commission européenne).
Conformément au RGPD, toute personne physique dont les données sont traitées par Ostria dispose des droits suivants :
Droit d'accès (art. 15)
Obtenir confirmation du traitement et accès à une copie de vos données.
Droit de rectification (art. 16)
Faire corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données, sous réserve des obligations légales de conservation.
Droit à la limitation (art. 18)
Demander la suspension temporaire du traitement dans certaines situations.
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré et lisible.
Droit d'opposition (art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime d'Ostria.
Pour exercer ces droits : info@ostriapay.com. Délai de réponse : 1 mois. En cas de réponse insatisfaisante : www.cnil.fr.
| Prestataire | Rôle | Garanties |
|---|---|---|
| Bridge Building sp. z o.o. | KYB/KYC, custody, conversion, off-ramp — Responsable de traitement autonome | RGPD (EEE — Pologne) — UODO |
| Hébergeur cloud | Hébergement de l'infrastructure OstriaPay | EEE ou clauses contractuelles types |
OstriaPay utilise uniquement des cookies techniques strictement nécessaires au bon fonctionnement du Service (gestion de session, sécurité, préférences). Ces cookies ne nécessitent pas de consentement préalable au sens des recommandations de la CNIL.
OstriaPay n'utilise pas de cookies publicitaires, de profilage ou de suivi comportemental multi-sites.
Ostria se réserve le droit de mettre à jour la présente Politique. En cas de modification substantielle, le Client sera informé par email ou via une notification dans l'interface OstriaPay dans un délai raisonnable avant l'entrée en vigueur.