Politique de confidentialité
Dernière mise à jour : 14 mai 2026
La présente politique de confidentialité décrit comment MaDeclarationCrypto.fr (le « Service ») collecte, utilise et protège vos données à caractère personnel, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable de traitement
Le responsable du traitement est : TABULIS, société par actions simplifiée à associé unique (SAS) au capital de 10 000 €, dont le siège est situé 1530 chemin des Vérans, 13100 Saint-Marc-Jaumegarde, France (SIREN 534 347 703 — RCS Aix-en-Provence).
Pour toute question relative à vos données ou à l'exercice de vos droits, vous pouvez nous écrire à : rgpd@madeclarationcrypto.fr.
2. Délégué à la protection des données (DPO)
Compte tenu de la nature et du volume des traitements, l'éditeur n'a pas désigné de Délégué à la Protection des Données au sens des articles 37 et suivants du RGPD. Toute question ou demande relative à la protection de vos données peut être adressée directement à rgpd@madeclarationcrypto.fr.
3. Données collectées et finalités
Le tableau ci-dessous récapitule les catégories de données traitées, les finalités correspondantes et la base légale du traitement au sens de l'article 6 du RGPD.
| Catégorie de données | Finalité | Base légale |
|---|---|---|
| Adresse email, mot de passe haché (Argon2id), métadonnées de session | Création et authentification du compte | Exécution du contrat (art. 6.1.b) |
| Identité fiscale (nom, prénom, adresse, date et lieu de naissance, identifiant fiscal SPI) | Pré-remplissage du formulaire Cerfa 2086 (régime 150 VH bis) et, à terme, du Cerfa 3916 / 3916 bis | Exécution du contrat (art. 6.1.b) — collecte sur initiative de l'utilisateur uniquement lors de la préparation d'une déclaration |
| Clés API des plateformes d'échange (chiffrées AES-256-GCM avant stockage), métadonnées des comptes connectés (libellé, dates de connexion, statut) | Récupération des soldes et des transactions, préparation des déclarations à partir des comptes connectés | Exécution du contrat (art. 6.1.b) |
| Snapshots de soldes et transactions (asset, quantité, date, prix, réponse brute de l'API exchange pour la traçabilité) | Constitution de l'historique nécessaire au calcul des plus-values 150 VH bis | Exécution du contrat (art. 6.1.b) |
| Cours historiques d'actifs numériques récupérés via CoinGecko | Valorisation des opérations en euros pour le calcul fiscal | Exécution du contrat (art. 6.1.b) |
| Logs serveur (adresse IP, horodatage, code de réponse) et journaux applicatifs anonymisés | Sécurité du Service, prévention et détection des incidents, respect des obligations légales | Intérêt légitime (art. 6.1.f) ; obligation légale (art. 6.1.c) |
4. Durée de conservation
- Compte utilisateur : pendant toute la durée d'utilisation du Service. En cas d'inactivité prolongée (absence de connexion pendant 36 mois consécutifs), un email de confirmation est envoyé avant suppression.
- Clés API exchange, snapshots et transactions : jusqu'à la suppression manuelle par l'utilisateur ou la résiliation de son compte, dans la limite de la conservation utile à la production des déclarations fiscales antérieures.
- Identité fiscale : conservée tant que le compte est actif ; les archives intermédiaires sont conservées conformément aux délais de prescription fiscale, soit 6 ans à compter de la dernière opération concernée (article L. 102 B du Livre des procédures fiscales), porté à 10 ans en cas de fraude (article L. 169 LPF).
- Logs serveur : 12 mois maximum, sauf en cas d'investigation de sécurité en cours.
- Sauvegardes Postgres : rotation glissante de 30 jours.
5. Destinataires et sous-traitants
Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales. Seuls les sous-traitants techniques strictement nécessaires au fonctionnement du Service y ont accès, dans la limite de leur mission :
| Sous-traitant | Rôle | Localisation | Encadrement |
|---|---|---|---|
| OVH SAS | Hébergement du serveur applicatif et de la base PostgreSQL, stockage des sauvegardes | France (datacenters européens) | Contrat de sous-traitance OVH + DPA |
| CoinGecko Pte. Ltd. | Fourniture des cours historiques publics d'actifs numériques — appels API sortants depuis nos serveurs, aucune donnée utilisateur identifiable transmise | Singapour (consultation d'une API publique) | Conditions d'utilisation publiques CoinGecko ; aucune donnée à caractère personnel transmise |
Aucune donnée n'est transmise aux plateformes d'échange tierces (Binance, Kraken, Coinbase, etc.) au-delà des appels API initiés depuis nos serveurs avec votre clé en lecture seule. Les fournisseurs d'envoi d'emails transactionnels (SMTP) seront listés dans la présente section dès que le service email sera activé.
6. Transferts hors Union européenne
L'ensemble de l'hébergement applicatif et des sauvegardes est opéré au sein de l'Union européenne (OVH France). Les appels sortants vers CoinGecko sont réalisés sans transmission de donnée personnelle identifiable (uniquement identifiants d'actifs et dates). Aucun transfert de donnée personnelle vers un pays tiers n'est, à la date de la présente, mis en œuvre par l'éditeur.
7. Sécurité des données
L'éditeur met en œuvre les mesures techniques et organisationnelles raisonnables pour protéger vos données, parmi lesquelles :
- Communications systématiquement chiffrées en TLS (HTTPS uniquement) ;
- Chiffrement applicatif AES-256-GCM des clés API d'exchange avant stockage en base ; les colonnes chiffrées ne sont jamais exposées au navigateur ;
- Hachage des mots de passe via l'algorithme Argon2id (paramètres conformes aux recommandations OWASP) ;
- Authentification fondée sur des cookies HttpOnly + jeton CSRF double-submit ; jetons à durée limitée ;
- Sauvegardes quotidiennes automatisées de la base de données, rotation glissante sur 30 jours, restauration testée ;
- Mises à jour de sécurité appliquées aux dépendances et au système hôte ;
- Accès aux logs et à la base réservé aux administrateurs identifiés.
8. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données :
- Droit d'accès (art. 15 RGPD) — obtenir confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17), dit « droit à l'oubli » — sous réserve des exceptions légales (notamment obligations comptables et fiscales) ;
- Droit à la limitation du traitement (art. 18) ;
- Droit d'opposition (art. 21) au traitement fondé sur l'intérêt légitime ;
- Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit de définir des directives post-mortem (loi Informatique et Libertés, art. 85).
Comment exercer vos droits
Vous pouvez exercer ces droits, à tout moment et gratuitement, en écrivant à rgpd@madeclarationcrypto.fr, en précisant l'adresse email associée à votre compte. Une preuve d'identité pourra vous être demandée en cas de doute raisonnable. Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité ou de volume des demandes.
Une partie de ces droits peut également être exercée directement depuis votre espace « Mon compte » : modification de l'identité fiscale, gestion des comptes exchange connectés, changement du mot de passe.
9. Réclamation auprès de la CNIL
Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous avez la possibilité d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- www.cnil.fr/fr/plaintes
10. Cookies et stockage local
Le site n'utilise aucun cookie publicitaire ou de mesure d'audience. Deux cookies strictement nécessaires au fonctionnement du Service sont déposés après votre connexion :
mdc_access_token(HttpOnly, durée 60 minutes) : jeton de session authentifiant l'utilisateur, non lisible par le JavaScript du navigateur ;mdc_csrf_token(lisible par le navigateur, durée 60 minutes) : jeton anti-CSRF lu par l'application et renvoyé en en-tête sur les requêtes modifiantes.
Ces cookies sont strictement nécessaires au fonctionnement du Service et ne sont donc pas soumis au consentement préalable au sens de l'article 82 de la loi Informatique et Libertés. Vous pouvez vous déconnecter à tout moment depuis la page « Mon compte », ce qui supprime ces cookies de votre navigateur.
11. Évolution de la présente politique
La présente politique peut être mise à jour à tout moment pour refléter l'évolution du Service, de nos sous-traitants ou de la réglementation. La date de dernière mise à jour figure en haut de cette page. Les modifications substantielles sont notifiées par email aux utilisateurs disposant d'un compte actif.