1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme Carriva (accessible à l'adresse carriva.fr) est :
- Raison sociale : Drafted By
- Email : [email protected]
Lorsqu'un cabinet de gestion de patrimoine utilise Carriva pour traiter les données de ses propres clients, Carriva agit en qualité de sous-traitant au sens de l'article 28 du RGPD, le cabinet restant responsable de traitement.
2. Données collectées
Dans le cadre de l'utilisation de la plateforme, nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, adresse email professionnelle, nom du cabinet.
- Données de connexion : adresse IP, logs de connexion, identifiants de session.
- Données issues du relevé de carrière : NIR (numéro de sécurité sociale), état civil, périodes d'activité, salaires reportés, trimestres validés, régimes de rattachement, points AGIRC-ARRCO.
- Données d'hypothèses et projection : paramètres saisis par le conseiller (salaire projeté, âge de départ envisagé, scénarios de carrière), résultats de calcul de projection de pension.
- Rapports et courriers générés : rapports d'audit, documents d'hypothèses, lettres de réclamation type CNAV/CARSAT/AGIRC-ARRCO pré-remplies.
- Données conversationnelles (Assistant IA) : questions posées à l'assistant et contexte du dossier transmis au moteur lorsque le conseiller active explicitement la fonctionnalité.
- Données de facturation : informations de paiement (traitées par notre prestataire de paiement Stripe, voir §10).
- Données de navigation et de performance : pages visitées, interactions, événements d'usage collectés via PostHog (hébergé dans l'Union européenne) sur la base de l'intérêt légitime, voir §11.
- Données d'erreur (Sentry) :en cas d'erreur technique, des informations de diagnostic sont transmises à Sentry (adresse IP anonymisée, type de navigateur, page visitée, trace d'erreur).
- Journal d'activité (traçabilité) : horodatage des accès aux dossiers clients par les collaborateurs du cabinet, à des fins de sécurité et d'auditabilité interne.
Les relevés de carrière importés contiennent le NIR et des données relatives à la carrière professionnelle. Ils sont chiffrés au repos et en transit, isolés par cabinet, et ne sont jamais partagés avec des tiers en dehors des sous-traitants strictement nécessaires listés au §10.
3. Traitement du NIR (numéro de sécurité sociale)
Carriva traite le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), couramment appelé numéro de sécurité sociale, lorsqu'il figure dans le relevé individuel de situation (RIS) ou dans les relevés AGIRC-ARRCO importés par le conseiller.
Le NIR n'est pas une donnée sensible au sens de l'article 9 du RGPD, mais son traitement est strictement encadré par :
- L'article 30 de la loi Informatique et Libertés modifiée, qui réserve l'usage du NIR à des finalités limitativement énumérées.
- Le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du NIR.
Finalité unique :permettre la lecture, l'analyse automatisée et la restitution du relevé de carrière de la personne concernée, pour le compte du cabinet responsable de traitement, dans le cadre de la constatation des droits à pension. Le NIR n'est jamais utilisé à des fins d'identification secondaire, de rapprochement avec d'autres fichiers, ni à des fins statistiques ou commerciales.
Base juridique :le traitement repose sur le fondement de l'article 30 de la loi Informatique et Libertés, en lien avec l'exécution du contrat conclu entre le cabinet et son client final, et, s'agissant de la relation Carriva / cabinet, sur l'article 6.1.b du RGPD.
Périmètre technique :le NIR est stocké chiffré, isolé par cabinet, accessible uniquement aux collaborateurs autorisés du cabinet. Il n'est jamais transmis à l'Assistant IA (voir §4), ni à PostHog, ni à Sentry, ni à aucun autre sous-traitant d'analyse ou de support.
4. Assistant IA / RAG
La plateforme propose un assistant conversationnel fondé sur une architecture de génération augmentée par récupération (RAG). Cette fonctionnalité est désactivée par défaut et ne peut être activée que par une action explicite du conseiller dans les paramètres du compte.
Lorsque la fonctionnalité est activée :
- Les questions formulées par le conseiller et un contexte limité du dossier (anomalies détectées, synthèse de carrière, scénarios d'hypothèses) sont transmis à nos fournisseurs de modèles de langage, OpenRouter, OpenAI et Anthropic, situés aux États-Unis.
- Le NIR n'est jamais transmis au moteur IA. Un filtre applicatif supprime le NIR, le nom complet et la date de naissance du contexte envoyé aux modèles avant tout appel distant.
- Les transferts vers ces fournisseurs sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne et, lorsque disponible, par l'adhésion au Data Privacy Framework UE-USA.
- Nous sélectionnons des endpoints configurés en mode « zéro rétention » (absence de stockage prolongé) et qui excluent contractuellement la réutilisation des données pour l'entraînement des modèles.
- Les réponses générées par l'IA sont fournies à titre indicatif et ne constituent pas un conseil en retraite ni un conseil patrimonial.
5. Audit gratuit grand public ( /audit)
La page /audit permet à toute personne physique de téléverser son propre relevé de carrière PDF et de recevoir gratuitement une analyse automatisée, sans création de compte.
- Conservation 7 jours du PDF : le fichier téléversé est analysé puis conservé jusqu'à 7 jourssur un volume privé non exposé, à seule fin de permettre la résolution d'un incident technique sur le Bundle Audit Complet payant (paiement abouti mais génération du dossier échouée). Passé ce délai, le PDF est supprimé automatiquementpar un cron quotidien. Aucune copie n'est faite vers un stockage tiers. L'utilisateur peut demander la suppression anticipée à [email protected].
- Rétention 7 jours pour les données extraites : les données extraites du relevé (NIR, carrière, salaires) ne sont pas conservées au-delà de la même fenêtre de 7 jours, et uniquement pour le besoin de traitement d'incident décrit ci-dessus. Le rapport est envoyé par email à l'adresse saisie par l'utilisateur, puis l'ensemble est purgé automatiquement.
- Rétention 24 h pour le Bundle Audit Complet (offre payante) : si l'utilisateur choisit d'acheter le Bundle Audit Complet (audit PDF, lettres pré-remplies, projections Hypothèses), les données extraites du relevé sont conservées pendant 24 heures maximum, le temps de générer et de livrer les cinq documents par email. Cette conservation est gouvernée par un consentement explicite recueilli sur la page de paiement (case à cocher dédiée). Passé ce délai, l'ensemble des données est automatiquement supprimépar un cron quotidien. L'utilisateur peut demander la suppression immédiate à [email protected].
- Email de contact :seul l'email renseigné pour la réception du rapport est conservé, à des fins de facturation de la gratuité, de détection d'abus et, le cas échéant, de prise de contact commercial ultérieure sur la base de l'intérêt légitime. Un lien de désabonnement figure dans chaque message.
- Pas de traceur non essentiel sans consentement : la page
/auditne pose aucun cookie publicitaire et n'intègre aucun traceur tiers de ciblage. - Nature du service :l'audit porte sur la qualité des informations enregistrées dans le relevé, pas sur l'estimation de la pension future. Il n'a pas valeur de justificatif et ne constitue pas un conseil en retraite.
6. Finalités du traitement
Les données personnelles sont traitées pour les finalités suivantes :
- Fourniture et gestion du service d'audit de relevés de carrière.
- Création et gestion des comptes utilisateurs professionnels.
- Calcul d'hypothèses et projection de retraite : simulation de pensions futures à partir des paramètres saisis par le conseiller, à titre strictement indicatif et sans valeur d'engagement.
- Génération de lettres de réclamation et plans d'action : production de courriers pré-remplis à destination des caisses (CNAV/CARSAT, AGIRC-ARRCO) pour faire corriger les anomalies identifiées.
- Assistant conversationnel IA : réponse aux questions du conseiller sur la réglementation retraite et le dossier analysé, sur activation explicite.
- Audit gratuit grand public :analyse ponctuelle d'un relevé de carrière fourni par une personne physique, avec suppression immédiate.
- Facturation et gestion des abonnements (Stripe).
- Traçabilité des accès aux dossiers clients (journal d'activité interne aux cabinets).
- Amélioration continue de la plateforme et de ses algorithmes de détection d'anomalies.
- Communication de mises à jour et d'informations relatives au service.
- Respect des obligations légales et réglementaires.
- Mesure d'audience et de performance produit (PostHog, Sentry), fondée sur l'intérêt légitime.
- Envoi d'emails transactionnels et, le cas échéant, commerciaux avec droit d'opposition.
7. Base légale
Le traitement des données repose sur les bases légales suivantes :
- Exécution du contrat : traitement nécessaire à la fourniture du service souscrit par le cabinet, ou du service gratuit sollicité par la personne physique via
/audit(article 6.1.b du RGPD). - Intérêt légitime :sécurité de la plateforme, mesure d'audience (PostHog), monitoring d'erreurs (Sentry), prévention de la fraude et de l'abus, amélioration continue du service, prospection commerciale ciblée auprès des professionnels (article 6.1.f du RGPD). L'équilibre avec les droits des personnes concernées a été évalué et un droit d'opposition est ouvert à tout moment (voir §9).
- Obligation légale : conservation des données de connexion, obligations comptables et fiscales (article 6.1.c du RGPD).
- Disposition spécifique relative au NIR : article 30 de la loi Informatique et Libertés et décret n° 2019-341 (voir §3).
8. Durée de conservation
Les données personnelles sont conservées pour les durées suivantes :
- Données de compte : durée de la relation contractuelle + 3 ans après la résiliation.
- Données métier (relevés, rapports, hypothèses, lettres) : supprimées 30 jours après la clôture du compte, sauf demande antérieure de l'utilisateur.
- Audit gratuit B2C :PDF téléversé et données extraites conservés jusqu'à 7 jours sur un volume privé pour le traitement d'incident, puis supprimés automatiquement par cron quotidien ; email conservé 24 mois maximum avec possibilité de désabonnement immédiat.
- Conversations Assistant IA :conservées 12 mois maximum pour permettre au conseiller de consulter l'historique de ses échanges, puis supprimées automatiquement. Zéro rétention négociée côté fournisseurs de modèles.
- Logs de connexion : 12 mois conformément à la législation en vigueur.
- Journal d'activité (accès dossiers) : 24 mois.
- Données de facturation : 10 ans conformément aux obligations comptables.
- Sessions d'authentification : 24 heures (renouvelées automatiquement), purgées de la base après 30 jours.
- Données d'audience (PostHog) : 12 mois.
- Logs d'erreur (Sentry) : 90 jours.
9. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation du traitement et une copie de vos données.
- Droit de rectification : corriger les données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de vos données sous réserve des obligations légales.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible.
- Droit d'opposition :vous opposer, à tout moment et sans justification, aux traitements fondés sur l'intérêt légitime, notamment la mesure d'audience et la prospection commerciale.
- Droit de limitation : demander la limitation du traitement dans certains cas.
Pour exercer ces droits, contactez le délégué à la protection des données (DPO) de Carriva à l'adresse [email protected], ou notre contact général [email protected]. Lorsque vos données sont traitées par Carriva pour le compte d'un cabinet, votre demande sera transmise au cabinet responsable de traitement. Vous pouvez également introduire une réclamation auprès de la CNIL.
10. Sous-traitants
Dans le cadre de la fourniture de ses services, Carriva fait appel aux sous-traitants suivants :
| Sous-traitant | Service | Données traitées | Localisation |
|---|---|---|---|
| Cloudflare | CDN, tunnel, DNS | Adresses IP, requêtes HTTP | USA / UE |
| OpenRouter / OpenAI / Anthropic | Moteur d'Assistant IA (RAG, opt-in) | Questions et contexte du dossier, sans NIR ni état civil complet | USA (CCT + DPF) |
| Stripe | Paiement et facturation | Email, nom, données bancaires (tokenisées) | USA (PCI-DSS, CCT, DPF) |
| Resend | Emails transactionnels | Email, nom, contenu des messages | USA (CCT) |
| PostHog | Mesure d'audience produit | Événements de navigation, identifiant pseudonyme | UE (Francfort) |
| Sentry | Monitoring d'erreurs | Données techniques (identifiant pseudonyme, trace d'erreur) | UE |
| Inngest | Orchestration de tâches asynchrones | Identifiants pseudonymes, email (envois différés) | USA (CCT) |
Le NIR et l'état civil complet des personnes figurant dans les relevés de carrière ne sont transmis à aucun de ces sous-traitants.
11. Cookies et traceurs
Carriva fait le choix de la transparence directe plutôt que de la multiplication des bandeaux. Nous n'utilisons aucun cookie publicitaire, aucun traceur de ciblage, aucun pixel de réseau social et aucun partenaire de remarketing. Les seuls traceurs déposés sont ceux strictement nécessaires au fonctionnement du service et à sa mesure d'audience interne, tous fondés sur l'exécution du contrat ou sur l'intérêt légitime au sens du RGPD.
| Nom | Émetteur | Finalité | Durée | Base légale |
|---|---|---|---|---|
| better-auth.session_token | Carriva (Better Auth) | Authentification et maintien de la session utilisateur | 7 jours | Exécution du contrat (6.1.b) — strictement nécessaire |
| ph_* | PostHog (UE, Francfort) | Mesure d'audience produit, analyse de parcours, détection d'erreurs d'interface | 12 mois | Intérêt légitime (6.1.f) — opt-out possible |
| sentry-* | Sentry (UE) | Identification des sessions pour corréler les erreurs techniques | Session | Intérêt légitime (6.1.f) |
| __stripe_* | Stripe | Sécurité du paiement, prévention de la fraude, déposé uniquement sur les pages de checkout | Jusqu'à 1 an | Exécution du contrat (6.1.b) et intérêt légitime (6.1.f) |
Honnêteté sur la mesure d'audience
Contrairement à la pratique dominante, Carriva n'affiche pas de bandeau de consentement cookies et n'attend pas votre accord préalable pour activer PostHog. La mesure d'audience démarre dès votre arrivée, sur le fondement de l'intérêt légitime. Cette mesure est pseudonymisée (pas d'adresse email, pas de nom, pas de NIR), hébergée dans l'Union européenne, et n'est partagée avec aucun tiers publicitaire. Vous avez toutefois un droit d'opposition effectif décrit ci-dessous.
Comment vous opposer à la mesure d'audience PostHog ?
- Activer le signal « Do Not Track » ou « Global Privacy Control » dans votre navigateur : Carriva le respecte et désactive alors PostHog.
- Bloquer le domaine
eu.i.posthog.comvia une extension de type uBlock Origin ou Privacy Badger. - Supprimer les cookies
ph_*depuis les paramètres de votre navigateur. - Nous écrire à [email protected]pour demander l'exercice de votre droit d'opposition : nous appliquerons une exclusion côté serveur.
Les cookies strictement nécessaires (better-auth.session_token, __stripe_* pendant un paiement) ne peuvent pas être désactivés sans rendre le service inopérant.
12. Transferts de données hors Union européenne
Certaines données personnelles peuvent faire l'objet d'un transfert vers les États-Unis lorsqu'elles sont traitées par les sous-traitants suivants :
- Cloudflare (CDN, proxy) — transferts encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne.
- Stripe (paiement et facturation) — Stripe est certifié conforme au Data Privacy Framework (DPF) UE-USA adopté par la Commission européenne le 10 juillet 2023, et les transferts sont en outre couverts par les clauses contractuelles types. Lorsque vous réglez un abonnement ou un service, vos données de facturation transitent par Stripe Inc. (USA) et Stripe Payments Europe Ltd (Irlande).
- OpenRouter, OpenAI, Anthropic(Assistant IA, sur activation explicite) — CCT et, lorsque disponibles, certification DPF ; sélection d'endpoints « zéro rétention » et exclusion contractuelle de l'entraînement.
- Resend (emails transactionnels) — CCT.
PostHog et Sentry sont hébergés au sein de l'Union européenne et ne font pas l'objet de transferts hors UE pour les données qui leur sont confiées par Carriva.
13. Sécurité
Carriva met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, modification, divulgation ou destruction :
- Chiffrement des données au repos et en transit (TLS 1.3).
- Authentification sécurisée avec support de la double authentification.
- Isolation des données entre les cabinets (architecture multi-tenant sécurisée).
- Filtrage applicatif du NIR et de l'état civil avant tout appel à l'Assistant IA.
- Sauvegardes régulières et plan de reprise d'activité.
- Journal d'activité traçant les accès aux dossiers clients.
- Audits de sécurité périodiques.
Carriva est par ailleurs couvert par une assurance de responsabilité civile professionnelle, qui couvre les conséquences pécuniaires de sa responsabilité, y compris en matière de protection des données personnelles. Une attestation peut être communiquée sur demande.
Nous contacter
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, le délégué à la protection des données (DPO) de Carriva est joignable à l'adresse dédiée ci-dessous.
Email DPO
Contact général
Carriva est couvert par une assurance de responsabilité civile professionnelle, qui couvre les conséquences pécuniaires de sa responsabilité, y compris en matière de protection des données personnelles. Une attestation peut être communiquée sur demande.
Nous répondons sous 48h ouvrées. Vous pouvez également saisir la CNIL en cas de litige.