Aller au contenu principal

Politique de Confidentialité

Dernière mise à jour : 9 avril 2026Version 1.1

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme Carriva (accessible à l'adresse carriva.fr) est :

Lorsqu'un cabinet de gestion de patrimoine utilise Carriva pour traiter les données de ses propres clients, Carriva agit en qualité de sous-traitant au sens de l'article 28 du RGPD, le cabinet restant responsable de traitement.

2. Données collectées

Dans le cadre de l'utilisation de la plateforme, nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email professionnelle, nom du cabinet.
  • Données de connexion : adresse IP, logs de connexion, identifiants de session.
  • Données issues du relevé de carrière : NIR (numéro de sécurité sociale), état civil, périodes d'activité, salaires reportés, trimestres validés, régimes de rattachement, points AGIRC-ARRCO.
  • Données d'hypothèses et projection : paramètres saisis par le conseiller (salaire projeté, âge de départ envisagé, scénarios de carrière), résultats de calcul de projection de pension.
  • Rapports et courriers générés : rapports d'audit, documents d'hypothèses, lettres de réclamation type CNAV/CARSAT/AGIRC-ARRCO pré-remplies.
  • Données conversationnelles (Assistant IA) : questions posées à l'assistant et contexte du dossier transmis au moteur lorsque le conseiller active explicitement la fonctionnalité.
  • Données de facturation : informations de paiement (traitées par notre prestataire de paiement Stripe, voir §10).
  • Données de navigation et de performance : pages visitées, interactions, événements d'usage collectés via PostHog (hébergé dans l'Union européenne) sur la base de l'intérêt légitime, voir §11.
  • Données d'erreur (Sentry) :en cas d'erreur technique, des informations de diagnostic sont transmises à Sentry (adresse IP anonymisée, type de navigateur, page visitée, trace d'erreur).
  • Journal d'activité (traçabilité) : horodatage des accès aux dossiers clients par les collaborateurs du cabinet, à des fins de sécurité et d'auditabilité interne.

Les relevés de carrière importés contiennent le NIR et des données relatives à la carrière professionnelle. Ils sont chiffrés au repos et en transit, isolés par cabinet, et ne sont jamais partagés avec des tiers en dehors des sous-traitants strictement nécessaires listés au §10.

3. Traitement du NIR (numéro de sécurité sociale)

Carriva traite le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), couramment appelé numéro de sécurité sociale, lorsqu'il figure dans le relevé individuel de situation (RIS) ou dans les relevés AGIRC-ARRCO importés par le conseiller.

Le NIR n'est pas une donnée sensible au sens de l'article 9 du RGPD, mais son traitement est strictement encadré par :

  • L'article 30 de la loi Informatique et Libertés modifiée, qui réserve l'usage du NIR à des finalités limitativement énumérées.
  • Le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du NIR.

Finalité unique :permettre la lecture, l'analyse automatisée et la restitution du relevé de carrière de la personne concernée, pour le compte du cabinet responsable de traitement, dans le cadre de la constatation des droits à pension. Le NIR n'est jamais utilisé à des fins d'identification secondaire, de rapprochement avec d'autres fichiers, ni à des fins statistiques ou commerciales.

Base juridique :le traitement repose sur le fondement de l'article 30 de la loi Informatique et Libertés, en lien avec l'exécution du contrat conclu entre le cabinet et son client final, et, s'agissant de la relation Carriva / cabinet, sur l'article 6.1.b du RGPD.

Périmètre technique :le NIR est stocké chiffré, isolé par cabinet, accessible uniquement aux collaborateurs autorisés du cabinet. Il n'est jamais transmis à l'Assistant IA (voir §4), ni à PostHog, ni à Sentry, ni à aucun autre sous-traitant d'analyse ou de support.

4. Assistant IA / RAG

La plateforme propose un assistant conversationnel fondé sur une architecture de génération augmentée par récupération (RAG). Cette fonctionnalité est désactivée par défaut et ne peut être activée que par une action explicite du conseiller dans les paramètres du compte.

Lorsque la fonctionnalité est activée :

  • Les questions formulées par le conseiller et un contexte limité du dossier (anomalies détectées, synthèse de carrière, scénarios d'hypothèses) sont transmis à nos fournisseurs de modèles de langage, OpenRouter, OpenAI et Anthropic, situés aux États-Unis.
  • Le NIR n'est jamais transmis au moteur IA. Un filtre applicatif supprime le NIR, le nom complet et la date de naissance du contexte envoyé aux modèles avant tout appel distant.
  • Les transferts vers ces fournisseurs sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne et, lorsque disponible, par l'adhésion au Data Privacy Framework UE-USA.
  • Nous sélectionnons des endpoints configurés en mode « zéro rétention » (absence de stockage prolongé) et qui excluent contractuellement la réutilisation des données pour l'entraînement des modèles.
  • Les réponses générées par l'IA sont fournies à titre indicatif et ne constituent pas un conseil en retraite ni un conseil patrimonial.

5. Audit gratuit grand public ( /audit)

La page /audit permet à toute personne physique de téléverser son propre relevé de carrière PDF et de recevoir gratuitement une analyse automatisée, sans création de compte.

  • Conservation 7 jours du PDF : le fichier téléversé est analysé puis conservé jusqu'à 7 jourssur un volume privé non exposé, à seule fin de permettre la résolution d'un incident technique sur le Bundle Audit Complet payant (paiement abouti mais génération du dossier échouée). Passé ce délai, le PDF est supprimé automatiquementpar un cron quotidien. Aucune copie n'est faite vers un stockage tiers. L'utilisateur peut demander la suppression anticipée à [email protected].
  • Rétention 7 jours pour les données extraites : les données extraites du relevé (NIR, carrière, salaires) ne sont pas conservées au-delà de la même fenêtre de 7 jours, et uniquement pour le besoin de traitement d'incident décrit ci-dessus. Le rapport est envoyé par email à l'adresse saisie par l'utilisateur, puis l'ensemble est purgé automatiquement.
  • Rétention 24 h pour le Bundle Audit Complet (offre payante) : si l'utilisateur choisit d'acheter le Bundle Audit Complet (audit PDF, lettres pré-remplies, projections Hypothèses), les données extraites du relevé sont conservées pendant 24 heures maximum, le temps de générer et de livrer les cinq documents par email. Cette conservation est gouvernée par un consentement explicite recueilli sur la page de paiement (case à cocher dédiée). Passé ce délai, l'ensemble des données est automatiquement supprimépar un cron quotidien. L'utilisateur peut demander la suppression immédiate à [email protected].
  • Email de contact :seul l'email renseigné pour la réception du rapport est conservé, à des fins de facturation de la gratuité, de détection d'abus et, le cas échéant, de prise de contact commercial ultérieure sur la base de l'intérêt légitime. Un lien de désabonnement figure dans chaque message.
  • Pas de traceur non essentiel sans consentement : la page /auditne pose aucun cookie publicitaire et n'intègre aucun traceur tiers de ciblage.
  • Nature du service :l'audit porte sur la qualité des informations enregistrées dans le relevé, pas sur l'estimation de la pension future. Il n'a pas valeur de justificatif et ne constitue pas un conseil en retraite.

6. Finalités du traitement

Les données personnelles sont traitées pour les finalités suivantes :

  • Fourniture et gestion du service d'audit de relevés de carrière.
  • Création et gestion des comptes utilisateurs professionnels.
  • Calcul d'hypothèses et projection de retraite : simulation de pensions futures à partir des paramètres saisis par le conseiller, à titre strictement indicatif et sans valeur d'engagement.
  • Génération de lettres de réclamation et plans d'action : production de courriers pré-remplis à destination des caisses (CNAV/CARSAT, AGIRC-ARRCO) pour faire corriger les anomalies identifiées.
  • Assistant conversationnel IA : réponse aux questions du conseiller sur la réglementation retraite et le dossier analysé, sur activation explicite.
  • Audit gratuit grand public :analyse ponctuelle d'un relevé de carrière fourni par une personne physique, avec suppression immédiate.
  • Facturation et gestion des abonnements (Stripe).
  • Traçabilité des accès aux dossiers clients (journal d'activité interne aux cabinets).
  • Amélioration continue de la plateforme et de ses algorithmes de détection d'anomalies.
  • Communication de mises à jour et d'informations relatives au service.
  • Respect des obligations légales et réglementaires.
  • Mesure d'audience et de performance produit (PostHog, Sentry), fondée sur l'intérêt légitime.
  • Envoi d'emails transactionnels et, le cas échéant, commerciaux avec droit d'opposition.

7. Base légale

Le traitement des données repose sur les bases légales suivantes :

  • Exécution du contrat : traitement nécessaire à la fourniture du service souscrit par le cabinet, ou du service gratuit sollicité par la personne physique via /audit (article 6.1.b du RGPD).
  • Intérêt légitime :sécurité de la plateforme, mesure d'audience (PostHog), monitoring d'erreurs (Sentry), prévention de la fraude et de l'abus, amélioration continue du service, prospection commerciale ciblée auprès des professionnels (article 6.1.f du RGPD). L'équilibre avec les droits des personnes concernées a été évalué et un droit d'opposition est ouvert à tout moment (voir §9).
  • Obligation légale : conservation des données de connexion, obligations comptables et fiscales (article 6.1.c du RGPD).
  • Disposition spécifique relative au NIR : article 30 de la loi Informatique et Libertés et décret n° 2019-341 (voir §3).

8. Durée de conservation

Les données personnelles sont conservées pour les durées suivantes :

  • Données de compte : durée de la relation contractuelle + 3 ans après la résiliation.
  • Données métier (relevés, rapports, hypothèses, lettres) : supprimées 30 jours après la clôture du compte, sauf demande antérieure de l'utilisateur.
  • Audit gratuit B2C :PDF téléversé et données extraites conservés jusqu'à 7 jours sur un volume privé pour le traitement d'incident, puis supprimés automatiquement par cron quotidien ; email conservé 24 mois maximum avec possibilité de désabonnement immédiat.
  • Conversations Assistant IA :conservées 12 mois maximum pour permettre au conseiller de consulter l'historique de ses échanges, puis supprimées automatiquement. Zéro rétention négociée côté fournisseurs de modèles.
  • Logs de connexion : 12 mois conformément à la législation en vigueur.
  • Journal d'activité (accès dossiers) : 24 mois.
  • Données de facturation : 10 ans conformément aux obligations comptables.
  • Sessions d'authentification : 24 heures (renouvelées automatiquement), purgées de la base après 30 jours.
  • Données d'audience (PostHog) : 12 mois.
  • Logs d'erreur (Sentry) : 90 jours.

9. Droits des utilisateurs

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir la confirmation du traitement et une copie de vos données.
  • Droit de rectification : corriger les données inexactes ou incomplètes.
  • Droit à l'effacement : demander la suppression de vos données sous réserve des obligations légales.
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible.
  • Droit d'opposition :vous opposer, à tout moment et sans justification, aux traitements fondés sur l'intérêt légitime, notamment la mesure d'audience et la prospection commerciale.
  • Droit de limitation : demander la limitation du traitement dans certains cas.

Pour exercer ces droits, contactez le délégué à la protection des données (DPO) de Carriva à l'adresse [email protected], ou notre contact général [email protected]. Lorsque vos données sont traitées par Carriva pour le compte d'un cabinet, votre demande sera transmise au cabinet responsable de traitement. Vous pouvez également introduire une réclamation auprès de la CNIL.

10. Sous-traitants

Dans le cadre de la fourniture de ses services, Carriva fait appel aux sous-traitants suivants :

Sous-traitantServiceDonnées traitéesLocalisation
CloudflareCDN, tunnel, DNSAdresses IP, requêtes HTTPUSA / UE
OpenRouter / OpenAI / AnthropicMoteur d'Assistant IA (RAG, opt-in)Questions et contexte du dossier, sans NIR ni état civil completUSA (CCT + DPF)
StripePaiement et facturationEmail, nom, données bancaires (tokenisées)USA (PCI-DSS, CCT, DPF)
ResendEmails transactionnelsEmail, nom, contenu des messagesUSA (CCT)
PostHogMesure d'audience produitÉvénements de navigation, identifiant pseudonymeUE (Francfort)
SentryMonitoring d'erreursDonnées techniques (identifiant pseudonyme, trace d'erreur)UE
InngestOrchestration de tâches asynchronesIdentifiants pseudonymes, email (envois différés)USA (CCT)

Le NIR et l'état civil complet des personnes figurant dans les relevés de carrière ne sont transmis à aucun de ces sous-traitants.

11. Cookies et traceurs

Carriva fait le choix de la transparence directe plutôt que de la multiplication des bandeaux. Nous n'utilisons aucun cookie publicitaire, aucun traceur de ciblage, aucun pixel de réseau social et aucun partenaire de remarketing. Les seuls traceurs déposés sont ceux strictement nécessaires au fonctionnement du service et à sa mesure d'audience interne, tous fondés sur l'exécution du contrat ou sur l'intérêt légitime au sens du RGPD.

NomÉmetteurFinalitéDuréeBase légale
better-auth.session_tokenCarriva (Better Auth)Authentification et maintien de la session utilisateur7 joursExécution du contrat (6.1.b) — strictement nécessaire
ph_*PostHog (UE, Francfort)Mesure d'audience produit, analyse de parcours, détection d'erreurs d'interface12 moisIntérêt légitime (6.1.f) — opt-out possible
sentry-*Sentry (UE)Identification des sessions pour corréler les erreurs techniquesSessionIntérêt légitime (6.1.f)
__stripe_*StripeSécurité du paiement, prévention de la fraude, déposé uniquement sur les pages de checkoutJusqu'à 1 anExécution du contrat (6.1.b) et intérêt légitime (6.1.f)

Honnêteté sur la mesure d'audience

Contrairement à la pratique dominante, Carriva n'affiche pas de bandeau de consentement cookies et n'attend pas votre accord préalable pour activer PostHog. La mesure d'audience démarre dès votre arrivée, sur le fondement de l'intérêt légitime. Cette mesure est pseudonymisée (pas d'adresse email, pas de nom, pas de NIR), hébergée dans l'Union européenne, et n'est partagée avec aucun tiers publicitaire. Vous avez toutefois un droit d'opposition effectif décrit ci-dessous.

Comment vous opposer à la mesure d'audience PostHog ?

  • Activer le signal « Do Not Track » ou « Global Privacy Control » dans votre navigateur : Carriva le respecte et désactive alors PostHog.
  • Bloquer le domaine eu.i.posthog.com via une extension de type uBlock Origin ou Privacy Badger.
  • Supprimer les cookies ph_* depuis les paramètres de votre navigateur.
  • Nous écrire à [email protected]pour demander l'exercice de votre droit d'opposition : nous appliquerons une exclusion côté serveur.

Les cookies strictement nécessaires (better-auth.session_token, __stripe_* pendant un paiement) ne peuvent pas être désactivés sans rendre le service inopérant.

12. Transferts de données hors Union européenne

Certaines données personnelles peuvent faire l'objet d'un transfert vers les États-Unis lorsqu'elles sont traitées par les sous-traitants suivants :

  • Cloudflare (CDN, proxy) — transferts encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne.
  • Stripe (paiement et facturation) — Stripe est certifié conforme au Data Privacy Framework (DPF) UE-USA adopté par la Commission européenne le 10 juillet 2023, et les transferts sont en outre couverts par les clauses contractuelles types. Lorsque vous réglez un abonnement ou un service, vos données de facturation transitent par Stripe Inc. (USA) et Stripe Payments Europe Ltd (Irlande).
  • OpenRouter, OpenAI, Anthropic(Assistant IA, sur activation explicite) — CCT et, lorsque disponibles, certification DPF ; sélection d'endpoints « zéro rétention » et exclusion contractuelle de l'entraînement.
  • Resend (emails transactionnels) — CCT.

PostHog et Sentry sont hébergés au sein de l'Union européenne et ne font pas l'objet de transferts hors UE pour les données qui leur sont confiées par Carriva.

13. Sécurité

Carriva met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, modification, divulgation ou destruction :

  • Chiffrement des données au repos et en transit (TLS 1.3).
  • Authentification sécurisée avec support de la double authentification.
  • Isolation des données entre les cabinets (architecture multi-tenant sécurisée).
  • Filtrage applicatif du NIR et de l'état civil avant tout appel à l'Assistant IA.
  • Sauvegardes régulières et plan de reprise d'activité.
  • Journal d'activité traçant les accès aux dossiers clients.
  • Audits de sécurité périodiques.

Carriva est par ailleurs couvert par une assurance de responsabilité civile professionnelle, qui couvre les conséquences pécuniaires de sa responsabilité, y compris en matière de protection des données personnelles. Une attestation peut être communiquée sur demande.

Nous contacter

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, le délégué à la protection des données (DPO) de Carriva est joignable à l'adresse dédiée ci-dessous.

Contact général

[email protected]

Carriva est couvert par une assurance de responsabilité civile professionnelle, qui couvre les conséquences pécuniaires de sa responsabilité, y compris en matière de protection des données personnelles. Une attestation peut être communiquée sur demande.

Nous répondons sous 48h ouvrées. Vous pouvez également saisir la CNIL en cas de litige.