Politique de confidentialité.

1. Objet et champ d'application

La présente politique de confidentialité (la « Politique ») a pour objet d'informer les personnes concernées (clients, prospects, visiteurs du site, candidats, partenaires) de la manière dont Hagnéré Patrimoine SAS (« Hagnéré Patrimoine », « nous », « le Cabinet ») collecte, utilise, conserve, partage et protège leurs données personnelles, et des droits dont elles disposent à ce titre.

Elle s'applique à l'ensemble des traitements de données personnelles mis en œuvre par Hagnéré Patrimoine dans le cadre de ses activités réglementées :

• conseiller en investissements financiers (CIF), enregistré sous le numéro ORIAS 23002291, adhérent de la chambre nationale des conseils en gestion de patrimoine (CNCGP) ;
• courtier en assurance (COA), catégorie B (art. L. 521-2 II 1° du Code des assurances) ;
• courtier en opérations de banque et services de paiement (COBSP), catégorie 1 (art. R. 519-4 du Code monétaire et financier) ;
• activité accessoire de transaction sur immeubles et fonds de commerce (carte professionnelle T) ;
• édition et exploitation du site www.hagnere-patrimoine.fr (au sens de l'article 6 III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique — LCEN).

2. Identité du responsable de traitement

Le responsable du traitement, au sens de l'article 4-7 du RGPD, est :

• Hagnéré Patrimoine, société par actions simplifiée (SAS) au capital social de 100 euros ;
• siège social : 7 rue Ernest Filliard, 73000 Chambéry, France ;
• immatriculée au Registre du commerce et des sociétés (RCS) de Chambéry sous le numéro 891 025 504 ;
• numéro de TVA intracommunautaire : FR 65 891025504 ;
• immatriculations professionnelles : ORIAS n° 23002291 (CIF + COA + COBSP), vérifiables sur www.orias.fr ;
• autorité de contrôle pour l'activité CIF : Autorité des marchés financiers (AMF), 17 place de la Bourse, 75002 Paris ;
• autorité de contrôle pour les activités COA et COBSP : Autorité de contrôle prudentiel et de résolution (ACPR), 4 place de Budapest, CS 92459, 75436 Paris Cedex 09 ;
• représentant légal : Monsieur Quentin Hagnéré, président ;
• contact général : contact@hagnere-patrimoine.fr — téléphone non surtaxé 03 74 47 20 18.

3. Délégué à la protection des données (DPO)

Hagnéré Patrimoine a désigné un délégué à la protection des données (DPO) au sens des articles 37 à 39 du RGPD :

• Monsieur Clément Chatelain, délégué à la protection des données (DPO) ;
• contact direct : dpo@hagnere-patrimoine.fr ;
• courrier postal : Hagnéré Patrimoine — à l'attention du DPO — 7 rue Ernest Filliard, 73000 Chambéry, France.

4. Catégories de données personnelles traitées

Conformément au principe de minimisation (art. 5-1-c RGPD), nous ne collectons que les données strictement nécessaires aux finalités poursuivies. Les catégories de données traitées sont les suivantes.

4.1. Données d'identification

• civilité, nom, nom d'usage, prénom(s), date et lieu de naissance, nationalité ;
• numéro et copie d'une pièce d'identité en cours de validité (carte nationale d'identité, passeport, titre de séjour) ;
• justificatif de domicile de moins de trois mois (facture d'énergie, quittance de loyer, avis de taxe d'habitation, etc.) ;
• informations relatives aux bénéficiaires effectifs et aux personnes politiquement exposées (PPE) au sens des articles L. 561-2-2 et R. 561-18 du Code monétaire et financier.

4.2. Coordonnées de contact

• adresse postale (résidence principale, secondaire, fiscale) ;
• adresses email professionnelle et/ou personnelle ;
• numéros de téléphone fixe et mobile.

4.3. Situation familiale et professionnelle

• situation matrimoniale, régime matrimonial, contrat PACS, jugement de divorce, composition du foyer fiscal ;
• profession, employeur, secteur d'activité, ancienneté ;
• informations relatives au conjoint et aux enfants nécessaires à la mission (date de naissance, situation, héritiers présomptifs).

4.4. Situation patrimoniale et financière

• revenus (salaires, BIC, BNC, BA, revenus fonciers, dividendes, plus-values), avis d'imposition, taux d'imposition marginal (TMI) ;
• patrimoine immobilier (résidence principale, secondaire, locatif, SCPI, SCI), valeurs estimées ;
• patrimoine financier (assurance-vie, PEA, PER, comptes-titres, livrets, épargne salariale, capital-investissement) ;
• passifs (encours crédits, mensualités, taux, durée résiduelle, taux d'endettement) ;
• flux d'épargne, capacité d'épargne mensuelle, projets patrimoniaux ;
• objectifs d'investissement, horizon de placement, profil de risque (test d'adéquation MIF II au sens des articles L. 533-13 et D. 533-15 du CMF), préférences en matière de durabilité (ESG/SFDR).

4.5. Données bancaires et de paiement

• relevés d'identité bancaire (RIB/IBAN) pour les opérations de souscription, de versement ou d'arbitrage ;
• historique des virements et des prélèvements liés aux missions souscrites ;
• données de paiement Stripe (token de paiement uniquement — aucune donnée carte n'est stockée par Hagnéré Patrimoine, le traitement est opéré par Stripe Payments Europe Ltd, certifié PCI DSS niveau 1).

4.6. Données KYC / LCB-FT

• informations recueillies au titre des obligations de connaissance du client (Know Your Customer) et de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), articles L. 561-1 et suivants du Code monétaire et financier ;
• origine des fonds, destination des fonds, profil de risque LCB-FT, déclarations de soupçon Tracfin (article L. 561-15 CMF) ;
• informations FATCA (Foreign Account Tax Compliance Act — accord intergouvernemental France/USA du 14 novembre 2013) et EAI/CRS (Échange Automatique d'Informations — Common Reporting Standard, article 1649 AC du Code général des impôts).

4.7. Données contractuelles et transactionnelles

• lettres de mission CIF, COA, COBSP, mandats de recherche, mandats de gestion ;
• historique des préconisations émises, des produits souscrits, des arbitrages réalisés ;
• comptes rendus d'entretiens, fiches d'information précontractuelles, documents d'information clé (DIC PRIIPs).

4.8. Données techniques et de navigation

• adresse IP, identifiants de session, type de navigateur, système d'exploitation, pages consultées, durée de visite, données de connexion à l'espace client (logs) ;
• identifiants de cookies et traceurs (cf. section dédiée et politique cookies) ;
• données de signature électronique (preuve de consentement, dossier de preuve eIDAS) collectées via Yousign.

5. Sources de collecte

Vos données sont collectées :

• directement auprès de vous, via les formulaires en ligne (prise de rendez-vous Calendly, formulaires de demande de rappel, simulateurs crédit, espace client MyWizio), les documents que vous nous transmettez (avis d'imposition, relevés de comptes, pièce d'identité, justificatif de domicile), les entretiens en visioconférence ou en face à face, les échanges téléphoniques et écrits ;
• auprès de tiers, dans le cadre strict de l'exécution de la mission : compagnies d'assurance, banques, sociétés de gestion partenaires, établissements de crédit, notaires (avec votre accord exprès) ;
• auprès de sources publiques officielles: registre ORIAS, registre des bénéficiaires effectifs (RBE), Infogreffe, base INSEE, base des sanctions internationales (gels d'avoirs) consultée au titre de la LCB-FT.

6. Finalités et bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée. Le tableau suivant détaille, finalité par finalité, la base légale applicable.

6.1. Exécution du contrat (art. 6-1-b RGPD)

• conclusion et exécution des lettres de mission CIF, COA, COBSP, des mandats de recherche immobilière, des mandats de gestion ;
• réalisation du bilan patrimonial, élaboration des préconisations personnalisées, suivi de la relation client ;
• réalisation du test d'adéquation MIF II et du test du caractère approprié (art. L. 533-13 et D. 533-15 du CMF) ;
• gestion administrative et comptable des dossiers (souscriptions, arbitrages, rachats, sinistres) ;
• mesures précontractuelles à la demande de la personne concernée (devis, simulations crédit, étude de faisabilité, demande de rappel).

6.2. Respect d'obligations légales (art. 6-1-c RGPD)

• obligations LCB-FT — identification du client et du bénéficiaire effectif, vigilance, conservation des justificatifs, déclaration de soupçon (art. L. 561-1 et suivants du CMF) ;
• obligations de conservation des dossiers : 5 ans pour le CIF (art. 325-12 du règlement général AMF), 5 ans pour le COA (art. L. 511-2 du Code des assurances), 5 ans pour le COBSP (art. R. 519-31 du CMF), 5 ans LCB-FT (art. L. 561-12 du CMF), 10 ans pour les pièces comptables (art. L. 123-22 du Code de commerce) ;
• obligations fiscales — déclarations FATCA (accord IGA France/USA), EAI/CRS (art. 1649 AC du CGI), DAC6 (Directive 2018/822/UE), prélèvement forfaitaire unique ;
• obligations de gel des avoirs et de conformité aux sanctions internationales (Direction générale du Trésor) ;
• réponse aux réquisitions des autorités judiciaires, fiscales, AMF, ACPR, Tracfin, CNIL.

6.3. Consentement (art. 6-1-a RGPD et art. 7)

• envoi de la newsletter et des communications commerciales par voie électronique (consentement opt-in préalable, libre, spécifique, éclairé et univoque, conformément à l'article L. 34-5 du Code des postes et communications électroniques) ;
• dépôt des cookies et traceurs non strictement nécessaires (mesure d'audience, marketing, personnalisation), conformément à l'article 82 de la loi Informatique et Libertés et à la délibération CNIL n° 2020-091 du 17 septembre 2020 ;
• transmission de votre dossier à BankKeys (mandataire MIOBSP, art. R. 519-4 I 4° du CMF) ou à nos banques et compagnies d'assurance partenaires (case opt-in distincte sur les formulaires de simulation crédit) ;
• traitement des préférences en matière de durabilité (ESG/SFDR) au niveau le plus précis ;
• enregistrement éventuel d'un entretien à des fins de formation ou de conformité (information préalable et possibilité de refus).

6.4. Intérêt légitime (art. 6-1-f RGPD)

• sécurité du système d'information, prévention de la fraude, détection des intrusions, journalisation (logs) ;
• gestion des réclamations et du contentieux, défense en justice ;
• mesures de performance technique du site (Vercel Speed Insights, Vercel Analytics — agrégation anonyme) ;
• prospection commerciale par voie postale ou téléphonique auprès de clients existants pour des produits ou services analogues (art. L. 34-5 al. 4 CPCE), dans le respect du droit d'opposition.

Pour chaque traitement fondé sur l'intérêt légitime, Hagnéré Patrimoine procède à un test de mise en balance (LIA — Legitimate Interests Assessment) afin de vérifier que les droits et libertés des personnes concernées ne prévalent pas sur l'intérêt poursuivi. Ce document est tenu à disposition de la CNIL.

6.5. Sauvegarde des intérêts vitaux et mission d'intérêt public

Aucun traitement n'est mis en œuvre sur la base de l'article 6-1-d ou 6-1-e du RGPD.

7. Destinataires des données

Vos données sont accessibles uniquement aux personnes et entités habilitées dans le cadre des finalités décrites ci-dessus.

7.1. Destinataires internes

• collaborateurs habilités de Hagnéré Patrimoine (conseillers patrimoniaux, équipe conformité, équipe back-office, direction) — tous soumis à une obligation de confidentialité renforcée et à une charte informatique ;
• équipe Hagnéré Code (entité du groupe, en charge du développement et de la maintenance technique du site et de l'espace client) — accès limité aux données techniques nécessaires.

7.2. Sous-traitants au sens de l'art. 28 RGPD

Hagnéré Patrimoine fait appel à des sous-traitants présentant des garanties suffisantes en matière de sécurité et de confidentialité, liés par un contrat de sous-traitance écrit (data processing agreement — DPA) conforme à l'article 28 du RGPD.

• Wizio (MyWizio)— plateforme de gestion patrimoniale et d'hébergement sécurisé (Union européenne) ;
• Yousign— signature électronique eIDAS (France, Union européenne) ;
• Calendly Inc.— prise de rendez-vous en ligne (États-Unis — cf. section transferts hors UE) ;
• Google Ireland Ltd / Google LLC (Google Workspace) — messagerie professionnelle, stockage cloud, Google Tag Manager, Google Ads (Irlande / États-Unis) ;
• Resend, Inc.— envoi des emails transactionnels (États-Unis) ;
• Vercel Inc.— hébergement et CDN du site (États-Unis — régions UE pour le rendu) ;
• Neon, Inc.— base de données PostgreSQL managée (région Frankfurt, Union européenne) ;
• Amazon Web Services (AWS S3)— stockage des fichiers et documents clients (région Stockholm eu-north-1, Union européenne) ;
• Stripe Payments Europe Ltd— traitement des paiements en ligne (Irlande, Union européenne) ;
• SumSub— vérification d'identité KYC (Royaume-Uni — pays bénéficiant d'une décision d'adéquation de la Commission européenne du 28 juin 2021).

7.3. Destinataires partenaires (responsables de traitement distincts ou conjoints)

• Compagnies d'assurance et sociétés de gestion partenaires — pour la souscription de contrats d'assurance-vie, capitalisation, PER, contrats de prévoyance, SCPI, FCPI, FCPR, OPCI, SCI ;
• Banques et établissements de créditpartenaires — pour les opérations de crédit immobilier, crédit consommation, crédit lombard, prêt in fine, prêt relais, vente à réméré, marchand de biens ;
• BankKeys— mandataire en opérations de banque et services de paiement (MIOBSP) au sens de l'article R. 519-4 I 4° du CMF, pour la présentation de votre dossier auprès de son panel d'établissements bancaires (transmission conditionnée à votre consentement opt-in distinct, art. 6-1-a RGPD) ;
• Notaires, dans le cadre des opérations patrimoniales et successorales pour lesquelles ils sont saisis ;
• Avocats et experts-comptables intervenant sur le dossier client à votre demande ou avec votre accord exprès.

7.4. Autorités publiques et tiers autorisés

• Autorité des marchés financiers (AMF), Autorité de contrôle prudentiel et de résolution (ACPR), Tracfin, Direction générale des finances publiques (DGFiP), Direction générale du Trésor, CNIL, autorités judiciaires — sur réquisition ou au titre des obligations légales déclaratives ;
• autorités fiscales étrangères dans le cadre de FATCA, EAI/CRS et DAC6.

Hagnéré Patrimoine ne procède à aucune cession ni location de données personnelles à des tiers à des fins commerciales.

8. Transferts de données hors Union européenne

8.1. Transferts vers les États-Unis

Plusieurs sous-traitants sont établis ou disposent d'infrastructures aux États-Unis. Les transferts associés sont encadrés par :

• la certification au Data Privacy Framework (DPF UE-US, décision d'adéquation du 10 juillet 2023), pour les sous-traitants ayant adhéré au programme et inscrits sur la liste du U.S. Department of Commerce ;
• les Clauses Contractuelles Types décision (UE) 2021/914 du 4 juin 2021(Module 2 — Responsable de traitement vers Sous-traitant), à titre de garantie complémentaire ;
• des mesures techniques et organisationnelles complémentaires(chiffrement en transit TLS 1.2+, chiffrement au repos AES-256, pseudonymisation lorsque possible, contrôle d'accès strict, journalisation).

Les principaux transferts vers les États-Unis concernent :

• Calendly Inc.(Atlanta, Géorgie) — certifié DPF + CCT 2021/914 Module 2 — données : civilité, nom, email, téléphone, créneau choisi, motif du rendez-vous ;
• Google LLC(Mountain View, Californie) — certifié DPF + CCT 2021/914 — données : emails, fichiers stockés sur Google Workspace, événements Google Tag Manager pseudonymisés via Consent Mode v2 ;
• Vercel Inc.(San Francisco, Californie) — certifié DPF + CCT 2021/914 — données : logs techniques, adresses IP (durée 30 jours), métriques de performance ;
• Resend, Inc.(San Francisco, Californie) — CCT 2021/914 — données : adresses email, métadonnées des emails transactionnels.

8.2. Transferts vers le Royaume-Uni

SumSub est établi au Royaume-Uni. Les transferts sont couverts par la décision d'adéquation de la Commission européenne du 28 juin 2021(UK GDPR), qui reconnaît au Royaume-Uni un niveau de protection essentiellement équivalent à celui de l'Union européenne. Aucune CCT complémentaire n'est requise.

8.3. Accès à distance depuis un pays tiers

Un collaborateur de Hagnéré Patrimoine, employé sous droit français, peut être amené à accéder à distance aux données clients depuis un pays tiers (Indonésie). Cet accès est strictement encadré :

• aucune donnée n'est exportée ni stockée localement — l'intégralité des données reste hébergée dans l'Union européenne ;
• accès via VPN d'entreprise, authentification multifacteur (MFA), poste chiffré (FileVault) ;
• contrat de travail français comportant une clause de confidentialité renforcée et une clause de protection des données personnelles ;
• journalisation et audit régulier des accès distants par l'équipe conformité.

8.4. Copie des garanties

Vous pouvez obtenir copie des Clauses Contractuelles Types et des documents attestant de la certification DPF de nos sous-traitants en écrivant au DPO à dpo@hagnere-patrimoine.fr.

9. Durées de conservation

Conformément à l'article 5-1-e du RGPD (limitation de la conservation), nous conservons vos données pendant la durée strictement nécessaire aux finalités poursuivies, dans le respect des obligations légales applicables.

• Données contractuelles CIF : durée de la mission puis 5 ans à compter de la fin de la relation contractuelle (art. 325-12 du règlement général AMF).
• Données contractuelles COA: durée du contrat d'assurance puis 5 ans à compter de la fin du contrat (art. L. 511-2 du Code des assurances) — portée à 10 ans en cas de contentieux ou de réclamation.
• Données contractuelles COBSP: durée de l'opération de crédit puis 5 ans à compter du dernier remboursement (art. R. 519-31 du CMF).
• Données KYC / LCB-FT: 5 ans à compter de la fin de la relation d'affaires ou de la réalisation de l'opération occasionnelle (art. L. 561-12 du CMF).
• Pièces comptables et justificatives(factures, déclarations fiscales, documents bancaires) : 10 ans à compter de la clôture de l'exercice (art. L. 123-22 du Code de commerce et art. L. 102 B du Livre des procédures fiscales).
• Réclamations et contentieux: 5 ans après clôture, portés à 10 ans en cas de litige (prescription de droit commun, art. 2224 du Code civil) ou jusqu'à épuisement des voies de recours.
• Données des prospects sans suite : 3 ans à compter du dernier contact actif émanant du prospect, conformément aux recommandations CNIL en matière de prospection commerciale.
• Newsletter et communications marketing : tant que le consentement est actif, et au maximum 3 ans à compter du dernier contact ou de la dernière interaction (ouverture, clic, réponse).
• Journaux de connexion et logs techniques : 12 mois à compter de leur enregistrement (recommandations CNIL et art. L. 34-1 du CPCE pour les données de connexion).
• Cookies et traceurs non strictement nécessaires: 13 mois maximum à compter du dépôt, sans renouvellement automatique (délibération CNIL n° 2020-091 du 17 septembre 2020) — cf. politique cookies.
• Preuve de consentement aux cookies : 5 ans à compter du dernier consentement exprimé (preuve CNIL).
• Vidéosurveillance et enregistrements téléphoniques (le cas échéant) : 30 jours sauf incident.

À l'issue des durées de conservation, les données font l'objet soit d'une suppression définitive, soit d'une anonymisation irréversible (au sens de l'avis 05/2014 du G29 sur les techniques d'anonymisation), soit d'un archivage intermédiaire à accès restreint pour les seuls besoins probatoires et légaux (art. 6-1-c RGPD).

10. Droits des personnes concernées

10.1. Droit d'accès (art. 15 RGPD)

Vous pouvez obtenir confirmation que vos données font ou non l'objet d'un traitement, et obtenir une copie des données traitées ainsi que des informations relatives au traitement (finalités, catégories de données, destinataires, durée de conservation, droits, sources, existence d'une décision automatisée).

10.2. Droit de rectification (art. 16 RGPD)

Vous pouvez demander la correction ou la complétion de toute donnée inexacte, incomplète ou périmée vous concernant.

10.3. Droit à l'effacement / droit à l'oubli (art. 17 RGPD)

Vous pouvez demander l'effacement de vos données dans les cas prévus à l'article 17 du RGPD (données qui ne sont plus nécessaires, retrait du consentement, opposition au traitement, etc.). Ce droit est limité par les obligations légales de conservation (LCB-FT, AMF, ACPR, comptabilité) qui prévalent au titre de l'article 17-3-b et 17-3-e du RGPD : tant que ces obligations s'appliquent, l'effacement intégral n'est pas possible, mais un accès restreint peut être mis en place.

10.4. Droit à la limitation du traitement (art. 18 RGPD)

Vous pouvez demander la suspension temporaire d'un traitement en cas de contestation de l'exactitude des données, de traitement illicite, de besoin des données pour la constatation, l'exercice ou la défense de droits en justice, ou d'exercice du droit d'opposition.

10.5. Droit à la portabilité (art. 20 RGPD)

Pour les traitements fondés sur le consentement ou sur l'exécution d'un contrat et mis en œuvre par des moyens automatisés, vous pouvez demander à recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.

10.6. Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime ou sur l'exécution d'une mission d'intérêt public. Vous pouvez également vous opposer, à tout moment et sans motif, à la prospection commerciale (art. 21-2 RGPD).

10.7. Droit de retrait du consentement (art. 7-3 RGPD)

Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment, sans motif et sans frais, par les mêmes modalités que celles ayant permis de l'exprimer (lien de désabonnement, module de gestion des cookies, contact DPO). Le retrait du consentement ne compromet pas la licéité du traitement effectué auparavant.

10.8. Droit relatif aux décisions automatisées (art. 22 RGPD)

Voir section dédiée « Décisions automatisées et profilage » ci-dessous.

10.9. Directives post-mortem (art. 85 loi Informatique et Libertés)

Vous pouvez définir des directives générales (auprès d'un tiers de confiance certifié par la CNIL) ou particulières (auprès de Hagnéré Patrimoine) relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès. À défaut de directives, vos héritiers pourront exercer certains droits (clôture de compte, opposition au traitement, communication nécessaire au règlement de la succession).

11. Modalités d'exercice de vos droits

Pour exercer vos droits, vous pouvez :

• adresser un email au DPO à dpo@hagnere-patrimoine.fr ;
• envoyer un courrier postal à : Hagnéré Patrimoine — à l'attention du DPO — 7 rue Ernest Filliard, 73000 Chambéry, France ;
• utiliser le formulaire de demande d'exercice des droits disponible sur le site de la CNIL à l'adresse www.cnil.fr/fr/modeles/courrier.

Pour des raisons de sécurité et afin d'éviter toute usurpation d'identité, nous pourrons vous demander de joindre une copie de votre pièce d'identité en cours de validité (article 12-6 RGPD). Cette copie sera conservée uniquement le temps nécessaire au traitement de votre demande, puis détruite.

Une réponse vous sera apportée dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentairescompte tenu de la complexité ou du nombre de demandes (art. 12-3 RGPD), auquel cas vous en serez informé dans le délai initial. Vos droits s'exercent gratuitement, sauf demande manifestement infondée ou excessive (art. 12-5 RGPD).

12. Réclamation auprès de la CNIL

Si, après avoir contacté Hagnéré Patrimoine, vous estimez que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, conformément à l'article 77 du RGPD.

En France, l'autorité de contrôle est la Commission nationale de l'informatique et des libertés (CNIL) :

• adresse postale : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ;
• téléphone : 01 53 73 22 22 ;
• plainte en ligne : www.cnil.fr/plaintes ;
• site institutionnel : www.cnil.fr.

Vous pouvez également saisir l'autorité de contrôle de l'État membre dans lequel vous résidez habituellement, exercez votre activité professionnelle ou dans lequel la violation aurait été commise.

13. Sécurité des données

Conformément à l'article 32 du RGPD, Hagnéré Patrimoine met en œuvre des mesures techniques et organisationnelles appropriées au regard des risques identifiés.

• chiffrement des données en transit (TLS 1.2 minimum, HSTS) et au repos (AES-256 sur Google Workspace, AWS S3, Neon) ;
• authentification multifacteur (MFA) sur l'ensemble des outils sensibles, politique de mots de passe robuste ;
• chiffrement intégral des postes de travail (FileVault sur macOS, BitLocker sur Windows) et des supports amovibles ;
• accès aux données sur principe du moindre privilège (need-to-know) et journalisation des accès (audit logs conservés 12 mois) ;
• sauvegardes chiffrées régulières, plan de continuité et de reprise d'activité (PCA/PRA) ;
• sensibilisation et formation continue des collaborateurs aux enjeux de la protection des données ;
• revues de sécurité périodiques, tests d'intrusion et audit interne annuel.

14. Notification de violation de données (art. 33 et 34 RGPD)

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Hagnéré Patrimoine s'engage :

• à notifier la CNIL dans un délai de 72 heures à compter de la connaissance de la violation (art. 33 RGPD) ;
• à informer les personnes concernéesdans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD), sauf exceptions prévues par le RGPD ;
• à documenter la violation dans le registre interne des violations de données (art. 33-5 RGPD).

15. Décisions automatisées et profilage (art. 22 RGPD)

Conformément à l'article 22 du RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.

Hagnéré Patrimoine ne réalise pas de scoring crédit interne ni de décision d'octroi automatisée. Les seuls traitements automatisés mis en œuvre côté Hagnéré Patrimoine sont :

• Calcul du test d'adéquation MIF II (art. L. 533-13 et D. 533-15 du CMF) — outil d'aide au conseil ; la préconisation finale est validée par un conseiller humain ;
• Calcul d'un badge éligibilité indicatifdans les 10 simulateurs crédit (« Dossier solide », « Finançable », « Vigilance usure », « Refus probable »...) — ce badge est purement informatif, n'a aucune valeur contractuelle, ne déclenche aucune action vis-à-vis du prospect (pas de refus de service, pas de fichage), et ne constitue donc pas une décision automatisée au sens de l'art. 22 RGPD au sens des lignes directrices EDPB WP251rev.01 ;
• Décision finale d'octroi de crédit— appartient exclusivement à l'établissement de crédit retenu (banque partenaire ou via BankKeys), après instruction complète par un analyste humain ; si l'établissement met en œuvre un scoring automatisé, il est tenu de respecter l'article 22 RGPD au titre de ses propres traitements.

Vos droits (art. 22-3 RGPD) : vous pouvez à tout moment exiger une intervention humaine, exprimer votre point de vue et contester une décision automatisée en écrivant au DPO à dpo@hagnere-patrimoine.fr.

16. Analyse d'impact (AIPD — art. 35 RGPD)

Compte tenu du volume et de la nature des données patrimoniales et financières que nous traitons, Hagnéré Patrimoine identifie les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées et, le cas échéant, réalise une analyse d'impact relative à la protection des données (AIPD), conformément à l'article 35 du RGPD et à la délibération CNIL n° 2018-326 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une AIPD est requise.

Les AIPD formalisées sont tenues à la disposition de la CNIL en cas de contrôle. Pour toute question, contactez le DPO à dpo@hagnere-patrimoine.fr.

17. Cookies et traceurs

Le site www.hagnere-patrimoine.fr utilise des cookies et traceurs régis par l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée (transposition de la directive 2002/58/CE ePrivacy) et par la délibération CNIL n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82.

Une bannière de gestion du consentement (Consent Management Platform Axeptio) vous permet, lors de votre première visite, d'accepter, de refuser ou de paramétrer chaque catégorie de traceurs au niveau finalité. Le refus est aussi simple que l'acceptation. Le choix peut être modifié à tout moment via le module accessible depuis le pied de page.

Catégories de cookies déposés :

• cookies strictement nécessaires (exemptés de consentement) : session, sécurité CSRF, mémorisation des préférences de consentement, équilibrage de charge ;
• cookies de mesure d'audience (consentement requis sauf configuration CNIL exemptée) : Google Analytics 4 via Google Tag Manager, en mode pseudonymisé via Consent Mode v2 ;
• cookies de performance technique(intérêt légitime — agrégation anonyme) : Vercel Speed Insights, Vercel Analytics, mesure des Core Web Vitals ;
• cookies marketing et publicitaires (consentement requis) : Google Ads, retargeting, suivi de conversion.

Pour le détail complet (liste nominative des cookies, finalité, durée de vie, éditeur, transferts hors UE), consultez notre politique cookies dédiée.

17.1. Journal de consentement aux cookies

Conformément à la délibération CNIL n° 2020-091 et à l'article 7-1 du RGPD, nous conservons la preuve de votre consentement (ou de votre refus) au dépôt des cookies non essentiels. Les données enregistrées sont :

• identifiant de session technique (généré localement, non rattaché à votre identité civile) ;
• catégories de cookies acceptées ou refusées (analytics, marketing, personnalisation) ;
• adresse IP (donnée à caractère personnel au sens de l'arrêt CJUE Breyer du 19 octobre 2016, affaire C-582/14) ;
• User-Agent du navigateur (sécurité applicative) ;
• horodatage du choix exprimé.

Base légale : obligation légale (art. 6-1-c RGPD) — la CNIL exige que le responsable de traitement soit en mesure de prouver le recueil d'un consentement libre, spécifique, éclairé et univoque (art. 4-11 et art. 7 RGPD). Durée de conservation : 5 ans à compter du dernier consentement exprimé.

18. Mineurs

Les services de Hagnéré Patrimoine sont destinés aux personnes majeures. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans (seuil fixé par l'article 45 de la loi Informatique et Libertés modifiée). Si vous constatez la collecte involontaire de données concernant un mineur, merci de contacter immédiatement le DPO afin que ces données soient supprimées.

Pour les opérations patrimoniales concernant un mineur (donation, ouverture d'un PEA-Jeunes, contrat d'assurance-vie), l'ensemble des données est collecté auprès du représentant légal et traité au titre de l'exécution du contrat (art. 6-1-b RGPD).

19. Modifications de la présente politique

Hagnéré Patrimoine se réserve le droit de modifier la présente politique à tout moment, notamment pour tenir compte des évolutions légales, réglementaires, jurisprudentielles ou techniques. La date de dernière mise à jour et le numéro de version figurent en pied de page.

En cas de modification substantielle affectant un traitement de vos données ou l'exercice de vos droits, nous vous en informerons préalablement par tout moyen approprié (email, notification sur l'espace client, bandeau sur le site). La poursuite de l'utilisation de nos services après l'entrée en vigueur d'une version modifiée vaut acceptation de cette dernière, sous réserve, lorsque la base légale est le consentement, du recueil d'un nouveau consentement spécifique.

20. Contact

Pour toute question relative à la présente politique ou au traitement de vos données personnelles :

• Délégué à la protection des données (DPO) : Monsieur Clément Chatelain — dpo@hagnere-patrimoine.fr ;
• Contact général : Hagnéré Patrimoine, 7 rue Ernest Filliard, 73000 Chambéry — contact@hagnere-patrimoine.fr — téléphone non surtaxé 03 74 47 20 18 ;
• Réclamation CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/plaintes.