La présente Politique de confidentialité décrit comment Green Cloud and Blockchain SARL (Moywa) traite les données personnelles des utilisateurs des services Moywa, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
Préambule — Architecture des données
Moywa est une interface technique opérée par Green Cloud and Blockchain SARL. L'architecture de Moywa repose sur un principe de minimisation des données : Moywa ne collecte et ne stocke que le strict minimum nécessaire au fonctionnement du service, et délègue l'ensemble des vérifications d'identité (KYC/KYB) et la conservation des données d'identité à son partenaire agréé dans l'Union européenne, Bridge Building S.A. (Luxembourg).
Cette Politique de confidentialité décrit uniquement les traitements effectués par Moywa (Green Cloud and Blockchain SARL). Pour les traitements effectués par Bridge (données d'identité, documents KYC, etc.), l'Utilisateur est invité à consulter la politique de confidentialité de Bridge accessible sur leur site.
Article 1 — Responsable de traitement
Le responsable du traitement des données personnelles collectées via les services Moywa est :
Green Cloud and Blockchain (SARL à associé unique)279 Route de Saint-Privat — 30340 Saint-Privat-des-Vieux, France
RCS Nîmes 408 734 499 — Capital social 20 000 €
Représentant légal : Walid YAHYAOUI, Gérant
Email : contact@moywa.com
Pour toute question relative à la protection des données personnelles, le Délégué à la Protection des Données (DPO) peut être contacté à : privacy@moywa.com.
Article 2 — Données collectées et stockées par Moywa
Moywa applique un principe strict de minimisation des données. Les seules données stockées par Moywa dans ses bases de données (hébergées par Supabase, Frankfurt, EEE) sont :
2.1 — Données d'authentification
- Adresse email de l'Utilisateur (utilisée comme identifiant de connexion) ;
- Mot de passe hashé (bcrypt) — Moywa ne stocke jamais le mot de passe en clair ;
- Si connexion via Google OAuth : nom d'affichage et photo de profil fournis automatiquement par Google (l'Utilisateur peut révoquer cette autorisation depuis son compte Google) ;
- Facteur d'authentification forte (TOTP) et codes de récupération hashés ;
- Identifiants de session (JWT) et logs de connexion.
2.2 — Références techniques vers Bridge
bridge_customer_id— identifiant unique fourni par Bridge ;bridge_kyc_status— statut de la vérification d'identité (approuvé / en attente / refusé) ;bridge_payment_id,bridge_transfer_id— identifiants des opérations Bridge.
2.3 — Données transactionnelles
- Historique des dépôts, envois, conversions, retraits (montants, devises, statuts, dates) ;
- Soldes en stablecoins (EURC, USDC) sur la blockchain Solana ;
- Bénéficiaires que l'Utilisateur enregistre lui-même dans son carnet (nom, IBAN/wallet/email, pays, devise) ;
- Statut des abonnements (forfait Free / EEA / PRO).
2.4 — Données techniques
- Adresse IP de connexion (logs courts pour sécurité) ;
- Logs applicatifs (date, heure, action, identifiant interne) ;
- Cookies de session essentiels (JWT en localStorage du navigateur).
2.5 — Communications support (email uniquement)
Les demandes envoyées via le formulaire de support sont transmises directement par email à support@moywa.com via notre serveur SMTP. Les pièces jointes (captures d'écran, photos) ne sont pas stockées dans nos bases de données : elles sont attachées en mémoire à l'email sortant et transmises immédiatement, sans persistance. Seules les métadonnées du ticket (sujet, date, statut d'envoi) sont conservées pour suivi.
Article 3 — Données NON collectées par Moywa
Conformément au principe de minimisation, Moywa ne collecte ni ne stocke jamais les catégories de données suivantes, qui sont gérées exclusivement par Bridge Building S.A. (Luxembourg, Union européenne) en sa qualité de prestataire de services réglementés :
- Nom légal complet, prénom(s), date et lieu de naissance ;
- Nationalité, pays de résidence, adresse postale ;
- Numéro de téléphone (Moywa ne le demande jamais) ;
- Pièces d'identité (passeport, carte nationale, titre de séjour) ;
- Photographies / selfies de vérification ;
- Documents KYC/KYB (justificatifs de domicile, K-bis pour les entreprises, etc.) ;
- Coordonnées bancaires personnelles complètes (au-delà de ce qui figure dans les instructions de virement Bridge).
Pour exercer vos droits relatifs à ces données, vous devez vous adresser directement à Bridge selon les modalités prévues par leur politique de confidentialité.
Article 4 — Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte (auth) | Exécution du contrat (art. 6.1.b RGPD) |
| Authentification forte (DSP2 / SCA) | Obligation légale (art. 6.1.c RGPD) |
| Exécution des opérations de paiement | Exécution du contrat (art. 6.1.b RGPD) |
| Tenue des comptes balances stablecoins | Exécution du contrat (art. 6.1.b RGPD) |
| Communication avec Bridge (via bridge_customer_id) | Exécution du contrat (art. 6.1.b RGPD) |
| Lutte contre la fraude technique (rate limiting, logs IP) | Intérêt légitime (art. 6.1.f RGPD) |
| Notifications transactionnelles (email) | Exécution du contrat (art. 6.1.b RGPD) |
| Réponse aux demandes de support | Exécution du contrat (art. 6.1.b RGPD) |
Note : les obligations de lutte contre le blanchiment et le financement du terrorisme (KYC, AML, déclarations aux cellules de renseignement financier compétentes) sont assumées par Bridge Building S.A. en sa qualité de prestataire de services réglementés, sous la supervision de la Commission de Surveillance du Secteur Financier (CSSF, Luxembourg). Moywa ne traite pas directement de données dans ce cadre.
Article 5 — Destinataires des données
Les données stockées par Moywa peuvent être communiquées aux destinataires suivants, dans la stricte mesure nécessaire à la finalité du traitement :
5.1 — Sous-traitants techniques de Moywa
- Supabase Inc. (région eu-central-1, Frankfurt, Allemagne, EEE) — Hébergement de la base de données et service d'authentification. Sous-traitant principal de Moywa.
- 1&1 IONOS SE (Allemagne, EEE) — Hébergement du serveur applicatif (VPS) et service SMTP pour l'envoi d'emails (notifications, support).
- Stripe Payments Europe Ltd. (Irlande, EEE) — Traitement des paiements par carte pour les abonnements (Stripe traite les données de carte selon sa propre politique).
5.2 — Partenaire réglementé (responsable de traitement séparé)
Bridge Building S.A. — 26 Boulevard Royal, L-2449 Luxembourg (Union européenne).
Bridge Building S.A. est un prestataire de services réglementé, agréé et supervisé par la Commission de Surveillance du Secteur Financier (CSSF, Luxembourg) au titre de :
- un agrément de prestataire de services sur crypto-actifs (CASP) délivré en application du Règlement (UE) 2023/1114 (MiCA), sous le numéro N00000012 ;
- un agrément d'établissement de monnaie électronique (EME) délivré en application de la loi luxembourgeoise du 10 novembre 2009 relative aux services de paiement, sous le numéro W00000024.
Ces agréments bénéficient du passeport européen et couvrent les 27 États membres de l'Union européenne.
Bridge agit en tant que responsable de traitement séparé pour les données d'identité, KYC, et les opérations financières réglementées. Moywa transmet à Bridge l'identifiant Utilisateur (email, bridge_customer_id) afin de déclencher les opérations demandées par l'Utilisateur. Les données d'identité (nom, adresse, documents) sont saisies directement par l'Utilisateur sur l'interface Bridge, et stockées chez Bridge.
5.3 — Autorités légalement habilitées
Sur réquisition légale (autorité judiciaire, ACPR, CNIL, administrations fiscales), Moywa peut être amenée à transmettre les données qu'elle détient. Les obligations LCB-FT (déclarations aux cellules de renseignement financier, etc.) sont en revanche assumées par Bridge, sous la supervision de la CSSF.
Aucune donnée n'est vendue, louée ou cédée à des fins commerciales à des tiers.
Article 6 — Transferts hors Union européenne
L'ensemble des sous-traitants principaux de Moywa et de son partenaire Bridge (Supabase, IONOS, Stripe, Bridge Building S.A.) est situé dans l'Union européenne ou l'Espace Économique Européen (EEE). Aucun transfert systématique de données vers un pays tiers (hors UE/EEE) n'est réalisé dans le cadre normal du fonctionnement des services Moywa.
Si l'Utilisateur se connecte via Google OAuth, les données échangées avec Google (email, nom d'affichage) peuvent transiter par les infrastructures Google ; ce traitement est régi par la politique de confidentialité de Google et soumis aux clauses contractuelles types de la Commission européenne.
Article 7 — Durées de conservation
| Catégorie de données stockées par Moywa | Durée de conservation |
|---|---|
| Compte actif (email, auth, balances) | Tant que le compte est actif |
| Données transactionnelles | 5 ans après l'opération (art. L561-12 CMF) |
| Logs de connexion | 12 mois (loi LCEN) |
| Cookies de session | 13 mois maximum |
| Métadonnées tickets support | 3 ans après la dernière interaction |
| Données comptables (Stripe abonnements) | 10 ans (art. L123-22 Code de commerce) |
À la clôture du compte, les données de Moywa sont supprimées sauf celles soumises à obligation légale de conservation (transactions et données comptables). Les données détenues par Bridge sont régies par leur propre politique de conservation.
Article 8 — Vos droits sur vos données personnelles
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant les données stockées par Moywa :
- Droit d'accès (art. 15) — Obtenir copie des données vous concernant ;
- Droit de rectification (art. 16) — Corriger des données inexactes (ex. email) ;
- Droit à l'effacement (art. 17) — Demander la suppression du compte (sous réserve des obligations légales de conservation des transactions) ;
- Droit à la limitation du traitement (art. 18) ;
- Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré ;
- Droit d'opposition (art. 21) ;
- Droit de retirer votre consentement à tout moment ;
- Droit de définir des directives post-mortem (art. 40-1 loi Informatique et Libertés).
Important : pour exercer vos droits sur les données d'identité (nom, adresse, documents KYC) qui sont stockées par Bridge Building S.A., vous devez vous adresser directement à Bridge selon les modalités prévues par leur politique de confidentialité. Moywa ne peut pas transmettre ni modifier ces données.
Comment exercer vos droits auprès de Moywa : envoyez votre demande à privacy@moywa.com. Une vérification d'identité simple peut vous être demandée (confirmation depuis l'email du compte). Moywa répond sous 1 mois (prorogeable de 2 mois si la demande est complexe).
Recours : en cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, ou en ligne sur www.cnil.fr).
Article 9 — Sécurité des données
Moywa met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données stockées :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256, géré par Supabase) ;
- Authentification forte à deux facteurs (2FA / SCA) obligatoire pour accéder au compte ;
- Hashage des mots de passe avec bcrypt (Supabase Auth) ;
- Cloisonnement des environnements (production isolée) ;
- Notification des violations de données à la CNIL sous 72h (art. 33 RGPD).
Article 10 — Cookies et traceurs
L'application Moywa utilise uniquement des cookies techniques essentiels au fonctionnement du service (session JWT en localStorage, authentification, sécurité). Aucun cookie publicitaire, analytics tiers ou de profilage n'est déposé.
Les cookies techniques essentiels ne nécessitent pas de consentement préalable (art. 82 loi Informatique et Libertés, considérant 30 directive ePrivacy).
Article 11 — Modifications de la Politique
La présente Politique de confidentialité est susceptible d'être modifiée pour refléter des évolutions légales, techniques ou organisationnelles. Toute modification substantielle fait l'objet d'une notification à l'Utilisateur par email. La version en vigueur est toujours accessible depuis l'application Moywa et le site moywa.com.
La version 1.2 met à jour les références au partenaire réglementé : les services précédemment fournis par Bridge Building Sp. z o.o. (Pologne) sont désormais fournis par Bridge Building S.A. (Luxembourg), agréée CASP MiCA et établissement de monnaie électronique par la CSSF.
Article 12 — Contact
- Pour toute question relative au traitement de vos données par Moywa : privacy@moywa.com (Délégué à la Protection des Données)
- Pour toute question relative aux données détenues par Bridge (identité, KYC) : voir la politique de confidentialité Bridge sur leur site officiel.
- Pour toute autre question : support@moywa.com