Politique de confidentialité - Caption Services
Mise à jour et en vigueur à compter du 29/01/2026
Préambule
La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs de la plateforme Caption Services (ci-après la « Plateforme ») des conditions dans lesquelles Caption SA collecte et traite leurs données à caractère personnel.
Caption Services est une plateforme de distribution d'investissements permettant la mise en relation entre investisseurs, professionnels de la gestion de patrimoine et sociétés proposant des offres d'investissement.
La présente Politique s’applique à toute personne accédant à la Plateforme ou interagissant avec ses services, quel que soit son statut. Les termes utilisés dans la Politique sont définis, le cas échéant, dans les Conditions Générales d'Utilisation.
Caption s'engage à traiter les données personnelles dans le respect du Règlement (UE) 2016/679 (« RGPD »), de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », ainsi que des recommandations et lignes directrices de la Commission Nationale de l'Informatique et des Libertés (CNIL).
1. Responsable du traitement
Le responsable du traitement des données personnelles est la société Caption SA :
Dénomination sociale | Caption SA |
Forme juridique | Société Anonyme |
Siège social | 6 rue d'Antin 75002 Paris, France |
Agrément | Entreprise d'Investissement agréée par l'ACPR sous le n°18683 |
Représentant légal | Quentin Lechémia |
Email de contact |
2. Délégué à la Protection des Données (DPO)
Conformément à l'article 37 du RGPD, Caption a désigné un Délégué à la Protection des Données (DPO) chargé de veiller à la conformité des traitements de données personnelles.
Fonction | Délégué à la Protection des Données |
Adresse postale | Caption SA – À l'attention du DPO – 6 rue d'Antin 75002 Paris, France |
3. Personnes concernées par type d'utilisateur
La Plateforme distingue quatre catégories d'utilisateurs, chacune disposant de droits et fonctionnalités spécifiques :
3.1. Investisseurs
Personnes physiques ou morales ayant créé un compte sur la Plateforme en vue de réaliser des investissements. Les Investisseurs peuvent détenir un ou plusieurs portefeuilles (« Wallets ») :
- Wallet Personne Physique (PP) : pour les investissements à titre personnel
- Wallet Personne Morale (PM) : pour les investissements via une structure juridique
3.2. Professionnels
Structures professionnelles et collaborateurs habilités à distribuer des offres d'investissement auprès de leurs clients. Deux types de Professionnels sont distingués :
- CIF (Conseiller en Investissements Financiers) : professionnels régulés soumis à des obligations renforcées de conformité (KYD, convention de distribution)
- Autres Professionnels : intermédiaires non régulés CIF
Les Professionnels peuvent être organisés en réseau (structure mère/fille).
3.3. Partenaires
Entités tierces disposant de la Plateforme pour des opérations automatisées (création d'investisseurs, soumission de données KYD, etc.). Les Partenaires disposent de :
- Accès Partenaires : membres de l'équipe du Partenaire avec rôles propriétaire/collaborateur
3.4. Managers
Administrateurs internes de Caption SA assurant la gestion et la supervision de la Plateforme.
4. Conditions d'âge – Mineurs
Les Services de Caption sont exclusivement destinés aux personnes majeures. La Plateforme n'est pas conçue pour collecter ou traiter des données personnelles de mineurs de moins de 18 ans.
Si Caption découvre avoir collecté des données personnelles concernant un mineur sans le consentement vérifiable d'un parent ou tuteur légal, ces données seront supprimées dans les meilleurs délais.
5. Absence de collecte de données sensibles
Caption ne collecte aucune donnée dite « sensible » au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données génétiques ou biométriques, données de santé, vie sexuelle ou orientation sexuelle).
6. Données collectées par type d'utilisateur
Caption collecte uniquement les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation).
6.1. Données des Investisseurs
6.1.1. Données d'identification (stockées sur la Plateforme)
Donnée | Description |
|---|---|
Prénom et nom | Identification de l'utilisateur |
Adresse email | Communication et authentification |
Numéro de téléphone | Contact et vérification |
Identifiant et mot de passe | Authentification sécurisée (mot de passe chiffré) |
Codes 2FA | Authentification à deux facteurs |
Date d'acceptation des CGU | Traçabilité du consentement |
6.1.2. Données KYC (Know Your Customer)
Les données personnelles détaillées des Investisseurs (pièce d'identité, justificatif de domicile, informations patrimoniales, etc.) sont collectées et stockées par notre solution externe Caption Tools, gérée par Caption SA. Seuls les éléments suivants sont conservés sur la Plateforme :
Donnée | Description |
|---|---|
UUID KYC | Identifiant de référence vers Caption Tools |
Statut KYC | État de la vérification (en attente, validé, expiré) |
Date de validation KYC | Horodatage de la validation |
Date d'expiration KYC | Échéance de validité du KYC |
6.1.3. Données des Wallets (Portefeuilles)
Pour les Wallets Personne Physique (PP) :
Donnée | Description |
|---|---|
Nom du wallet | Identification du portefeuille |
Statut KYC du wallet | État de vérification spécifique |
Pour les Wallets Personne Morale (PM) :
Donnée | Description |
|---|---|
Dénomination sociale | Nom de la société |
Numéro d'immatriculation | SIREN/SIRET |
Forme juridique | Type de structure |
Statut KYC | État de vérification de la société |
6.1.4. Données transactionnelles
Donnée | Description |
|---|---|
Historique des souscriptions | Offres souscrites, montants, dates |
Données de paiement | Mode de paiement, références (via Mangopay) |
Documents signés | Bulletins de souscription, rapports d'adéquation |
Justificatifs d'origine des fonds | Le cas échéant, pour conformité réglementaire |
6.1.5. Données techniques
Donnée | Description |
|---|---|
Date de dernière connexion | Suivi d'activité |
Date d'activation du compte | Horodatage |
Logs de connexion | Sécurité et audit |
6.2. Données des Professionnels
6.2.1. Données d'identification de la structure
Donnée | Description |
|---|---|
Dénomination sociale | Nom de la structure |
Forme juridique | Code INSEE de la forme juridique |
Numéro d'immatriculation | SIREN/SIRET |
Adresse complète | Siège social |
Téléphone et email | Coordonnées de contact |
6.2.2. Données réglementaires (CIF uniquement)
Donnée | Description |
|---|---|
Numéro d'enregistrement CIF | Immatriculation ORIAS |
UUID KYD | Référence vers la vérification KYD (Caption Tools) |
Statut KYD | État de la vérification distributeur |
Date de validation KYD | Horodatage |
Date d'expiration KYD | Échéance de validité |
Convention de distribution | Document signé via YouSign |
Convention d'application | Par offre, le cas échéant |
6.2.3. Données de réseau
Donnée | Description |
|---|---|
Indicateur réseau | Structure mère ou membre |
Professionnel parent | Lien hiérarchique le cas échéant |
Token d'invitation réseau | Pour l'intégration de membres |
6.2.4. Données de gestion
Donnée | Description |
|---|---|
Statut | En attente, validé, suspendu |
Date de validation | Horodatage de l'approbation |
Validé par | Identifiant du Manager validateur |
Notes internes | Commentaires de gestion |
Mode de sélection investisseurs | Approbation explicite requise ou non |
6.2.5. Données des Accès Professionnels
Donnée | Description |
|---|---|
Prénom et nom | Identification du collaborateur |
Adresse email | Authentification et communication |
Numéro de téléphone | Contact |
Mot de passe | Authentification (chiffré) |
Codes 2FA | Authentification à deux facteurs |
Rôle | Propriétaire ou collaborateur |
Statut | Actif ou inactif |
Date d'invitation | Horodatage |
Invité par | Identifiant de l'invitant |
Date de dernière connexion | Suivi d'activité |
Date d'acceptation des CGU | Traçabilité |
6.3. Données des Partenaires
6.3.1. Données d'identification
Donnée | Description |
|---|---|
Dénomination sociale | Nom de l'entité partenaire |
Forme juridique | Type de structure |
Numéro d'immatriculation | SIREN/SIRET |
Adresse complète | Siège social |
Téléphone et email | Coordonnées |
6.3.2. Données techniques API
Donnée | Description |
|---|---|
Token API | Clé d'authentification |
Statut API | Activé ou désactivé |
Adresses IP autorisées | Liste blanche de sécurité |
Limite de requêtes | Rate limiting configuré |
Dernière utilisation API | Horodatage |
Permissions spéciales | Ex : soumission KYD autorisée |
6.3.3. Données des Accès Partenaires
Identiques aux Accès Professionnels (prénom, nom, email, téléphone, mot de passe, 2FA, rôle, statut, dates).
6.4. Données des Managers
Donnée | Description |
|---|---|
Prénom et nom | Identification |
Adresse email | Authentification (unique globalement) |
Numéro de téléphone | Contact |
Mot de passe | Authentification (chiffré) |
Codes 2FA | Authentification à deux facteurs |
Rôle | Superadmin, admin ou support |
Statut | Actif ou inactif |
Date de dernière connexion | Audit |
Date d'acceptation des CGU | Traçabilité |
6.5. Données techniques et de navigation (tous utilisateurs)
Donnée | Description |
|---|---|
Adresse IP | Identification de connexion |
Type et version du navigateur | Compatibilité technique |
Système d'exploitation | Compatibilité technique |
Pages visitées | Analyse d'usage |
Date et heure de connexion | Audit et sécurité |
Identifiants de cookies | Selon la politique cookies |
7. Méthodes de collecte
7.1. Collecte directe
Les données sont collectées directement auprès de vous :
- Lors de la création de votre compte
- Lors du renseignement de votre profil (KYC/KYD)
- Lors de la souscription à une offre d'investissement
- Via les formulaires de contact
- Lors des échanges avec nos équipes
7.2. Collecte automatique
Certaines données sont collectées automatiquement lors de votre navigation via des cookies et traceurs (voir Section 15).
7.3. Collecte indirecte auprès de tiers
Source | Données | Base légale |
|---|---|---|
Professionnels (pour leurs clients Investisseurs) | Identité, coordonnées, situation | Consentement préalable de l'Investisseur |
Mangopay | Données de paiement, vérifications | Exécution du contrat |
Bases publiques (Infogreffe, INSEE) | Données sociétés | Intérêt légitime |
8. Bases légales et finalités des traitements
8.1. Traitements communs à tous les utilisateurs
Finalité | Base légale | Données |
|---|---|---|
Création et gestion de compte | Exécution du contrat (art. 6.1.b) | Identification, authentification |
Sécurité de la Plateforme | Intérêt légitime (art. 6.1.f) | Logs, IP, 2FA |
Gestion des demandes et réclamations | Exécution du contrat / Intérêt légitime | Identification, historique échanges |
Amélioration des services | Intérêt légitime (art. 6.1.f) | Données de navigation agrégées |
8.2. Traitements spécifiques aux Investisseurs
Finalité | Base légale | Données |
|---|---|---|
Exécution des souscriptions | Exécution du contrat (art. 6.1.b) | Identification, wallet, paiement |
Vérification KYC | Obligation légale (art. 6.1.c) – CMF | Pièces d'identité, justificatifs |
LCB-FT | Obligation légale (art. 6.1.c) – L.561-1 CMF | Identification, transactions, origine fonds |
Déclarations fiscales (IFU, FATCA/CRS) | Obligation légale (art. 6.1.c) – CGI | Identification, fiscal, transactions |
Communications liées aux investissements | Exécution du contrat (art. 6.1.b) | Email, données investissement |
Newsletters commerciales | Consentement (art. 6.1.a) |
8.3. Traitements spécifiques aux Professionnels
Finalité | Base légale | Données |
|---|---|---|
Validation et gestion du statut Professionnel | Exécution du contrat (art. 6.1.b) | Identification société, statut |
Vérification KYD (CIF) | Obligation légale (art. 6.1.c) | Identification, n° CIF, justificatifs |
Gestion des conventions | Exécution du contrat (art. 6.1.b) | Signatures, documents |
Calcul et versement des commissions | Exécution du contrat (art. 6.1.b) | Transactions, taux négociés |
Gestion du réseau | Exécution du contrat (art. 6.1.b) | Structure hiérarchique |
8.4. Traitements spécifiques aux Partenaires
Finalité | Base légale | Données |
|---|---|---|
Gestion des accès API | Exécution du contrat (art. 6.1.b) | Token, IP, rate limit |
Journalisation des appels API | Intérêt légitime (art. 6.1.f) | Logs API |
Sécurité API | Intérêt légitime (art. 6.1.f) | IP autorisées, monitoring |
8.5. Traitements spécifiques aux Managers
Finalité | Base légale | Données |
|---|---|---|
Gestion des accès administrateurs | Intérêt légitime (art. 6.1.f) | Identification, rôle, permissions |
Audit des actions | Obligation légale / Intérêt légitime | Logs d'actions |
Impersonation (support) | Intérêt légitime (art. 6.1.f) | Actions tracées |
9. Profilage et décisions automatisées
9.1. Évaluation du profil investisseur
La Plateforme procède à une évaluation du profil investisseur basée sur les informations fournies lors du questionnaire de connaissances (KYC). Cette évaluation est partiellement automatisée.
9.2. Absence de décision entièrement automatisée
Caption ne prend aucune décision produisant des effets juridiques ou affectant significativement les utilisateurs sur le seul fondement d'un traitement automatisé (article 22 RGPD). Toute décision défavorable fait l'objet d'une revue humaine.
10. Destinataires des données
10.1. Personnel habilité de Caption
Seuls les collaborateurs dont les fonctions le nécessitent ont accès aux données, selon le principe du moindre privilège.
10.2. Sous-traitants
Prestataire | Fonction | Localisation |
|---|---|---|
Mangopay S.A. | Services de paiement (responsable distinct) | Luxembourg |
YouSign | Signature électronique | France |
SendGrid | Envoi d'emails | UE/États-Unis (DPF) |
Naitways | Hébergement | France |
10.3. Destinataires par type d'utilisateur
Investisseurs :
- Professionnels gérant leur compte (données limitées à la relation)
- Émetteurs des offres souscrites (pour la tenue des registres)
- Autorités (AMF, ACPR, TRACFIN, fisc) sur demande légale
Professionnels :
- Autorités de régulation (AMF, ORIAS)
- Réseau parent le cas échéant
Partenaires :
- Aucun transfert à des tiers sauf obligation légale
10.4. Exclusion de commercialisation
Caption ne vend, ne loue et ne cède jamais les données personnelles à des tiers à des fins commerciales.
11. Transferts hors Union européenne
11.1. Principe
Les données sont hébergées et traitées principalement au sein de l'Union européenne.
11.2. Garanties
En cas de transfert hors EEE, Caption s'assure de l'encadrement par :
- Décision d'adéquation de la Commission européenne
- Clauses Contractuelles Types (CCT)
- Data Privacy Framework (DPF) pour les États-Unis
12. Durées de conservation
12.1. Investisseurs
Données | Base active | Archivage |
|---|---|---|
Compte actif (détenteur de titres) | Durée de la relation | 5 ans après fin |
KYC et justificatifs | Durée de la relation | 5 ans après fin (LCB-FT) |
Transactions et souscriptions | Durée de la relation | 5 ans après opération |
Documents signés | Durée de la relation | 10 ans |
Compte sans investissement ni KYC | 2 ans après dernière connexion | Suppression |
Compte avec KYC mais sans investissement | 2 ans après inactivité | 5 ans (LCB-FT) |
12.2. Professionnels
Données | Base active | Archivage |
|---|---|---|
Compte Professionnel actif | Durée de la relation | 5 ans après fin |
KYD et conventions (CIF) | Durée de la relation | 5 ans après fin |
Accès Professionnels | Durée de l'emploi | 1 an après révocation |
12.3. Partenaires
Données | Base active | Archivage |
|---|---|---|
Compte Partenaire | Durée du contrat | 5 ans après fin |
12.4. Managers
Données | Base active | Archivage |
|---|---|---|
Compte Manager | Durée de l'emploi | 1 an après départ |
12.5. Données techniques
Données | Conservation |
|---|---|
Cookies analytiques | 13 mois maximum |
13. Mesures de sécurité
13.1. Mesures techniques
- Chiffrement : TLS 1.2+ pour les communications, AES-256 pour les données stockées
- Authentification : mots de passe hachés (bcrypt), 2FA disponible
- Contrôle d'accès : principe du moindre privilège, journalisation
- Infrastructure : pare-feu applicatif (WAF), protection DDoS
- Sauvegardes : quotidiennes, chiffrées, géographiquement distribuées
- Tests : audits réguliers, tests d'intrusion annuels
13.2. Mesures organisationnelles
- Politique de sécurité formalisée (PSSI)
- Formation du personnel
- Clauses de confidentialité
- Procédure de gestion des incidents
- Plan de continuité d'activité
13.3. Certifications
Notre hébergeur Naitways est certifié ISO 27001, SOC 2 Type II et HDS.
14. Vos droits
14.1. Droits applicables
Droit | Description | Conditions |
|---|---|---|
Accès (art. 15) | Obtenir une copie de vos données | Gratuit sauf abus |
Rectification (art. 16) | Corriger des données inexactes | Sans délai |
Effacement (art. 17) | Demander la suppression | Limité si obligation légale |
Limitation (art. 18) | Suspendre le traitement | Données conservées mais non traitées |
Portabilité (art. 20) | Recevoir vos données en format structuré | Données fournies, traitement automatisé |
Opposition (art. 21) | S'opposer au traitement | Intérêt légitime ou prospection |
Retrait du consentement | Retirer votre consentement | Sans effet rétroactif |
Directives post-mortem | Définir le sort de vos données après décès | Art. 85 Loi Informatique et Libertés |
14.2. Exercice des droits
- Email : dpo@caption.market
- Courrier : Caption SA – DPO – 6 rue d'Antin 75002 Paris
Délai de réponse : 1 mois (extensible à 3 mois si complexité).
14.3. Limitations
Les droits peuvent être limités en cas d'obligation légale (notamment LCB-FT : conservation 5 ans après fin de relation).
15. Cookies et traceurs
Un cookie est un petit fichier déposé sur votre terminal lors de la visite de la Plateforme. Veuillez vous référer à notre politique de gestion des cookies pour plus d'informations.
16. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Autorité | Commission Nationale de l'Informatique et des Libertés |
Adresse | 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 |
Site | |
Plainte en ligne |
17. Modifications de la Politique
Caption se réserve le droit de modifier la présente Politique à tout moment.
En cas de modification substantielle :
- Information par email
- Notification sur la Plateforme
- Mise à jour de la date en en-tête
18. Contact
Service | Contact |
|---|---|
Questions générales | |
Protection des données / DPO | |
Adresse postale | Caption SA – 6 rue d'Antin 75002 Paris, France |
Mis à jour le : 19/02/2026
Merci !