Trace — Confidentialité

Politique de confidentialité

La présente version française est la version juridiquement opposable. Une traduction anglaise est fournie à titre indicatif.

La présente politique décrit, de manière explicite et complète, les traitements de données personnelles réalisés par le service Trace (tracemonaco.com). Elle est rédigée conformément à la Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles en Principauté de Monaco et, lorsqu'il trouve à s'appliquer, au Règlement général sur la protection des données (RGPD, UE 2016/679). Nous avons choisi de tout indiquer plutôt que de recourir à des formules générales : vous savez ainsi exactement ce qu'il advient de chaque donnée.

1. Responsable du traitement et rôle de Trace

L'exploitant du service Trace est :

BSS — Ben-Sylvester Strautmann
Exploitation Directe — RCI n° 22P10095
41 Avenue Hector Otto, Le Patio Palace
C/° Monaco Check-In S.A.M. — 98000 Monaco
Contact : hello@tracemonaco.com

Trace intervient à deux titres juridiquement distincts :

En tant que responsable du traitementpour les données du compte de l'utilisateur professionnel (l'« opérateur ») : adresse e-mail, identité, nom de la structure, logo, données de facturation et d'abonnement, données techniques et de mesure d'audience.
En tant que sous-traitantpour les données que l'opérateur saisit au sujet des personnes qu'il crible (ses clients, leurs bénéficiaires effectifs, les navires, etc.). Pour ces données, c'est l'opérateur — assujetti aux obligations de vigilance de la Loi n° 1.362 — qui demeure le responsable du traitement. Trace les traite uniquement sur les instructions de l'opérateur, dans le cadre d'un accord de sous-traitance.

2. Personnes concernées par cette politique

Les opérateurs— les professionnels titulaires d'un compte Trace.
Les personnes criblées— les tiers dont l'opérateur saisit les données pour exécuter ses obligations de lutte contre le blanchiment. Ces personnes exercent leurs droits en premier lieu auprès de l'opérateur qui les a criblées (leur responsable de traitement) ; Trace relaie toute demande reçue à l'opérateur concerné.
Les visiteurs du site tracemonaco.com.

3. Données traitées

Données de compte: adresse e-mail, nom, nom de la structure, logo, plan d'abonnement et historique de facturation.
Données de criblage saisies par l'opérateur: nom, date de naissance, nationalité, numéro de document d'identité de la personne ou de l'entité criblée ; informations sur les bénéficiaires effectifs et les navires ; contexte de la transaction.
Copies de documents d'identité: lorsque l'opérateur téléverse un passeport, une carte d'identité, un extrait Kbis/RCI ou un acte de pavillon, l'image est (a) transmise à un service d'extraction OCR pour en lire les champs (voir §7) et (b) conservée dans le dossier de criblage au sein du compte de l'opérateur. Cette conservation est requise : la Loi n° 1.362 (art. 4 et 21) impose de verser une copie du document d'identification au dossier de vigilance.
Résultats de criblage: sources consultées, correspondances éventuelles, classifications, score de risque, décisions et notes de l'opérateur, rapports PDF générés.
Données techniques: adresse IP, agent utilisateur, journaux serveur — pour la sécurité du service et la détection d'abus.
Données de mesure d'audience : pages consultées et données de performance, collectées uniquement après votre consentement (voir §10).

4. Finalités du traitement

Exécuter le criblage demandé contre les listes et sources consultées.
Extraire automatiquement les champs des documents d'identité téléversés (OCR).
Produire et conserver le rapport PDF documentant le criblage.
Gérer le compte, l'abonnement, la facturation et la relation contractuelle.
Assurer la sécurité du service et prévenir les abus.
Mesurer l'audience du site afin d'en améliorer le fonctionnement (sous réserve de votre consentement).

5. Bases légales

Exécution du contrat— pour les données du compte, de l'abonnement et de la facturation, et pour la fourniture du service de criblage à l'opérateur.
Obligation légale— le criblage des tiers et la conservation des dossiers de vigilance reposent sur les obligations de lutte contre le blanchiment qui incombent à l'opérateur (Loi n° 1.362). Trace les met en œuvre en qualité de sous-traitant.
Intérêt légitime — pour la sécurité du service et la prévention des abus.
Consentement— pour les cookies et la mesure d'audience. Le consentement est recueilli via la bannière et peut être retiré à tout moment.

6. Durée de conservation

Données de compte : conservées tant que le compte est actif. À la fermeture du compte, elles sont effacées dans un délai maximum de 30 jours, sauf donnée soumise à une obligation légale de conservation.
Données et rapports de criblage, copies de documents d'identité: conservés dans le compte de l'opérateur. Ils constituent le dossier de vigilance de l'opérateur et sont soumis, à ce titre, à l'obligation de conservation de la Loi n° 1.362 (art. 23) — au minimum 5 ans après la fin de la relation d'affaires, durée pouvant être portée à 10 ans. Trace conserve ces données pour le compte de l'opérateur pendant la durée que celui-ci détermine en application de cette obligation.
Journaux techniques : conservés pour une durée limitée à des fins de sécurité.
Cookies de mesure d'audience : voir §10 — le cookie Google Analytics est conservé 14 mois au maximum.

7. Destinataires et sous-traitants

Trace ne vend aucune donnée et ne la partage avec aucun annonceur. Pour fournir le service, Trace recourt aux prestataires (sous-traitants) suivants, chacun lié par des engagements contractuels de confidentialité et de protection des données :

Vercel Inc.(États-Unis) — hébergement de l'application et mesure de performance (Vercel Analytics).
Supabase, Inc. — base de données, authentification et stockage des fichiers (dont les rapports PDF et les copies de documents téléversées). Les données sont hébergées dans la région européenne (Union européenne).
Google LLC(États-Unis) — extraction OCR des documents d'identité via l'API Gemini : lorsque l'extraction locale échoue, l'image du document est transmise à ce service pour en lire les champs. Google fournit également Google Analytics (mesure d'audience, après consentement).
Resend, Inc. (États-Unis) — envoi des e-mails transactionnels (lien de connexion, notifications, reçus).
CoreByCarlo— prestataire de paiement pour les abonnements. Les données de carte bancaire sont saisies directement auprès du prestataire ; Trace n'y a jamais accès.
SerpAPI(États-Unis) — service de recherche d'actualités utilisé pour la recherche de presse défavorable. Le nom de la personne criblée est transmis afin d'interroger l'index d'articles de Google Actualités.
Wikidata— les requêtes de contexte transmettent uniquement des paramètres techniques (types de fonctions politiques) et aucune donnée fournie par l'utilisateur.

Le criblage contre les listes de sanctions et de gel des fonds s'effectue contre des copies de ces listes publiques ; le nom criblé n'est pas transmis aux autorités émettrices.

8. Transferts hors de Monaco et de l'Espace économique européen

La base de données et les fichiers (rapports PDF, documents téléversés) sont hébergés par Supabase dans la région européenne et demeurent dans l'Espace économique européen. En revanche, certains autres sous-traitants (notamment Vercel, Google, Resend et SerpAPI) sont établis aux États-Unis ou peuvent y traiter des données ; les données concernées font alors l'objet d'un transfert hors de Monaco et de l'Espace économique européen. Ces transferts sont encadrés par des garanties appropriées — clauses contractuelles types et engagements de conformité propres à chaque prestataire. Vous pouvez obtenir des précisions sur ces garanties en écrivant à hello@tracemonaco.com.

9. Vos droits

Conformément à la Loi n° 1.565 du 3 décembre 2024 et, le cas échéant, au RGPD, vous disposez des droits suivants sur les données qui vous concernent :

droit d'accès ;
droit de rectification des données inexactes ;
droit d'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation rappelées au §6 ;
droit à la limitation du traitement ;
droit à la portabilité des données ;
droit d'opposition au traitement, pour motifs légitimes ;
droit de retirer votre consentement à tout moment, sans que cela remette en cause la licéité du traitement antérieur.

Pour exercer ces droits, écrivez à hello@tracemonaco.com. Une réponse vous est apportée dans un délai maximum d'un mois. Si votre demande porte sur des données saisies par un opérateur dans le cadre d'un criblage, elle est relayée à cet opérateur, qui en est le responsable du traitement.

Vous pouvez également introduire une réclamation auprès de l'Autorité de Protection des Données Personnelles (APDP) de Monaco, autorité de contrôle instituée par la Loi n° 1.565 du 3 décembre 2024.

10. Cookies et stockage local

Trace utilise un nombre limité de cookies et de jetons de stockage local. Aucun cookie de mesure d'audience n'est déposé avant votre consentement explicite : tant que vous n'avez pas accepté via la bannière, le mode consentement de Google est positionné sur « refusé » et aucun identifiant n'est stocké.

Préférence de langue (localStorage) — clé trace-locale. Strictement nécessaire au fonctionnement du service ; aucun consentement requis.
Décision de consentement (localStorage) — clé trace-cookie-consent. Mémorise votre choix d'accepter ou de refuser les cookies de mesure d'audience. Strictement nécessaire.
Authentification (cookie httpOnly) — émis par Supabase Auth après connexion ; maintient votre session. Ne concerne que les utilisateurs authentifiés.
Google Analytics 4 (cookies _ga, _ga_<ID>)— mesure d'audience anonymisée (anonymize_ip activé). Déposé uniquement après votre consentement explicite. Vous pouvez retirer ce consentement à tout moment via le lien « Gérer les cookies » du pied de page.
Vercel Analytics— mesure de performance sans cookie tiers ; ne dépose qu'un identifiant éphémère destiné à dédupliquer les pages vues.

Aucun cookie publicitaire n'est déposé et aucune donnée n'est partagée avec des annonceurs.

11. Sécurité

Les données sont chiffrées en transit (HTTPS / TLS). L'accès aux données est cloisonné par compte : un mécanisme de sécurité au niveau de la base de données (Row-Level Security) garantit que chaque opérateur ne peut accéder qu'à ses propres données. Les accès d'administration sont restreints. Aucune mesure de sécurité n'étant infaillible, Trace ne peut garantir une sécurité absolue, mais s'engage à mettre en œuvre des mesures conformes à l'état de l'art.

12. Acceptation de la politique et modifications

La création d'un compte Trace requiert l'acceptation explicite de la présente politique de confidentialité et des Conditions d'utilisation : une case à cocher non pré-cochée doit être validée avant toute inscription. Cette acceptation vaut prise de connaissance des traitements décrits dans le présent document.

En cas de modification substantielle de la présente politique, les utilisateurs titulaires d'un compte en sont informés. La date de dernière mise à jour figure en bas de page.

13. Contact

Toute question relative à la protection des données peut être adressée à hello@tracemonaco.com.

Dernière mise à jour : 17 mai 2026.

Chargement…