Préambule

La présente politique de confidentialité décrit précisément comment LowInvestor, service édité par SAS LowInvestor, collecte, utilise, partage et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD 2016/679) et à la loi Informatique et Libertés modifiée. Ce document constitue notre engagement en matière de protection de votre vie privée et reflète notre responsabilité dans le traitement de vos données personnelles.

1. Identité du responsable de traitement

Responsable du traitement des données :
LowInvestor
Société par actions simplifiée
Capital : 100€
Siège social : 58 rue de Monceau, Paris, 75008
SIRET : 94347811500018
RCS : Paris
Représentée par : DJENNAD Hamza

2. Catégories de données personnelles collectées

Conformément au principe de minimisation des données, nous limitons notre collecte aux informations strictement nécessaires à la fourniture de nos services :

2.1. Données d'identification :

• Informations d'identité : nom, prénom, adresse email, numéro de téléphone
• Données d'authentification : identifiants de connexion, mot de passe chiffré
• Informations professionnelles : raison sociale, statut juridique, numéro d'immatriculation, adresse du siège, numéro fiscal

2.2. Données techniques et de connexion :

• Adresse IP
• Identifiants de l’appareil
• Données de localisation approximative (pays, région)
• Logs de connexion
• Date, heure et durée de connexion
• Type de navigateur et système d’exploitation

2.3. Données d'usage et de navigation : (Il me faut des précisons) 

Dans le cadre de l’amélioration continue de la plateforme, nous sommes susceptibles de collecter des données relatives à l’usage et à la navigation des utilisateurs, tant sur le site web que sur l’application mobile.

Sur le site internet :

• Pages visitées ;
• Clics effectués sur les boutons et éléments interactifs ;
• Parcours de navigation entre les pages ;
• Durée de consultation de certaines sections.

Ces données sont utilisées à des fins d’analyse technique, de résolution d’erreurs, et d’optimisation de l’ergonomie du site.

Sur l’application mobile :

• Nombre de vues des pages projets ;
• Interactions avec les contenus affichés (ouvertures, clics) ;
• Fréquence de consultation de certaines rubriques.

Bien qu’aucun système de tracking complet ne soit encore activé à la date de rédaction, nous nous réservons le droit de mettre en place des mécanismes de suivi anonymisés du parcours utilisateur, dans le but de :

• Détecter les zones de friction ou d’abandon dans l’interface ;
• Améliorer la fluidité du parcours utilisateur ;
• Adapter les contenus et les fonctionnalités en fonction des usages réels.

Toutes ces données sont exploitées sans identification directe de l’utilisateur, sauf consentement explicite lorsque requis par la réglementation en vigueur.

2.4. Données KYC (Know Your Customer) : 

• CV
• Documents d’identités (CNI / passeport)
• Numéro de téléphone 
• Adresse mail 
• Adresse mail 
• Justificatif de domicile
• Documents légaux et financiers des entreprises
• Attestations et certifications professionnelles

2.5. Données de communication :

LowInvestor collecte et conserve certaines données issues des communications entre utilisateurs dans le cadre de l’usage de la plateforme. Ces données ont pour finalité la traçabilité des échanges, la gestion des relations contractuelles et la sécurisation des opérations liées à l’investissement.

Les éléments suivants sont susceptibles d’être collectés :

Historique des messages échangés via la plateforme :

• Via la rubrique « Conversations » : échanges directs entre investisseurs, startups et partenaires locaux via la messagerie intégrée ;
• Via l’onglet « Due Diligence » du module « Investment Funnel » : centralisation des discussions liées à un processus d’investissement ;
• Via l’onglet « Transaction » du même module : publication de mises à jour et échanges de documents par le partenaire professionnel.

Ces messages peuvent contenir :

• Du texte (questions, commentaires, validations, refus) ;
• Des fichiers joints (pitch decks, business plans, contrats, rapports d’audit, etc.) ;
• Des images ou captures documentaires partagées via l’interface.

Demandes d’accès à la data room :

• Enregistrement de chaque demande d’accès aux documents confidentiels formulée par un investisseur ou un partenaire ;
• Conservation de la réponse fournie par les fondateurs de la startup concernée (validation, refus, partage de fichiers, etc.).

Documents liés aux transactions :

• LowInvestor conserve les documents transmis via l’onglet « Transaction » de la rubrique My Deal, lorsque ceux-ci sont communiqués par le partenaire certifié ;
• Ces fichiers peuvent inclure notamment :

• Des contrats et projets d’actes juridiques ;
• Des rapports de due diligence ;
• Des pièces justificatives administratives ou comptables ;
• Des procès-verbaux et documents de gouvernance.

L’ensemble de ces éléments est conservé de manière sécurisée, dans des conditions conformes au RGPD, et reste accessible uniquement aux utilisateurs directement concernés et à l’équipe habilitée de LowInvestor.

2.6. Données liées à l'utilisation de l'agent IA :

Dans le cadre de l’utilisation de l’agent conversationnel mis à disposition sur la plateforme LowInvestor, certaines données peuvent être temporairement traitées pour permettre le bon fonctionnement technique du service.

Les éléments suivants peuvent être enregistrés :

• Les requêtes formulées par l’utilisateur (questions, commandes, instructions) ;
• Le contexte de la conversation, nécessaire au fonctionnement fluide du dialogue ;
• Le contenu généré par l’agent IA en réponse aux requêtes.

Précisions et garanties :

• Aucune analyse humaine, ni retraitement manuel, n’est effectué par l’équipe de LowInvestor sur les requêtes formulées ou sur les réponses générées par l’agent.
• Les données saisies via l’agent IA ne sont pas utilisées à des fins de profilage, de ciblage publicitaire, ni de suivi comportemental par LowInvestor ou par un tiers.
• Aucun historique personnel ou nominatif n’est conservé au-delà de la session active.

Recommandation importante :

Les utilisateurs sont expressément invités à ne pas communiquer d’informations sensibles, confidentielles, personnelles ou contractuelles dans le cadre de leurs interactions avec l’agent IA.

2.7. Données bancaires et de facturation :

Les paiements effectués sur la plateforme LowInvestor sont traités via un prestataire de paiement certifié, actuellement Stripe, agissant en tant que responsable de traitement indépendant pour les données bancaires.

 Données bancaires :

• LowInvestor n’a aucun accès direct aux coordonnées bancaires (numéro de carte, IBAN, etc.) saisies lors de la souscription.
• Les informations bancaires sont chiffrées et stockées de manière sécurisée par Stripe, dans le cadre du système d’abonnement (paiement récurrent).

Données de facturation :

• LowInvestor conserve uniquement les informations nécessaires à la facturation, notamment :

• Historique des transactions ;
• Montants réglés, statuts de paiement ;
• Adresse email et références client.

 Finalités :

Ces données sont conservées :

• Pour permettre à l’utilisateur de visualiser ses paiements passés depuis son espace personnel ;
• Pour répondre aux obligations légales de conservation comptable et fiscale.

Aucune donnée bancaire ne peut être utilisée à d’autres fins sans le consentement exprès de l’utilisateur.

3. Sources des données personnelles

Vos données personnelles sont collectées :

• Directement auprès de vous lors de la création de votre compte, de vos interactions sur la plateforme
• Auprès de nos partenaires autorisés et prestataires de vérification d’identité
• Via des sources publiques légitimes (registres d'entreprises, publications légales)
• Par le biais des cookies et technologies similaires lors de votre navigation

4. Finalités et bases légales des traitements

‍

5. Destinataires de vos données personnelles

Vos données personnelles sont accessibles uniquement aux personnes habilitées et soumises à une obligation de confidentialité :

5.1. En interne :

• Personnel autorisé de notre société ayant besoin d'y accéder dans le cadre de leurs fonctions
• Sous-traitants strictement contrôlés par contrat conformément à l'article 28 du RGPD

5.2. Catégories de destinataires externes :

Les données personnelles collectées par LowInvestor peuvent être transmises aux catégories de destinataires suivantes, dans la stricte limite de ce qui est nécessaire à la réalisation des finalités décrites dans la présente politique :

• Prestataires techniques d’hébergement et de maintenance :
  Les services de la plateforme sont hébergés via :

• Webflow Inc. (site vitrine),
• Bubble Group, Inc. (application principale),
• sur des infrastructures cloud fournies par Amazon Web Services (AWS).
  Ces entités sont toutes situées aux États-Unis. Elles assurent l’hébergement, la disponibilité et la maintenance technique des services.

• Prestataire de services de paiement et de facturation :
  Les transactions financières sont traitées par Stripe Payments Europe Ltd., société enregistrée en Irlande, qui peut faire appel à sa société mère Stripe Inc. (États-Unis) pour des traitements techniques spécifiques.
• Prestataire de vérification d'identité (KYC) :
  À ce jour, les procédures de vérification d’identité (KYC – Know Your Customer) sont réalisées en interne par les équipes de LowInvestor. Aucun transfert à un prestataire tiers externe n’est effectué pour cette finalité.
• Prestataire de support client et de communication :
  Le service d’assistance utilisateur est géré via Intercom Inc., situé aux États-Unis, qui fournit un système de messagerie intégrée et de suivi des requêtes.
• Fournisseur de services d’intelligence artificielle :
  Certaines fonctionnalités automatisées de la plateforme peuvent faire appel à OpenAI, L.L.C. (États-Unis) dans le cadre de l’assistance à la rédaction ou de l’analyse automatique de contenus.
• Partenaires ou utilisateurs tiers avec lesquels vous interagissez volontairement :
  Lorsque vous communiquez via la plateforme (messagerie, demandes d’accès, commentaires), certaines données que vous choisissez de transmettre sont rendues accessibles à vos interlocuteurs, dans les limites nécessaires à l’échange ou à la collaboration.
• Autorités administratives, judiciaires ou organismes publics :
  Conformément à la législation applicable, LowInvestor peut être légalement tenu de transmettre certaines données à la demande d’une autorité publique, judiciaire ou réglementaire dûment habilitée.

5.3. Limitation des accès :
Nous mettons en œuvre une politique stricte de contrôle d'accès sur la base du besoin d'en connaître (need-to-know). Chaque accès à vos données est tracé et journalisé. 

• Seuls les membres autorisés de l’équipe, dont les missions le justifient, peuvent accéder aux données.
• Chaque accès est journalisé, horodaté et surveillé, afin de garantir la traçabilité et la sécurité des traitements.
• Des audits internes et des restrictions techniques supplémentaires sont mis en œuvre pour prévenir toute utilisation abusive ou non conforme.

6. Transferts de données hors Union Européenne

6.1. Principe de localisation :
LowInvestor s’efforce de traiter et de stocker les données personnelles des utilisateurs au sein de l’Union Européenne, dans la mesure du possible, afin de garantir un niveau de protection conforme aux exigences du RGPD.

Toutefois, certaines données techniques peuvent être hébergées en dehors de l’UE, notamment aux États-Unis, dans le cadre de l’utilisation des services fournis par notre prestataire Bubble.io, qui s’appuie sur les infrastructures cloud d’Amazon Web Services (AWS).

Les transferts vers ces pays tiers sont encadrés par les clauses contractuelles types de la Commission européenne ou tout autre mécanisme de protection reconnu, afin d’assurer un niveau de sécurité équivalent à celui exigé en Europe.

6.2. Garanties encadrant les transferts hors UE

Dans le cadre des transferts de données vers des pays situés en dehors de l’Union Européenne, LowInvestor met en œuvre toutes les garanties appropriées prévues par l’article 46 du Règlement Général sur la Protection des Données (RGPD), afin d’assurer un niveau de protection équivalent à celui en vigueur au sein de l’UE.

En particulier :

• Le prestataire Bubble.io, qui traite certaines données en dehors de l’Union Européenne, s’engage à respecter les exigences du RGPD.
• Les transferts de données vers les États-Unis s’appuient sur les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, lesquelles encadrent contractuellement la protection des données personnelles transférées.
• Le cas échéant, des mesures supplémentaires de sécurité et de minimisation sont appliquées pour limiter les risques liés à ces transferts.

L’utilisateur peut obtenir, sur demande, des informations supplémentaires concernant les garanties mises en place.

6.3. Droits des utilisateurs en matière de transferts internationaux

Conformément aux dispositions des articles 15 à 22 du Règlement Général sur la Protection des Données (RGPD), chaque utilisateur bénéficie des droits suivants, y compris lorsque ses données sont hébergées ou transférées en dehors de l’Union Européenne :

• Droit d’accès : obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie ;
• Droit de rectification : faire corriger ou mettre à jour vos données personnelles si elles sont inexactes ou incomplètes ;
• Droit de suppression (« droit à l’oubli ») : demander l’effacement de vos données, sous réserve des obligations légales de conservation ;
• Droit de limitation et d’opposition : restreindre ou refuser certains traitements dans les conditions prévues par la loi ;
• Droit à la portabilité : recevoir vos données dans un format structuré et interopérable, ou demander leur transfert direct à un tiers.

Ces droits s’appliquent également aux données transférées hors de l’UE, dès lors qu’elles sont traitées dans le cadre des services proposés par LowInvestor.

Pour exercer l’un de ces droits ou obtenir des précisions sur les mesures de protection mises en place dans le cadre des transferts internationaux, l’utilisateur peut contacter LowInvestor à l’adresse indiquée dans la section « Contact » de la présente politique.

7. Durées de conservation des données

Nous conservons vos données personnelles pour des durées limitées et proportionnées aux finalités pour lesquelles elles ont été collectées:

À l'issue de ces périodes, vos données sont soit supprimées définitivement, soit anonymisées de manière irréversible.

8. Vos droits sur vos données personnelles

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelle : 

8.1. Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.

8.2. Droit de rectification : faire corriger des données inexactes ou incomplètes.

8.3. Droit à l'effacement ("droit à l'oubli") : obtenir la suppression de vos données dans les conditions prévues par la réglementation.

8.4. Droit à la limitation du traitement : demander la suspension temporaire de certains traitements.

8.5. Droit à la portabilité : recevoir vos données dans un format structuré et les transmettre à un autre responsable de traitement.

8.6. Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes, notamment à des fins de prospection commerciale.

8.7. Droit de retirer votre consentement : à tout moment lorsque le traitement est fondé sur votre consentement.

8.8. Directives relatives au sort de vos données après votre décès : définir des instructions concernant la conservation, l'effacement et la communication de vos données après votre décès.

8.9. Droit d'introduire une réclamation : auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 (www.cnil.fr).

Pour exercer vos droits, vous pouvez :

• Nous adresser un courrier à l'adresse postale indiquée ci-dessus

Nous nous engageons à répondre à toute demande dans un délai d’un mois, prolongeable de deux mois en cas de demande complexe ou multiple.

9. Cookies et autres traceurs

9.1. Définition :
Un cookie est un petit fichier texte déposé sur votre terminal lors de votre visite sur notre plateforme. Les cookies nous permettent d'analyser le trafic, de personnaliser votre expérience et d'assurer certaines fonctionnalités.

9.2. Catégories de cookies utilisés :

‍

9.3. Gestion de vos préférences :

LowInvestor utilise un système de gestion des cookies conforme au RGPD, reposant sur le recueil explicite du consentement préalable pour tout cookie non essentiel (ex. : cookies de mesure d’audience, marketing, ou de personnalisation).

• Lors de votre première visite, un bandeau de consentement (Cookie Consent) s’affiche pour vous permettre d’accepter, de refuser ou de paramétrer les cookies selon leur finalité.
• Vous pouvez modifier vos préférences à tout moment en cliquant sur le lien « Gérer mes cookies », accessible en bas à gauche de chaque page du site.
• Aucun cookie non strictement nécessaire ne sera déposé sans votre accord explicite.
• Le refus des cookies non essentiels n’affecte pas l’accès ni la qualité de votre navigation sur la plateforme.

10. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, notamment : 

10.1. Mesures techniques :

• Chiffrement des données sensibles en transit (TLS) et au repos (AES-256)
• Authentification à double facteur (2FA) pour les accès aux comptes.
• Cloisonnement des environnements et principe de moindre privilège
• Journalisation des accès et des opérations sur les données
• Sauvegardes régulières et tests de restauration

10.2. Mesures organisationnelles :

• Formation et sensibilisation régulière de notre personnel
• Processus formalisé de gestion des incidents
• Audits de sécurité périodiques et tests d’intrusion
• Politique de bureaux propres et de gestion des supports
• Procédure de gestion des droits d'accès

10.3. Notification des violations :

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous en informer dans les meilleurs délais et à notifier la CNIL dans les 72 heures, conformément aux articles 33 et 34 du RGPD.

11. Évolution de la politique de confidentialité

11.1. Mise à jour :
La présente politique peut être mise à jour périodiquement pour refléter les changements dans nos pratiques ou obligations légales. La date de dernière mise à jour figure en haut de ce document.

11.2. Notification :
En cas de modification substantielle, vous en serez informé:

• Par email à l'adresse associée à votre compte

12. Dispositions spécifiques aux investisseurs et startups

12.1. Pour les investisseurs :

Données traitées pour les investisseurs

Dans le cadre de l’utilisation de la plateforme, les investisseurs sont amenés à fournir des informations personnelles et professionnelles destinées à encadrer leur activité sur LowInvestor. Ces données sont traitées conformément aux principes du RGPD et, lorsque pertinent, aux exigences issues des réglementations en matière de lutte contre le blanchiment d’argent et de transparence financière.

Les données collectées peuvent inclure :

• Les documents de vérification d’identité dans le cadre du processus KYC (Know Your Customer) : pièce d’identité, justificatif d’enregistrement pour les structures, selfie biométrique, etc. ;
• Les critères d’investissement renseignés volontairement par l’utilisateur, tels que :

• Secteurs d’intérêt (ex. : énergie, santé, fintech) ;
• Montants typiques d’investissement ou “tickets” ;
• Zones géographiques ciblées ;
• Objectifs d’impact, de rentabilité ou d’accompagnement.

Ces éléments permettent :

• De faciliter la mise en relation avec des startups pertinentes via la plateforme ;
• De garantir un cadre de sécurité conforme aux standards attendus en matière de conformité financière, sans toutefois que LowInvestor n’opère en tant qu’intermédiaire financier agréé.

Les documents transmis sont conservés de manière sécurisée, ne sont pas partagés sans consentement explicite, et ne font l’objet d’aucun traitement automatisé à des fins de profilage commercial ou comportemental.

12.2. Pour les startups :

Les fondateurs et représentants de startups inscrites sur la plateforme LowInvestor sont amenés à transmettre un ensemble de données à caractère personnel et professionnel dans le cadre de leur inscription, de la création de leur page projet et des démarches de levée de fonds.

Les données collectées peuvent inclure :

• Des informations d’identification : nom, prénom, email, nationalité, photo, expérience, motivation du fondateur ;
• Des documents juridiques et administratifs : registre de commerce, statuts, certificats fiscaux, preuve de domiciliation, registre des bénéficiaires effectifs ;
• Des éléments marketing et financiers : pitch deck, business plan, rapports comptables, indicateurs de valorisation, prévisions, etc.

Finalités du traitement :

• Vérification de l’identité et de la légitimité de la structure avant validation de l’inscription ;
• Publication partielle ou complète des informations dans le cadre de la fiche projet visible sur la plateforme ;
• Mise en relation avec des investisseurs potentiels, partenaires ou experts référencés.

Les données non publiques (documents juridiques, financiers, justificatifs) sont protégées par des mécanismes d’accès restreint (via NDA, demande validée, ou modules sécurisés comme My Deal).

Les informations fournies par la startup sont traitées dans le strict respect des obligations de confidentialité et ne sont partagées qu’avec les parties expressément autorisées (investisseurs, partenaires, ou autorités compétentes si nécessaire).

12.3. Visibilité des fiches projets

Par défaut, la fiche projet créée par une startup inscrite sur la plateforme LowInvestor est accessible uniquement aux utilisateurs connectés disposant d’un compte valide, via le catalogue sécurisé.

Toutefois, la startup peut choisir de rendre sa fiche projet publique en activant une option spécifique depuis son interface personnelle. Dans ce cas :

• Les informations renseignées dans la fiche projet (secteur, description, pitch, équipe, etc.) deviennent accessibles sans authentification préalable ;
• Cette publication est entièrement facultative, réversible à tout moment, et ne porte que sur les informations que la startup décide volontairement de diffuser ;
• Aucun document confidentiel (ex. : fichiers soumis à NDA, documents juridiques ou financiers sensibles) n’est rendu public dans ce cadre.

LowInvestor recommande aux fondateurs de vérifier attentivement le contenu publié avant d’activer cette visibilité publique. En activant cette option, la startup consent expressément à la diffusion de ces informations sur internet, sous sa seule responsabilité.

14. Contact

Pour toute question concernant cette politique de confidentialité ou pour exercer vos droits, vous pouvez nous contacter :

• par email : contact@lowinvestor.com
• par courrier : SAS LowInvestor - 58 rue de Monceau, Paris, 75008
• Via le formulaire de contact disponible sur la plateforme 

‍