Cet Avis de Confidentialité s'applique au traitement des Informations Personnelles par Gnomi App Corp (GNOMI), y compris sur notre application mobile, notre site web à l'adresse gnomi.com et nos autres offres en ligne ou hors ligne (collectivement, les Services).

1. Mises à jour de cet avis de confidentialité

Nous pouvons mettre à jour cet avis de confidentialité de temps à autre. Si nous le faisons, nous vous en informerons en publiant l'avis de confidentialité mis à jour sur notre site web, et/ou nous pourrons également envoyer d'autres communications.

2. Informations personnelles que nous collectons

Nous collectons les informations personnelles que vous nous fournissez, les informations personnelles que nous collectons automatiquement lorsque vous utilisez les Services, et les informations personnelles provenant de sources tierces.

A. Informations personnelles que vous nous fournissez directement

• Informations de compte : Nom d'utilisateur, adresse e-mail, mot de passe, pays de résidence et autres informations que vous stockez avec votre compte
• Informations de profil : Nom, titre professionnel, biographie, comptes de médias sociaux liés, genre et date de naissance (privé)
• Fonctionnalités interactives : Contenu que vous soumettez via la messagerie, les commentaires et les fonctionnalités de médias sociaux
• Achats : Informations de paiement pour les abonnements GNOMI Premium
• Communications : Informations que vous nous envoyez par e-mail ou outil de chat
• Enquêtes : Informations provenant des enquêtes auxquelles vous participez
• Concours : Informations provenant de tirages au sort ou de concours
• Événements : Informations provenant de conférences et de salons professionnels
• Candidatures d'emploi : Coordonnées et CV si vous postulez à des emplois

B. Informations personnelles collectées automatiquement

• Informations sur l'appareil : Adresse IP, paramètres utilisateur, identifiants de cookies, informations sur le navigateur, informations de localisation
• Informations d'utilisation : Pages visitées, termes de recherche, interactions avec le contenu, fréquence et durée d'activité
• Cookies et technologies : Cookies, balises pixel et balises web pour recueillir des informations sur votre utilisation des Services

C. Informations personnelles collectées auprès de tiers

Nous pouvons collecter des informations personnelles auprès de services tiers lorsque vous connectez GNOMI à des comptes de médias sociaux (Reddit, LinkedIn, Meta, X) ou utilisez des services de connexion tiers.

3. Comment nous utilisons les informations personnelles

A. Fournir les Services

• Gestion de vos informations et fourniture d'accès aux fonctionnalités
• Support client et communications
• Traitement des paiements
• Traitement des candidatures d'emploi

B. Améliorer les Services et Développer de Nouveaux Produits

• Formation des technologies d'IA et d'apprentissage automatique
• Amélioration et perfectionnement des Services

C. Fins Administratives

• Sécurité et prévention des fraudes
• Analyses et mesure de l'engagement
• Contrôle de qualité et sécurité
• Conformité légale

D. Marketing

Nous pouvons utiliser vos informations personnelles pour vous fournir des messages marketing et des offres via des campagnes par e-mail, dans la mesure permise par la loi applicable.

F. Prise de Décision Automatisée

Nous pouvons nous engager dans une prise de décision automatisée, y compris le profilage, pour fournir du contenu personnalisé basé sur vos interactions avec les Services.

4. Comment Nous Divulguons les Informations Personnelles

A. Divulgations pour Fournir les Services

• Prestataires de Services : Services d'IA/ML, hébergement, service client, analyses, marketing, support informatique
• Autres Utilisateurs : Informations que vous choisissez de partager avec d'autres utilisateurs de GNOMI
• Services Tiers : Services avec lesquels vous vous connectez ou interagissez
• Partenaires Commerciaux : Partenaires avec lesquels nous travaillons pour fournir des services
• Sociétés Affiliées : Nos sociétés affiliées
• Partenaires Publicitaires : Pour les utilisateurs gratuits, nous pouvons partager des informations avec des partenaires publicitaires pour la publicité ciblée

B. Divulgations pour Nous Protéger ou Protéger Autrui

Nous pouvons divulguer des informations pour nous conformer aux demandes légales, protéger les droits et la sécurité, faire respecter les politiques ou contribuer aux enquêtes.

C. Transactions Commerciales

Vos informations peuvent être divulguées dans le cadre de fusions, acquisitions ou autres transactions d'entreprise.

5. Vos Choix et Droits en Matière de Confidentialité

Vos Choix de Confidentialité

• Communications par Email : Désinscrivez-vous en utilisant les liens dans les emails
• Messages Texte : Répondez "STOP" pour vous désinscrire
• Appareils mobiles : Ajuster les paramètres de notifications push et de localisation
• Cookies : Ajuster les préférences du navigateur (remarque : peut affecter les fonctionnalités)
• Ne pas suivre : Nous ne répondons pas aux signaux DNT

Vos droits à la vie privée

Vous pouvez avoir le droit de :

• Confirmer si nous traitons vos informations personnelles
• Demander l'accès à vos informations personnelles ou leur portabilité
• Demander la correction de vos informations personnelles
• Demander la suppression de vos informations personnelles
• Demander la limitation du traitement ou s'y opposer
• Refuser la publicité ciblée, les ventes ou le profilage
• Retirer votre consentement

6. Transferts internationaux d'informations personnelles

Les informations personnelles peuvent être transférées, traitées et stockées n'importe où dans le monde, y compris dans des pays ayant des lois différentes sur la protection des données. Pour les transferts depuis l'UE/UK, nous pouvons utiliser les Clauses Contractuelles Types de l'UE comme garanties.

7. Conservation des informations personnelles

Nous conservons les informations personnelles aussi longtemps que vous utilisez les Services, ou selon les besoins pour atteindre les objectifs, fournir les Services, résoudre les litiges et respecter les obligations légales.

8. Avis supplémentaire pour le RGPD UE/UK

Cette section s'applique aux informations personnelles soumises au RGPD de l'UE ou du Royaume-Uni. Dans certains cas, la fourniture d'informations personnelles peut être requise par la loi ou par contrat. Nous vous informerons des conséquences si vous choisissez de ne pas fournir les informations requises.

9. Informations personnelles des enfants

Les Services ne sont pas destinés aux enfants de moins de 16 ans, et nous ne collectons pas sciemment d'informations personnelles auprès des enfants. Si vous pensez que votre enfant a téléchargé des informations en violation de la loi applicable, veuillez nous contacter.

10. Avis de confidentialité relatif aux promotions

GNOMI App Corp. (« Sponsor ») collecte et traite les informations personnelles soumises par les participants, y compris le nom, l'adresse e-mail, le pays ou l'état de résidence, et les informations nécessaires pour vérifier l'admissibilité et livrer les prix. Ces informations sont utilisées uniquement pour administrer la promotion, prévenir la fraude, vérifier l'admissibilité et remettre les prix.

Pour les participants situés dans l'Espace économique européen ou au Royaume-Uni, le Sponsor traite les données personnelles sur la base de l'exécution d'un contrat (administration de la promotion) et des intérêts légitimes du Sponsor dans l'exploitation et la sécurisation de la promotion. Si les participants choisissent de recevoir des communications marketing, le traitement est basé sur le consentement. La participation à la promotion n'est pas conditionnée à la fourniture d'un consentement marketing.

Le Sponsor peut utiliser des prestataires de services pour aider à l'administration de la promotion, aux communications, à l'analyse et à la remise des prix. Les données personnelles peuvent être transférées et traitées aux États-Unis ou dans d'autres pays où le Sponsor ou ses prestataires de services opèrent, sous réserve de garanties juridiques appropriées lorsque cela est requis.

Les données personnelles sont conservées jusqu'à douze (12) mois après la fin de la promotion, puis supprimées ou anonymisées, sauf si une conservation plus longue est requise à des fins légales ou réglementaires. La promotion est ouverte uniquement aux personnes âgées d'au moins 18 ans ou ayant atteint l'âge de la majorité dans leur juridiction.

Selon la loi applicable, les participants peuvent avoir le droit de demander l'accès à leurs données personnelles, leur correction ou leur suppression, de restreindre ou de s'opposer au traitement, ou de demander la portabilité des données. Les participants de l'EEE ou du Royaume-Uni peuvent également déposer une plainte auprès de leur autorité locale de protection des données. Les résidents américains peuvent avoir des droits supplémentaires en matière de confidentialité en vertu des lois étatiques applicables.

Les demandes concernant les données personnelles peuvent être soumises à : privacy@gnomi.com

11. Politique de Conservation et d'Élimination des Données

Documentation de Conformité au RGPD et aux Lois Applicables sur la Confidentialité

2. Déclaration de Conformité au RGPD et aux Lois Applicables sur la Confidentialité

GNOMI maintient cette Politique de Conservation et d'Élimination des Données définie et appliquée pour soutenir la conformité aux lois applicables sur la confidentialité et la protection des données, y compris le Règlement Général sur la Protection des Données (RGPD) lorsque le RGPD s'applique aux activités de traitement de GNOMI. Cette politique est conçue pour opérationnaliser les principes de conservation et d'élimination alignés sur le RGPD, notamment la limitation de la conservation, la minimisation des données, la limitation des finalités, l'intégrité et la confidentialité, la responsabilité, et le traitement licite des demandes de suppression et de restriction des Personnes Concernées.

Les contrôles de conservation et d'élimination de GNOMI visent à garantir que les Données Personnelles ne sont pas conservées plus longtemps que nécessaire aux fins pour lesquelles elles sont collectées ou autrement traitées de manière licite, sauf si une conservation prolongée est requise pour des finalités légales, réglementaires, contractuelles, de sécurité, de prévention de la fraude, comptables, d'audit, de résolution de litiges ou commerciales légitimes.

Lorsque GNOMI traite des informations de compte financier ou de portefeuille autorisées par l'utilisateur via Plaid ou des fournisseurs similaires, GNOMI applique des contrôles de conservation et d'élimination conçus pour limiter la conservation des données d'intégration financière à la période nécessaire pour fournir les fonctionnalités autorisées, maintenir la sécurité, satisfaire les obligations contractuelles, prévenir la fraude et se conformer à la loi applicable.

3. Champ d'Application

Cette politique s'applique à toutes les données collectées, traitées, stockées, transmises ou maintenues par GNOMI ou par des Prestataires de Services tiers agissant au nom de GNOMI. Cela inclut les systèmes de production, les services cloud, les bases de données d'applications, les systèmes de comptes utilisateurs, les systèmes d'intégration financière, les systèmes d'analyse de portefeuille, les systèmes d'intelligence financière générée par IA, les systèmes d'analyse financière, les intégrations Plaid, les intégrations de comptes de courtage, les intégrations bancaires, les journaux de sécurité, les environnements d'analyse, les outils de support client, les plateformes de fournisseurs, les dossiers d'entreprise, les sauvegardes et les systèmes de reprise après sinistre.

Cette politique s'applique aux employés, sous-traitants, consultants, Prestataires de Services et autres personnels autorisés de GNOMI qui créent, accèdent, gèrent, stockent, traitent, transmettent, conservent, suppriment ou éliminent des données au nom de GNOMI.

4. Déclaration de Politique

GNOMI conserve les données uniquement aussi longtemps que nécessaire pour fournir et améliorer ses services, soutenir les fonctionnalités autorisées des utilisateurs, maintenir la sécurité, satisfaire les obligations contractuelles et légales, mener les opérations commerciales et protéger GNOMI, ses partenaires et ses utilisateurs. Lorsque les données ne sont plus nécessaires, GNOMI les supprime, les anonymise, les agrège ou les élimine de manière sécurisée en utilisant des contrôles administratifs, techniques et procéduraux appropriés.

Les périodes de conservation sont basées sur le type de données, la finalité du traitement, la relation avec l'utilisateur, la base juridique, le besoin commercial, les obligations contractuelles, les exigences réglementaires et les exigences de sécurité. GNOMI examine périodiquement les pratiques de conservation et d'élimination pour confirmer qu'elles restent appropriées pour ses activités, produits, systèmes, fournisseurs et obligations de confidentialité applicables.

GNOMI conserve les données d'intégration financière autorisées par l'utilisateur uniquement aussi longtemps que nécessaire pour fournir les fonctionnalités d'intelligence financière autorisées demandées par l'utilisateur, y compris l'analyse de portefeuille, l'analyse de diversification, la génération de sentiment de portefeuille, les informations financières générées par IA, la prévention de la fraude et le support d'intégration.

5. Principes de Conservation Alignés sur le RGPD

• Limitation de la conservation : GNOMI conserve les Données Personnelles uniquement pendant la période nécessaire à la finalité de traitement pertinente, sauf si une conservation plus longue est justifiée par la loi, un contrat, la sécurité, la résolution de litiges, l'audit, la comptabilité ou les exigences de conformité.
• Minimisation des données : GNOMI limite les données conservées à ce qui est raisonnablement nécessaire pour la finalité commerciale, produit, sécurité, légale ou de conformité pertinente.
• Limitation des finalités : GNOMI évalue la conservation en fonction de la finalité pour laquelle les données ont été collectées ou autrement traitées de manière licite.
• Intégrité et confidentialité : GNOMI protège les données conservées avec des contrôles d'accès appropriés, des permissions de moindre privilège, une surveillance et des pratiques de traitement sécurisées.
• Responsabilité : GNOMI maintient les responsabilités de propriété, d'examen et d'application pour les décisions de conservation et d'élimination.
• Droits des Personnes Concernées : GNOMI traite les demandes applicables de suppression, de correction, de restriction et d'opposition conformément à la loi applicable sur la confidentialité et à toute exception licite.
• Limitation de l'autorisation de l'utilisateur : Les données d'intégration financière sont conservées et traitées uniquement pour la durée et les finalités autorisées par l'utilisateur et soutenues par les fondements de traitement licites applicables.

6. Classification des Données

GNOMI classe les données en fonction de leur sensibilité, de la finalité du traitement, des obligations applicables et de l'utilisation opérationnelle. Les contrôles de conservation et d'élimination sont appliqués en fonction de la nature des données et des systèmes où elles résident.

• Données clients et utilisateurs : informations liées au compte, informations de profil utilisateur, préférences, données d'utilisation du produit, communications d'assistance et enregistrements liés au service.
• Données de connexion financière : données de compte de courtage autorisées par l'utilisateur, données de relation bancaire, avoirs de portefeuille, métadonnées de transaction, métadonnées de compte d'investissement, soldes, identifiants d'institution financière, identifiants ou jetons d'intégration financière, informations financières générées par IA, résultats d'analyse de portefeuille et informations connexes traitées via Plaid ou des fournisseurs d'intégration financière similaires.
• Données d'intelligence financière générées par IA : analyse de sentiment de portefeuille, analyse de diversification, résumés financiers, résultats IA au niveau du compte et intelligence financière spécifique à l'utilisateur générée à partir d'intégrations financières autorisées.
• Journaux de sécurité et opérationnels : enregistrements d'authentification, journaux d'accès, journaux d'audit, données de surveillance, journaux d'activité système et enregistrements de réponse aux incidents.
• Données commerciales et administratives : contrats, dossiers de fournisseurs, dossiers de facturation, dossiers d'entreprise, dossiers juridiques, dossiers fiscaux et documentation opérationnelle interne.
• Données agrégées, anonymisées ou dé-identifiées : analyses, données d'amélioration de produit et données de rapport qui ne sont pas raisonnablement liées à un individu identifiable.

7. Calendrier de Conservation

GNOMI applique des périodes de conservation selon les catégories ci-dessous. Des périodes spécifiques peuvent être ajustées lorsque la loi, un contrat, un besoin de sécurité, des exigences de système technique ou une nécessité commerciale approuvée l'exigent. Lorsqu'une période de conservation spécifique n'est pas légalement requise, GNOMI conserve les données uniquement aussi longtemps que nécessaire pour la finalité applicable, puis les supprime, les anonymise ou les élimine de manière sécurisée.

Catégorie de Données	Finalité Principale	Norme de Conservation	Méthode d'Élimination
Données de compte et de profil utilisateur	Fonctionnement du compte, authentification, assistance utilisateur, fourniture de services	Conservées tant que le compte est actif et pendant une période limitée après sa fermeture, selon les besoins de sécurité, de prévention de la fraude, juridiques, d'audit ou d'assistance.	Suppression, anonymisation ou purge sécurisée des systèmes actifs.
Données d'intégration financière autorisées par l'utilisateur	Fourniture de fonctionnalités d'intelligence financière autorisées, fonctionnalités demandées par l'utilisateur, assistance à l'intégration et sécurité	Conservées uniquement tant que l'utilisateur maintient la connexion financière autorisée ou tant que nécessaire pour fournir les fonctionnalités d'intelligence financière autorisées, maintenir la sécurité, prévenir la fraude, soutenir les opérations commerciales légitimes, respecter les obligations contractuelles ou satisfaire aux exigences légales et réglementaires. Les intégrations révoquées, déconnectées, expirées ou inactives sont supprimées, désactivées, anonymisées ou leurs jetons révoqués conformément aux exigences opérationnelles et légales.	Suppression des systèmes actifs, révocation sécurisée des jetons, anonymisation, conservation archivistique restreinte lorsque légalement requise, ou élimination sécurisée.
Informations financières générées par IA et analyses de portefeuille	Intelligence de portefeuille, analyse de diversification, analyse de sentiment, fonctionnalité de chat IA, analyses demandées par l'utilisateur	Conservées tant que les comptes utilisateurs associés restent actifs et que la fonctionnalité reste activée, sous réserve des demandes de suppression, des exigences de sécurité, des obligations légales et de la nécessité opérationnelle	Suppression, anonymisation, agrégation ou élimination sécurisée
Dossiers d'assistance et de communications	Assistance clientèle, résolution de problèmes, assurance qualité et conformité	Conservés selon les besoins pour résoudre les demandes, maintenir les dossiers de service et soutenir les exigences commerciales ou légales.	Suppression ou élimination sécurisée des archives à l'expiration.
Journaux de sécurité, d'accès et d'audit	Surveillance de la sécurité, prévention de la fraude, détection d'incidents, examen des accès, audit et intégrité du système	Conservés pendant une période appropriée à la finalité de sécurité, aux exigences du système et aux obligations légales ou contractuelles.	Expiration programmée, purge sécurisée ou élimination archivistique restreinte.
Dossiers de facturation, fiscaux, d'entreprise et juridiques	Comptabilité, fiscalité, gouvernance d'entreprise, audit, administration des contrats et conformité légale	Conservés pendant la période requise par la loi applicable, les normes d'audit, les contrats ou les exigences de gouvernance d'entreprise.	Élimination sécurisée après expiration du besoin légal ou commercial.
Données agrégées, anonymisées ou dé-identifiées	Analyses, amélioration des produits, recherche, rapports et intelligence d'affaires	Peuvent être conservées pendant des périodes plus longues lorsque les données ne sont pas raisonnablement identifiables et se situent hors du champ d'application des données personnelles en vertu de la loi applicable.	Utilisation continue, agrégation supplémentaire ou élimination lorsqu'elles ne sont plus nécessaires.
Sauvegardes et données de reprise après sinistre	Continuité des activités, récupération de sécurité et restauration du système	Conservées selon les calendriers de cycle de vie des sauvegardes et écrasées ou purgées par rotation normale des sauvegardes, sauf en cas de conservation légale.	Écrasement programmé, expiration ou destruction sécurisée.

8. Procédures de Suppression des Données et d'Élimination Sécurisée

GNOMI applique la suppression et l'élimination des données par le biais de contrôles administratifs, techniques et procéduraux. Les méthodes d'élimination sont sélectionnées en fonction du type de données, du système, de la sensibilité, de l'exigence de conservation et de la faisabilité technique.

• Suppression ou purge des systèmes de production actifs lorsque les données ne sont plus nécessaires.
• Anonymisation ou agrégation lorsque GNOMI doit préserver des analyses ou des informations produit sans conserver de Données Personnelles raisonnablement identifiables.
• Restriction ou désactivation des données lorsque la suppression est temporairement limitée par une conservation légale, des contraintes de sécurité, d'audit, de comptabilité, de résolution de litiges ou techniques.
• Élimination sécurisée des enregistrements et exportations en utilisant des processus approuvés de suppression, de destruction ou de révocation d'accès.
• Examen des systèmes et fournisseurs pour confirmer que les obligations de conservation et d'élimination sont opérationnalisées là où les données sont traitées pour le compte de GNOMI.
• Révocation et suppression des jetons d'accès Plaid, des identifiants OAuth, des identifiants API et des secrets d'intégration associés lorsque les intégrations sont déconnectées, expirées ou ne sont plus nécessaires.
• Suppression ou anonymisation des informations financières générées par IA lorsque les intégrations financières sous-jacentes associées sont révoquées ou supprimées, sauf si la conservation est autrement requise.

9. Demandes des Personnes Concernées au titre du RGPD et Clôture de Compte

Lorsque le RGPD ou toute autre loi applicable en matière de protection de la vie privée s'applique, GNOMI traite les demandes des personnes concernées relatives à l'accès, la rectification, la suppression, la restriction, l'opposition et la portabilité conformément aux exigences légales applicables et aux exceptions légales. GNOMI évalue les demandes en fonction de l'identité du demandeur, de la nature des données, de la base juridique applicable, des exigences du système et de toute obligation légale de conserver les données.

Lors d'une clôture de compte vérifiée ou d'une demande de suppression vérifiée, GNOMI supprime, anonymise ou restreint les Données Personnelles applicables des systèmes actifs, sauf si la conservation est requise ou autorisée à des fins légales, réglementaires, contractuelles, de sécurité, de prévention de la fraude, de comptabilité, d'audit, de résolution de litiges ou d'intérêts commerciaux légitimes. Lorsque les données ne peuvent pas être immédiatement supprimées des sauvegardes, elles sont protégées contre toute utilisation ordinaire et supprimées selon le cycle de vie applicable des sauvegardes.

Lorsque cela est techniquement faisable et légalement autorisé, GNOMI traite les demandes vérifiées de déconnexion des intégrations financières, de révocation des jetons d'accès financiers, de suppression des données d'analyse de portefeuille associées et de suppression des informations financières générées par IA associées aux intégrations financières autorisées par l'utilisateur.

10. Conservations Légales et Exceptions de Conservation

GNOMI peut suspendre les calendriers normaux de conservation ou de suppression lorsque les données font l'objet d'une conservation légale, d'un litige, d'une enquête, d'une demande réglementaire, d'une exigence d'audit, d'un incident de sécurité, d'une obligation contractuelle, d'une obligation comptable ou d'une autre exigence commerciale légale. Les données soumises à une conservation légale ou à une exception approuvée ne sont conservées que pendant la durée d'application de l'exception, puis sont renvoyées au processus applicable de conservation et d'élimination. Les obligations de sécurité, de prévention de la fraude, de lutte contre les abus, de résolution de litiges, d'audit, d'examen réglementaire ou d'autres obligations de conformité légales peuvent nécessiter une conservation limitée continue des enregistrements d'intégration financière ou des métadonnées financières liées à la sécurité.

11. Fournisseurs, Sous-traitants et Systèmes Tiers

Lorsque GNOMI utilise des prestataires de services tiers pour stocker ou traiter des données, GNOMI exige un traitement approprié de la conservation et de l'élimination par le biais d'un examen des fournisseurs, d'obligations contractuelles le cas échéant et de contrôles opérationnels. Pour les prestataires agissant en tant que sous-traitants ou prestataires de services, GNOMI s'attend à ce que les obligations de conservation, de suppression, de confidentialité, de sécurité et d'assistance soient traitées dans les accords applicables, les conditions de traitement des données ou les contrôles des fournisseurs.

GNOMI examine les pratiques de traitement des données des fournisseurs de manière appropriée à la nature du service, à la sensibilité des données et aux exigences applicables en matière de confidentialité et de sécurité. Lorsque GNOMI reçoit une demande de suppression vérifiée qui s'applique aux données détenues par un fournisseur ou un sous-traitant, GNOMI prend des mesures raisonnables pour communiquer ou exécuter la demande de suppression, de restriction ou d'anonymisation via le flux de travail applicable du fournisseur, sous réserve d'exceptions légales.

GNOMI évalue Plaid et d'autres fournisseurs d'intégration financière pour des contrôles appropriés en matière contractuelle, de confidentialité, de sécurité, de conservation, de suppression, de confidentialité et de conformité réglementaire.

Lorsque cela est requis, GNOMI met en œuvre des garanties de transfert de données conformes au RGPD appropriées pour le traitement transfrontalier impliquant des données d'intégration financière.

12. Sauvegardes et Reprise après Sinistre

Les données contenues dans les sauvegardes ou les systèmes de reprise après sinistre peuvent persister pendant une période limitée après la suppression des systèmes de production actifs. Les données de sauvegarde sont protégées contre tout accès non autorisé et sont soumises à des contrôles de cycle de vie, des calendriers de conservation et un écrasement ou une suppression programmés. GNOMI n'utilise pas les données de sauvegarde pour le traitement commercial ordinaire après une demande de suppression applicable, sauf lorsque la restauration est requise pour des raisons de sécurité, de reprise après sinistre, légales ou de nécessité opérationnelle. Les données d'intégration financière et les informations financières générées par IA conservées dans les systèmes de sauvegarde restent soumises aux restrictions d'accès, aux contrôles de chiffrement, à la gestion du cycle de vie et aux procédures d'écrasement sécurisé.

13. Application et Responsabilités

La direction, la sécurité, l'ingénierie, les produits, les opérations et le personnel de conformité de GNOMI sont responsables de l'application de cette politique dans leurs domaines de responsabilité. Les employés et les sous-traitants doivent suivre les procédures approuvées de conservation, de suppression, de contrôle d'accès et d'élimination. La conservation, l'exportation, la copie ou l'élimination non autorisées de données en dehors des processus approuvés sont interdites.

14. Examen Périodique

Cette politique est examinée au moins annuellement et lors de changements importants dans les produits, systèmes, fournisseurs, activités de traitement des données, exigences légales, obligations contractuelles ou posture de sécurité de GNOMI. Les examens visent à confirmer que les normes de conservation, les procédures d'élimination, les pratiques alignées sur le RGPD, les contrôles des fournisseurs et l'application opérationnelle restent appropriés et efficaces. Les examens doivent prendre en compte les nouvelles fonctionnalités d'intégration financière, les fonctionnalités d'analyse financière par IA, les systèmes d'analyse de portefeuille, les modifications des intégrations Plaid et l'évolution des obligations en matière de confidentialité ou de données financières.

15. Confirmation de Conformité

GNOMI maintient cette politique en tant que documentation active de l'entreprise pour la conservation, la suppression et l'élimination des données. Cette politique est conçue pour soutenir la conformité avec les lois applicables en matière de protection des données, y compris le RGPD le cas échéant, et pour fournir un cadre défini et exécutoire pour la manière dont GNOMI conserve, supprime, anonymise et élimine les données.

16. Approbation

Approuvée par la direction de GNOMI en tant que politique active de l'entreprise pour la Conservation et l'Élimination des Données, y compris les pratiques de conservation et de suppression alignées sur le RGPD.

12. Politique de Sécurité de l'Information

Y compris les Contrôles RGPD et des Lois sur la Confidentialité Applicables

2. Portée

Cette politique s'applique à tous les employés, fondateurs, dirigeants, sous-traitants, consultants, prestataires de services, fournisseurs, systèmes, applications, environnements cloud, bases de données, référentiels de code source, actifs de production, appareils d'entreprise, données utilisateur, données partenaires et tout autre actif informationnel utilisé pour fournir les produits et services de GNOMI.

Cette politique s'applique aux données d'entreprise, de clients, d'utilisateurs, financières, techniques, opérationnelles, d'authentification, d'API et gérées par les fournisseurs, y compris les données de comptes de courtage autorisées par l'utilisateur, les données de relations bancaires, les avoirs de portefeuille, les métadonnées de transactions, les jetons d'intégration financière, l'analyse de portefeuille générée par IA et les résultats d'intelligence financière, y compris les Données Personnelles, les données sensibles et les données réglementées traitées par ou pour le compte de GNOMI.

3. Conformité Juridique, Réglementaire et en matière de Confidentialité

GNOMI conçoit et exploite son programme de sécurité pour soutenir la conformité avec toutes les lois, règles, réglementations et exigences contractuelles applicables en matière de sécurité de l'information et de confidentialité pertinentes pour ses opérations, y compris, le cas échéant :

• Le Règlement Général sur la Protection des Données (RGPD) et les exigences applicables en matière de protection des données de l'UE/EEE ;
• Les exigences du RGPD britannique et du Data Protection Act, le cas échéant ;
• Les lois américaines des États en matière de confidentialité et de sécurité, y compris le CCPA/CPRA et le New York SHIELD Act, le cas échéant ;
• Les exigences du GLBA et de la FTC Safeguards Rule dans la mesure où GNOMI traite des données soumises à ces obligations ;
• Les obligations contractuelles de sécurité des partenaires, y compris la protection des données, la confidentialité, le contrôle d'accès, la notification d'incident et les exigences de sécurité des fournisseurs ;
• Les exigences applicables en matière de notification de violation, de minimisation des données, de conservation, de suppression et de droits des utilisateurs ;
• Les obligations contractuelles de sécurité et de traitement des données de Plaid applicables aux environnements d'intégration financière ;
• Les obligations applicables en matière de confidentialité des données financières, de protection et de protection des consommateurs relatives aux intégrations financières autorisées par l'utilisateur.

Lorsque les lois, contrats ou exigences des partenaires imposent des obligations plus strictes que cette politique, la norme la plus stricte s'applique. GNOMI examine périodiquement cette politique pour s'assurer qu'elle reste alignée avec les exigences juridiques, réglementaires, partenaires et de sécurité applicables.

4. Exigences RGPD et de Protection de la Vie Privée dès la Conception

GNOMI applique les principes de protection de la vie privée dès la conception et de sécurité dès la conception aux systèmes et processus impliquant des Données Personnelles. Lorsque le RGPD s'applique, les contrôles de sécurité et de confidentialité de GNOMI sont conçus pour soutenir les principes suivants :

• Licéité, équité et transparence dans les activités de traitement des données ;
• Limitation des finalités et utilisation des données uniquement à des fins commerciales, produit, juridiques, de sécurité ou autorisées par l'utilisateur légitimes ;
• Minimisation des données et collecte uniquement des données raisonnablement nécessaires à la finalité déclarée ;
• Exactitude et processus appropriés de correction ou de suppression ;
• Limitation de la conservation par des normes définies de conservation et de suppression ;
• Intégrité et confidentialité par des mesures techniques et organisationnelles appropriées ;
• Responsabilité par la documentation, la propriété, l'examen et l'application des contrôles de confidentialité et de sécurité ;
• Le traitement des données financières autorisées par l'utilisateur doit être limité à la portée du consentement, de la nécessité contractuelle ou d'une autre base légale applicable à la fonctionnalité demandée ;
• Les fonctionnalités d'intelligence financière et d'analyse de portefeuille générée par IA doivent intégrer la minimisation des données, l'accès au moindre privilège, le traitement sécurisé et des contrôles de transparence appropriés pour l'utilisateur.

GNOMI soutient les processus de droits des personnes concernées, y compris l'accès, la correction, la suppression, la restriction, la portabilité et l'objection le cas échéant. Les demandes sont évaluées en vertu de la loi applicable et des exigences internes de GNOMI en matière de confidentialité, de sécurité, de conservation et de conservation légale.

5. Gouvernance de la Sécurité et Responsabilité

• La direction exécutive est responsable de s'assurer que GNOMI maintient un programme de sécurité de l'information approprié à la taille de l'entreprise, au profil de risque, aux produits, aux données et aux obligations envers les partenaires.
• Les responsabilités en matière de sécurité sont attribuées aux parties prenantes de l'ingénierie, des produits, des opérations, du juridique et de la direction exécutive selon les besoins.
• Les exigences de sécurité sont intégrées dans le développement de produits, la sélection de fournisseurs, la gestion des accès, la réponse aux incidents, le traitement des données et la prise de décision opérationnelle.
• GNOMI maintient des procédures internes et des contrôles de soutien pour la mise en œuvre de cette politique, y compris les contrôles d'accès, la conservation des données, la réponse aux incidents, la gestion des fournisseurs et les pratiques de développement sécurisé.

6. Gestion des Risques

GNOMI identifie, évalue, atténue et surveille les risques de sécurité de l'information susceptibles d'affecter la confidentialité, l'intégrité, la disponibilité, la vie privée ou la conformité légale. L'examen des risques peut inclure l'architecture système, les flux de données, les dépendances aux fournisseurs, les contrôles d'authentification, les privilèges d'accès, les environnements de production, les nouvelles fonctionnalités de produits, les intégrations tierces et l'historique des incidents.

Les risques importants sont remontés à la direction appropriée pour remédiation, acceptation, transfert ou contrôles supplémentaires. Les décisions de traitement des risques doivent tenir compte des exigences légales, des obligations envers les partenaires, de l'impact sur les utilisateurs, de l'impact sur la sécurité et de la continuité des activités.

Les évaluations des risques doivent prendre en compte les intégrations financières, les dépendances à Plaid, la fonctionnalité d'analyse financière générée par IA, les systèmes d'analyse de portefeuille, les contrôles d'accès aux données financières, les résultats des modèles et les flux de données financières tierces.

7. Classification et Traitement des Données

GNOMI classifie et protège les données en fonction de leur sensibilité, de leur valeur commerciale, des obligations légales et du risque. Les catégories de données peuvent inclure les données publiques, internes, confidentielles, sensibles, personnelles, financières, d'authentification, de code source, de sécurité et de partenaires.

• Les données sensibles et personnelles ne doivent être accessibles que par le personnel autorisé ayant un besoin commercial légitime.
• Les données doivent être stockées, transmises et traitées en utilisant des systèmes approuvés et des mesures de protection appropriées.
• Les secrets, identifiants, jetons, clés API, clés privées et certificats ne doivent pas être stockés dans des référentiels en texte clair, des documents non sécurisés, des messages de discussion ou des systèmes non autorisés.
• Les données de production ne peuvent pas être copiées dans des environnements hors production sauf si elles sont approuvées et protégées de manière appropriée, minimisées, anonymisées ou pseudonymisées lorsque cela est possible.
• Le traitement des données doit être conforme aux exigences de GNOMI en matière de conservation, de suppression, d'élimination et de confidentialité.
• Les données de compte de courtage autorisées par l'utilisateur, les informations bancaires, les avoirs de portefeuille, les métadonnées de transaction, les informations financières générées par IA et les résultats de sentiment de portefeuille doivent être classifiés comme Données Sensibles.
• Les données d'intégration financière ne peuvent être traitées que par des systèmes approuvés et des flux de travail autorisés.
• Les données d'intégration financière de production ne peuvent pas être copiées dans des environnements de développement ou de test sauf si elles sont minimisées, anonymisées, pseudonymisées ou autrement protégées de manière appropriée.

8. Gestion des Identités et des Accès

GNOMI applique des contrôles d'accès conçus pour limiter l'accès aux actifs de production, aux ressources cloud, aux outils administratifs, aux systèmes, aux référentiels de code source et aux données sensibles. L'accès est accordé en fonction du rôle, du besoin commercial, du moindre privilège et des exigences d'approbation.

• Le contrôle d'accès basé sur les rôles (RBAC) est utilisé lorsqu'il est pris en charge par les systèmes et applications.
• L'accès privilégié et administratif est limité au personnel autorisé et révisé périodiquement.
• Des solutions centralisées de gestion des identités et des accès sont utilisées le cas échéant pour gérer l'authentification et l'autorisation des utilisateurs.
• L'authentification multifacteur est requise pour les comptes privilégiés et les systèmes critiques lorsqu'elle est prise en charge.
• Des examens et audits d'accès sont effectués périodiquement pour valider que l'accès reste approprié.
• L'accès est modifié ou révoqué lorsque le personnel change de rôle, transfère des responsabilités ou met fin à sa relation avec GNOMI.
• L'authentification non humaine, y compris les comptes de service, les jetons OAuth, les identifiants API et les certificats TLS, doit être approuvée, stockée de manière sécurisée, limitée aux privilèges minimaux requis et faire l'objet d'une rotation ou d'une révocation lorsqu'elle n'est plus nécessaire.
• L'accès aux systèmes d'intégration financière, aux environnements administratifs Plaid, aux systèmes d'intelligence financière IA et aux ensembles de données financières des utilisateurs doit être restreint au personnel autorisé ayant un besoin opérationnel, de sécurité, de conformité ou de support légitime.
• L'accès administratif aux systèmes capables de récupérer ou d'analyser les données de compte financier autorisées par l'utilisateur nécessite une authentification multifacteur lorsqu'elle est prise en charge.

9. Sécurité des Actifs de Production

• Les environnements de production doivent être protégés par des contrôles d'accès, la journalisation, la surveillance, une configuration sécurisée et des pratiques de gestion des changements.
• L'accès à la production est limité au personnel ayant un besoin opérationnel ou technique approuvé.
• Les modifications apportées aux systèmes de production doivent suivre des pratiques appropriées d'examen, de test, d'approbation et de déploiement en fonction du risque et de l'urgence.
• Les données sensibles de production ne doivent pas être exportées, téléchargées ou transférées sauf autorisation pour un objectif commercial, juridique, de sécurité ou opérationnel légitime.
• L'accès d'urgence à la production doit être limité, journalisé et examiné après utilisation.
• Les systèmes traitant des données d'intégration financière autorisées par l'utilisateur doivent mettre en œuvre des contrôles appropriés de journalisation, surveillance, chiffrement, restriction d'accès et configuration sécurisée.
• L'accès aux informations financières générées par IA et aux résultats d'analyses de portefeuille doit être restreint conformément à la sensibilité des données financières utilisateur associées.

10. Chiffrement, Secrets et Gestion des Clés

GNOMI utilise des mesures de protection techniques appropriées pour protéger les données sensibles, les identifiants et les communications. Le chiffrement doit être utilisé pour les données sensibles en transit et appliqué aux données sensibles au repos lorsque cela est pris en charge et approprié. Les secrets, jetons, certificats, clés et identifiants doivent être stockés dans des systèmes sécurisés approuvés et protégés contre toute utilisation ou divulgation non autorisée.

Les clés et identifiants doivent être renouvelés, désactivés ou révoqués lorsqu'ils sont compromis, qu'ils ne sont plus nécessaires ou lorsque l'accès du personnel ou des fournisseurs change. Les identifiants ne doivent pas être partagés entre utilisateurs sauf lorsque des contrôles de compte de service approuvés sont utilisés.

Les identifiants API Plaid, les jetons d'intégration financière, les identifiants OAuth, les secrets de webhook, les jetons de rafraîchissement et les secrets d'intégration financière associés doivent être chiffrés, stockés de manière sécurisée et protégés contre tout accès non autorisé.

11. Journalisation, Surveillance et Examen de Sécurité

GNOMI maintient des pratiques de journalisation et de surveillance appropriées à ses systèmes et à son profil de risque. Les journaux peuvent inclure les événements d'authentification, l'activité administrative, les événements applicatifs, l'activité système, les modifications de production, les changements d'accès et les erreurs ou alertes pertinentes pour la sécurité.

• Les journaux sont examinés selon les besoins pour enquêter sur les événements de sécurité, les problèmes opérationnels, les anomalies d'accès et les incidents.
• Les événements pertinents pour la sécurité sont transmis au personnel responsable pour enquête et remédiation.
• Les contrôles de surveillance et d'alerte sont mis à jour à mesure que les systèmes, les fournisseurs et les risques commerciaux évoluent.
• Les journaux contenant des Données Personnelles ou des informations sensibles doivent être protégés et conservés conformément aux obligations de conservation et de confidentialité de GNOMI.
• La surveillance de sécurité doit inclure l'activité d'intégration financière, les événements d'intégration Plaid, les événements de gestion des jetons, l'accès privilégié aux ensembles de données financières et les schémas d'accès anormaux impliquant des informations financières utilisateur.

12. Développement Sécurisé et Gestion des Changements

GNOMI intègre la sécurité dans le développement logiciel et la livraison de produits. Les exigences de sécurité sont prises en compte lors de la conception, du développement, des tests, du déploiement et de la maintenance des systèmes GNOMI.

• Les modifications de code doivent être examinées avant le déploiement en production lorsque cela est approprié.
• Les modifications ayant un impact sur la sécurité doivent être évaluées en termes de risque, y compris les modifications impliquant l'authentification, l'autorisation, les flux de données, les API, les intégrations, l'infrastructure de production ou les données sensibles.
• Les dépendances, bibliothèques et composants tiers doivent être examinés et mis à jour de manière appropriée pour réduire les vulnérabilités connues.
• Les vulnérabilités identifiées par examen interne, rapports tiers, surveillance ou notifications de fournisseurs doivent être triées et corrigées en fonction de la gravité et de l'impact commercial.
• Les modifications ayant un impact sur la sécurité impliquant les intégrations financières, les API Plaid, les analyses de portefeuille générées par IA, les fonctionnalités d'analyse financière ou les flux de données financières utilisateur doivent faire l'objet d'un examen de sécurité et de confidentialité approprié avant le déploiement.

13. Sécurité des Fournisseurs et Tiers

GNOMI évalue les fournisseurs tiers, les sous-traitants, les sous-traitants ultérieurs et les partenaires d'intégration en fonction du type de données traitées, des services fournis, de la dépendance opérationnelle, de la posture de sécurité, des obligations légales et des exigences contractuelles.

• Les Fournisseurs qui traitent des données sensibles, personnelles, financières ou d'utilisateurs doivent faire l'objet d'un examen concernant les garanties appropriées en matière de sécurité et de confidentialité.
• Les contrats doivent inclure des obligations de confidentialité, de protection des données, de sécurité, de contrôle d'accès, de notification d'incident, de conservation, de suppression et de sous-traitance, le cas échéant.
• L'accès des Fournisseurs aux systèmes ou données de GNOMI doit être limité à l'utilisation autorisée et révoqué lorsqu'il n'est plus requis.
• GNOMI surveille les risques importants liés aux Fournisseurs et peut demander de la documentation de sécurité, des attestations ou des preuves de conformité aux Fournisseurs, le cas échéant.
• Les fournisseurs d'intégration financière, y compris Plaid et les sous-traitants associés, doivent être évalués quant à leur posture de sécurité, leurs contrôles de protection des données, leur alignement sur la conformité réglementaire et leurs obligations contractuelles en matière de confidentialité.
• Les transferts transfrontaliers impliquant des données d'intégration financière de l'UE ou du Royaume-Uni doivent utiliser des mécanismes de transfert licites appropriés lorsque requis.

14. Réponse aux Incidents et Notification de Violation

GNOMI maintient des procédures de réponse aux incidents pour identifier, enquêter, contenir, remédier, documenter et communiquer les incidents de sécurité. Les incidents de sécurité peuvent inclure l'accès non autorisé, l'exposition de données, la compromission d'identifiants, la compromission de système, la perte de données, les logiciels malveillants, l'interruption de service ou la violation présumée de la confidentialité, de l'intégrité ou de la disponibilité.

• Les incidents doivent être remontés rapidement aux parties prenantes internes appropriées.
• GNOMI évaluera la nature, la portée, les systèmes affectés, les données affectées, l'impact sur les utilisateurs, l'impact sur les partenaires, les obligations légales et les mesures de remédiation.
• La notification aux utilisateurs, régulateurs, partenaires, Fournisseurs ou autres parties sera effectuée lorsque requis par la loi applicable, le contrat ou la détermination de réponse aux incidents de GNOMI.
• Les leçons tirées des incidents peuvent être utilisées pour améliorer les contrôles, les procédures, la formation, la surveillance et la supervision des Fournisseurs.
• Les incidents impliquant des systèmes d'intégration financière, des identifiants Plaid, des informations de courtage ou bancaires, des systèmes d'analyse de portefeuille ou des résultats d'intelligence financière générés par IA doivent être priorisés pour l'enquête et le confinement.

15. Conservation, Élimination des Données et Conservation Légale

GNOMI conserve les informations uniquement aussi longtemps que raisonnablement nécessaire pour la finalité pour laquelle elles ont été collectées ou traitées, y compris la livraison de produits, la gestion des comptes utilisateurs, la sécurité, la prévention de la fraude, l'analyse, la conformité légale, les dossiers financiers, les obligations contractuelles, la résolution de litiges et les opérations commerciales légitimes.

• Les Données Personnelles doivent être supprimées, anonymisées ou éliminées de manière sécurisée lorsqu'elles ne sont plus requises, sous réserve des besoins de conservation légaux, réglementaires, contractuels, de sécurité ou commerciaux légitimes.
• Les demandes de suppression d'utilisateur et de clôture de compte sont traitées conformément aux lois applicables en matière de confidentialité et aux exigences de conservation de GNOMI.
• Les sauvegardes et journaux sont conservés et éliminés selon des pratiques de cycle de vie définies et peuvent faire l'objet d'une suppression différée en raison d'exigences techniques, de sécurité ou légales.
• Les conservations légales peuvent suspendre la suppression ou l'élimination lorsque nécessaire pour préserver les informations à des fins légales, réglementaires, d'audit, d'enquête ou de litige.
• Les données d'intégration financière et les informations financières générées par IA doivent être supprimées, anonymisées, restreintes ou révoquées par jeton lorsqu'elles ne sont plus requises pour une fonctionnalité autorisée, sous réserve des exigences de conservation légales.

16. Sécurité du Personnel et Formation

Le personnel et les sous-traitants de GNOMI ayant accès aux systèmes de l'entreprise, aux actifs de production ou aux données sensibles doivent suivre cette politique et les procédures de sécurité applicables. Le personnel est tenu de protéger les identifiants, d'utiliser les systèmes approuvés, de signaler les incidents de sécurité suspectés et de traiter les données conformément aux exigences de classification et de besoin d'en connaître.

La sensibilisation à la sécurité et à la confidentialité peut être fournie par le biais de l'intégration, de conseils spécifiques au rôle, de communications internes et de mises à jour continues à mesure que les produits, les risques et les obligations de conformité de GNOMI évoluent.

Le personnel ayant accès aux systèmes d'intégration financière ou aux données financières autorisées par l'utilisateur peut recevoir des conseils supplémentaires concernant le traitement des données financières, les obligations de confidentialité, le traitement sécurisé, la prévention du hameçonnage, la sécurité des jetons et les procédures de remontée d'incidents.

17. Continuité des Activités et Disponibilité

GNOMI maintient des mesures raisonnables pour soutenir la continuité et la disponibilité des services critiques. Les contrôles peuvent inclure la résilience du cloud, les sauvegardes, la surveillance, la remontée d'incidents, l'examen des dépendances aux Fournisseurs, la planification de la reprise après sinistre et les procédures de réponse opérationnelle basées sur la criticité du système et le risque. La planification de la continuité des activités doit tenir compte des dépendances à Plaid et à d'autres fournisseurs d'intégration financière, y compris les risques de disponibilité, les pannes de Fournisseurs, les défaillances de jetons et les interruptions de service d'intégration financière.

18. Exceptions

Toute exception à cette politique doit être approuvée par la direction appropriée de GNOMI en fonction du besoin commercial, du risque, des contrôles compensatoires, de la durée et des exigences légales ou contractuelles. Les exceptions doivent être documentées le cas échéant et révisées périodiquement jusqu'à ce qu'elles soient remédiées ou formellement acceptées.

19. Application

Le non-respect de cette politique peut entraîner la révocation d'accès, des exigences de remédiation, une action contre le Fournisseur, une mesure disciplinaire, la résiliation du contrat ou d'autres mesures appropriées à la nature et à la gravité de la violation. GNOMI peut enquêter sur les violations présumées et prendre des mesures correctives pour protéger les systèmes de l'entreprise, les utilisateurs, les partenaires et les données.