Dernière mise à jour : 1/07/2026
Afin que les parties contractantes s’engagent à rechercher en premier lieu un arrangement amiable, la procédure de réclamation de Hedg prévoit qu’en cas de litige ou de réclamation du client, celui-ci peut présenter directement sa réclamation à son interlocuteur habituel.
S’il n’obtient pas satisfaction, il doit adresser sa demande au service dédié au traitement des réclamations – service qui doit être séparé des opérationnels si cela est possible – joignable à l’adresse de contact suivante : serviceclient@joinhedg.com.
Hedg dispose de dix (10) jours pour accuser réception de la demande, puis de deux (2) mois maximum à compter de la date de réception de la réclamation pour y répondre.
A défaut de règlement du litige ou en cas de non-retour dans les deux (2) mois, et préalablement au recours judiciaire, le client a la possibilité de demander l’intervention d’un médiateur qui pourra être un représentant des organes de contrôle suivants :
- Médiateur compétent en cas de litiges avec un consommateur : Pour l’activité Conseiller en Investissements Financiers (le médiateur public) :
- Le médiateur de l’Autorité des Marchés Financiers, Monsieur Rémi BOUCHEZ, 17 place de la Bourse 75082 Paris Cedex 02.
A. PROCÉDURE DE GESTION DE VIOLATION DES DONNÉES
1. Objectifs et pérmètres
La présente procédure a pour objet de définir les règles etétapes à suivre en cas de violation de données à caractère personnel, afin de garantir une réponse rapide, coordonnée, documentée et conforme au Règlement Général sur la Protection des Données (RGPD – UE 2016/679).
Elle vise à :
· Prévenir et limiter les impacts d’une violation de données sur les personnes concernées ;
· Assurer la conformité légale, notamment en matière de notification à la CNIL et, le cas échéant, aux personnes concernées;
· Documenter les incidents afin d’en tirer les enseignements nécessaires et d’améliorer en continu les mesures de sécurité.
2. Définitions utiles
· Violation de données à caractère personnel : Violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles.
· Donnée sensible : Donnée présentant un risque élevé pour les personnes concernées, telles que les données financières, documents d'identité et dossiers KYC/KYB traités par Hedg.
· Responsable de traitement : Entité qui détermine les finalités et moyens des traitements. ➜ Chez Hedg, cette responsabilité est assurée par la Direction Hedg.
· Délégué à la Protection des Données (DPO) /Référent RGPD : Personne chargée de piloter la conformité RGPD, de conseiller l’organisation et d’être le point de contact. Domyno.io est le DPO externalisé pour Hedg.
3. Principes généraux
Hedg, en tant que responsable de traitement, est tenue d’assurer la confidentialité, l’intégrité et la disponibilité des données personnelles qu’elle traite. Hedg s’engage à :
· Détecter rapidement toute violation de données personnelles et réagir efficacement pour en limiter les impacts ;
· Documenter systématiquement l’incident dans unregistre (domyno.io), qu’il soit notifiable ou non ;
· Notifier la CNIL dans un délai maximal de 72 heures lorsque requis ;
· Informer les personnes concernées en cas de risque élevé pour leurs droits et libertés.
4. Champ d'application
La procédure s’applique à tout incident de sécurité impliquant des données personnelles, quels que soient le support (numérique,papier), le lieu (télétravail, infrastructure cloud AWS, prestataires tiers) ou l'origine (interne ou externe). Sont notamment concernés : l'accès non autorisé, la perte de matériel, la suppression de données, une attaque cyber ou l'exposition involontaire de données.
5. Principes généraux
Qui peut détecter une violation ?
Toute personne (collaborateur, dirigeant, prestataire ou utilisateur) peut être amenée à détecter une violation. Chez Hedg, la détection technique s'appuie également sur les outils de monitoring, de logs (Sentry, AWS Cloudwatch) et de sécurité des postes de travail (EDR Microsoft).
Réflexe immédiat en cas de suspicion
Toute personne ayant connaissance d’un incident doit :
1. Stopper immédiatement l’action en cours, si possible (isolation du compte, déconnexion) ;
2. Alerter sans délai la Direction Hedg et l'équipe tech ;
3. Documenter les premiers éléments (date,description, données concernées).
6. Analyse et qualification de la violation
L’analyse vise à confirmer s’il s’agit d’une violation au sens du RGPD et à évaluer le niveau de risque pour les personnes concernées. L'équipe en charge doit se poser des questions clés :
· Quelles données sont concernées (données d'investissement, pièces justificatives KYC, mots de passe) ?
· Combien de personnes sont impactées et les données ont-elles été exposées à des tiers ?
· Existe-t-il un risque de fraude ou de préjudice financier ? Une fiche d'incident RGPD est mobilisée pour documenter ces éléments.
7. PNotification à la CNIL et aux personnes concernées
· Notification à la CNIL : Conformément à l’article 33 du RGPD, Hedg notifie la CNIL dans un délai maximal de 72 heures après avoir pris connaissance de la violation, sauf si celle-ci n’est pas susceptible d’engendrer un risque.
· Notification aux personnes : Lorsque la violation est susceptible d’engendrer un risque élevé, les personnes concernées sont informées dans les meilleurs délais dans un langage clair et compréhensible. Cette notification n'est pas requise si les données affectées étaient inintelligibles (par exemple, chiffrées).
8. PSuivi, documentation et amélioration continue
Hedg tient un registre interne des violations de données personnelles, conservé de manière sécurisée et mis à la disposition de la CNIL en cas de contrôle. Chaque violation fait l’objet d’une analyse a posteriori (post-incident) visant à identifier les causes racines, les défaillances éventuelles et les actions correctives à mettre en œuvre. Cette procédure est revue régulièrement pour renforcer les mesures de sécurité et adapter le dispositif aux évolutions réglementaires.
B. PROCÉDURE DE GESTION DES DEMANDES DE DROITS
1. Objectif de la politique
1 Objectif de la politique
La présente politique vise à formaliser les engagements de Hedg en matière de respect des droits des personnes concernées sur leursdonnées personnelles, conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679). Elle a pour objectifs :
· d’informer les personnes concernées sur lesdroits dont elles disposent ;
· de décrire les modalités pratiques leurpermettant d’exercer ces droits ;
· de définir les processus internes assurant untraitement efficace, sécurisé, traçable et conforme des demandes. Hedg accorde une importance particulière à la protection des données personnelles de ses clients, prospects, utilisateurs de la plateforme, collaborateurs, candidats, partenaires et prestataires, et veille à garantir l’effectivité des droits tout au long du cycle de vie des données.
2. Champ d'application
1 Objectif de la politique
2 Champ d’application
La présente politique s’applique à l’ensemble des traitements de données personnelles mis en œuvre par Hedg, notamment ceux concernant :
· les clients et utilisateurs de la plateforme Hedg ;
· les prospects et contacts commerciaux ;
· les salariés, dirigeants, prestataires et collaborateurs externes ;
· les candidats au recrutement ;
· les partenaires et fournisseurs.
Elle couvre :
· les traitements réalisés via les canaux numériques (site web, application Hedg, emails, outils SaaS, CRM, processus de KYC/KYB, cloud) ;
· les traitements internes administratifs,financiers, juridiques ou RH. La politique s’applique quel que soit le support (numérique ou papier), dès lors que Hedg agit en qualité de responsable detraitement.
3. Droits concernés
1 Objectif de la politique
2 Champ d’application
3 Droits concernés
Conformément au RGPD, toute personne concernée par un traitement de données personnelles mis en œuvre par Hedg dispose des droits suivants :
· Droit d’accès : obtenir la confirmation que des données la concernant sont traitées et y accéder ;
· Droit de rectification : demander la correction de données inexactes ou incomplètes ;
· Droit à l’effacement (droit à l’oubli) : obtenir la suppression de ses données dans les conditions prévues par le RGPD ;
· Droit à la limitation du traitement : demander le gel temporaire de l’utilisation de certaines données ;
· Droit d’opposition : s’opposer à untraitement fondé sur l’intérêt légitime ou à des fins de prospection commerciale ;
· Droit à la portabilité : recevoir lesdonnées personnelles fournies dans un format structuré, couramment utilisé etlisible par machine, ou demander leur transmission à un autre responsable de traitement ;
· Droit de retirer son consentement : à tout moment, pour les traitements fondés sur le consentement ;
· Droit de définir des directives post-mortem relatives au sort de ses données après son décès. Hedg s’engage à faciliter l’exercice de ces droits et à y répondre dans les délais légaux.
4. Modalités d'exercices
1 Objectif de la politique
2 Champ d’application
3 Droits concernés
4 Modalités d’exercice des droits
Les personnes concernées peuvent exercer leurs droits à tout moment :
· Par email : à l’adresse dédiée à la protection des données (ex: support@joinhedg.com).
· Par courrier : à l’adresse du siège social de Hedg.
Pour permettre un traitement efficace, la demande doit préciser :
· l’identité du demandeur (nom, prénom, coordonnées) ;
· la nature de la demande (le ou les droits exercés) ;
· toute information utile pour identifier le traitement concerné. En cas de doute raisonnable sur l’identité du demandeur, Hedg peut demander une copie d'une pièce d'identité, qui sera strictement limitée à cette finalité. Un accusé de réception est adressé systématiquement au demandeur à la réception de la demande.
5. Délais de réponse et traitement des demandes
5 Délais de réponse et traitement des demandes
Hedg s’engage à répondre à toute demande d’exercice de droits dans un délai maximal d’un mois à compter de sa réception. Ce délai peutêtre prolongé de deux mois supplémentaires en cas de complexité particulière dela demande ou de nombre élevé de demandes simultanées. Dans ce cas, le demandeur est informé de la prolongation et de ses motifs dans le délai initial d’un mois. Lorsque la demande est manifestement infondée ou excessive (notamment en raison de son caractère répétitif), Hedg se réserve le droit :
· soit de refuser d’y donner suite, en motivant sa décision ;
· soit de facturer des frais raisonnables tenant compte des coûts administratifs engagés. Le traitement des demandes est assuré par le service Juridique et la Direction Hedg, en lien avec les équipes métiers concernées (IT, conformité, support client).
6. Cas particuliers
6 Cas particuliers
a) Mineurs : Les droits peuvent être exercés par le mineur lui-même s’il est en capacité de comprendre la portée de sa démarche, ou par son représentant légal sous réserve de justification de l’autorité parentale.
b) Représentants légaux ou personnes mandatées : Une personne peut exercer les droits pour le compte d’un tiers si elle démontre qu’elle est représentant légal, tuteur ou mandataire dûment autorisé, en fournissant un justificatif d’identité et un mandat écrit.
c) Décès de la personne concernée : Les droits peuvent être exercés par les héritiers ou ayants droit conformément à la loi, sous réserve des justificatifs requis (acte de décès, preuve de qualité d’héritier).
7. Suivi et traçabilité des demandes
7 Suivi et traçabilité des demandes
Enregistrement des demandes
Chaque demande est enregistrée dans un outil de gestion des requêtes ou un registre interne de suivi tenu par le service Juridique. Ce registre comprend au minimum : la date de réception, l'identité du demandeur, le type de droit exercé, la date de réponse et le statut de traitement.
Conservation des preuves
Conformément aux durées définies dans notre registre des traitements :
· Le dossier de suivi de la demande (incluant la demande initiale, les échanges et la réponse apportée) est conservé pendant une durée de 5 ans à des fins de preuve.
· Si une copie de pièce d'identité a été demandée pour vérification, celle-ci n'est conservée que pendant 1 an.
Supervision
La supervision de ce dispositif, incombant à la Direction Hedg (en sa qualité de responsable du traitement), veille au respect des délais, à la tenue à jour du registre de suivi et à la conformité aux obligations légales.
C. POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES
1. Objectifs de la politique
La présente politique de protection des données personnelles a pour objectif de définir les principes, règles et mesures mises en œuvre par Hedg afin d’assurer la protection des données à caractère personnel qu’elle traite, conformément au Règlement Général sur la Protection des Données (RGPD) et à la réglementation applicable. Elle vise à :
· Garantir le respect des droits et libertés des personnes concernées,
· Encadrer les traitements de données personnelles,
· Assurer un niveau de sécurité adapté aux risques,
· Démontrer la conformité de Hedg en cas de contrôle ou d’audit.
2. Champ d'application
La présente politique s’applique :
· à l’ensemble des traitements de données personnelles mis en œuvre par Hedg,
· à tous les collaborateurs, dirigeants, prestataires et partenaires agissant pour le compte de Hedg,
· à tous les supports et systèmes traitant des données personnelles (applications, outils SaaS, documents, bases de données).
3. Principes généraux de protection des données
Hedg applique les principes fondamentaux suivants :
Licéité, loyauté et transparence
Les données personnelles sont traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées.
Limitation des finalités
Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
Minimisation des données
Seules les données strictement nécessaires à la réalisation des finalités poursuivies sont collectées et traitées.
Exactitude
Hedg veille à ce que les données personnelles soient exactes et, si nécessaire, tenues à jour.
Limitation de la conservation
Les données personnelles sont conservées pendant une durée n’excédant pas celle nécessaire aux finalités poursuivies, conformément aux durées définies dans le registre des traitements.
Intégrité et confidentialité
Les données personnelles sont traitées de manière à garantir leur sécurité, notamment contre l’accès non autorisé, la perte, l’altération oula divulgation.
4. Catégories de données traitées
Hedg est amenée à traiter notamment :
· Des données d’identification et professionnelles (nom, prénom, coordonnées, CV, données des bénéficiaires effectifs),
· Des données financières, patrimoniales et fiscales (RIB, revenus, origine des fonds, bilans, factures),
· Des données techniques et de connexion (logs d'actions, IP, données de navigation, enregistrements de réunions internes),
· Des documents justificatifs (pièces d'identité, KYC/KYB, statuts, KBIS, contrats). Certaines données présentent un niveau desensibilité élevé et font l’objet de mesures de protection renforcées.
5. Bases légales des traitement
Les traitements mis en œuvre par Hedg reposent sur l’une des bases légales suivantes :
· l’exécution d’un contrat (ex: ouverture de comptes clients, gestion des fournisseurs),
· le respect d’une obligation légale ou réglementaire (ex: procédures KYC/KYB, comptabilité),
· l’intérêt légitime de Hedg (ex: sécurité IT, prospection commerciale active),
· le consentement de la personne concernée lorsque requis (ex: cookies, formulaires entrants). Chaque traitement est documenté dans le registre des traitements avec sa base légale associée.
6. Droits des personnes concernées
Conformément au RGPD, les personnes concernées disposent notamment des droits suivants :
· droit d’accès,
· droit de rectification,
· droit à l’effacement,
· droit à la limitation du traitement,
· droit d’opposition,
· droit à la portabilité des données,
· droit de retirer leur consentement à tout moment (lorsque applicable). Hedg met en place des procédures permettant l’exercice effectif de ces droits dans les délais réglementaires, avec une gestion centralisée par le pôle Juridique.
7. Sécurité des données personnelles
Hedg met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles, notamment :
· Gestion des accès et des habilitations strictes (ex: via Intune, le back office de l’application, les rôles IAM…),
· Chiffrement des données (Transit et repos)
· Journalisation et supervision des accès via deslogs applicatifs (Sentry, Cloudwatch),
· Sauvegardes régulières (Veeam Backup, snapshotRDS, versioning et backup S3),
· Sécurisation des environnements cloud (infrastructure hébergée sur AWS),
· Procédures de gestion des incidents et violations de données.
8. Gestion des sous-traitants et partenaires
Lorsque Hedg fait appel à des prestataires ou partenaires impliquant des traitements de données personnelles :
· ceux-ci présentent des garanties suffisantes en matière de protection des données,
· les relations sont encadrées par des contrats intégrant les clauses RGPD requises,
· les accès aux données sont strictement limités àce qui est nécessaire (incluant des partenaires tels que AWS, Microsoft, Netexplorer, Docusign, Qonto, Hubspot…).
9. Violations de données personnelles
Hedg dispose d’une procédure dédiée à la gestion des violations de données personnelles permettant :
· La détection et la qualification des incidents,
· L’évaluation des risques pour les personnes concernées,
· La notification à l’autorité de contrôle lorsque requis,
· L’information des personnes concernées en cas de risque élevé.
10. Gouvernance et responsabilité
Responsable du traitement
La Direction Hedg agit en tant que responsable du traitement pour l’ensemble des données personnelles qu’elle traite.
Délégué à la Protection des Données (DPO)
Hedg s'appuie sur une fonction chargée de :
· conseiller et accompagner les équipes,
· contrôler le respect du RGPD,
· être le point de contact des personnes concernées et des autorités.
Cette fonction est externalisée chez domyno.io
Responsabilisation des équipes
Chaque collaborateur est tenu de respecter la présente politique et d’adopter un comportement responsable en matière de protection des données.
11. Documentation et conformité Hedg tient à jour
· un registre des traitements,
· les analyses d’impact lorsque nécessaires,
· les politiques et procédures internes liées à la protection des données. Cette documentation permet de démontrer la conformité de Hedg à tout moment.
12. Sensibilisation et formation
Hedg veille à sensibiliser régulièrement ses collaborateurs aux enjeux de protection des données personnelles et à adapter ses pratiques en fonction des évolutions réglementaires et des risques identifiés.
13. Entrée en vigueur et mise à jour
La présente politique entre en vigueur à compter de sa validation par la direction. Elle est révisée régulièrement afin de tenir compte :
· des évolutions réglementaires,
· des changements organisationnels ou techniques,
· des retours d’expérience et audits.