Cav:Chain

Politique de protection des données (RGPD)

Cav:Chain – Web3 & NFT

Version : v1.0 (mise à jour post livre blanc et contrat v2.2)
Responsable de traitement : KrisCal Brand Event & Trade (KCB)

Préambule – La transparence comme héritage

Cav:Chain est née d’une conviction simple : dans le monde du vin comme dans celui des données, la confiance se mérite.La transparence est au cœur de notre démarche, non comme une contrainte réglementaire, mais comme un prolongement naturel de la culture du terroir.
À l’image d’une appellation d’origine contrôlée, chaque donnée doit être traçable, vérifiable et authentique.

Cette politique de protection des données exprime notre engagement à respecter la vie privée des utilisateurs tout en conciliant l’innovation de la blockchain et les exigences éthiques du commerce des vins et spiritueux d’exception.

Le principe de Privacy by Design – la protection intégrée dès la conception – est pour nous l’équivalent numérique du « fait main » : un gage d’attention, de rigueur et de sincérité.

1. Objet et champ d’application

La présente politique s’applique à l’ensemble des traitements de données à caractère personnel effectués dans le cadre de l’exploitation de la plateforme Cav:Chain, accessible via son site web et ses applications associées.

Elle couvre notamment :

  • la création, la vente, l’achat, la livraison et la traçabilité des vins et spiritueux d’exception associés à des NFT ;
  • la gestion des comptes utilisateurs, producteurs et partenaires ;
  • la publication et la modération des contenus communautaires appelés « Souvenirs » ;
  • les opérations de support, facturation, sécurité et conformité réglementaire.

Elle n’inclut pas à ce stade les éventuels services futurs liés à un jeton utilitaire ou à un programme de fidélité ($CAV).

Dans l’hypothèse où de telles fonctionnalités seraient mises en œuvre, une analyse d’impact (DPIA) et une nouvelle politique RGPD spécifique seraient publiées avant tout lancement.

2. Gouvernance et responsabilité

Cav:Chain est exploitée par KrisCal Brand Event & Trade (KCB), qui agit en tant que responsable principal du traitement des données.

Les producteurs et revendeurs partenaires sont considérés comme coresponsables pour les traitements relatifs à la vente phygitale (NFT + produit physique).

Ces relations sont encadrées par un accord de conformité (DPA) qui définit les obligations de chaque partie, sans être rendu public.

Cav:Chain tient un registre de traitements à jour et désigne un référent RGPD/DPO, chargé d’assurer la conformité continue des opérations et la coordination avec les autorités compétentes.

3. Données collectées et architecture technique

Cav:Chain repose sur une architecture hybride combinant transparence on-chain (blockchain Polygon) et sécurité off-chain (hébergement en Suisse).

Trois catégories de données sont traitées :

A. Données on-chain (Polygon)

  • Identifiants techniques : adresse de wallet, tokenId, hash, horodatages, statut du NFT (« souvenir »).
  • Aucune donnée personnelle en clair n’est inscrite sur la blockchain.

B. Données off-chain (Infomaniak – Suisse)

  • Identité, coordonnées, adresses de facturation et de livraison, historique d’achat, service après-vente.
  • Données relatives à la publication des « Souvenirs » (textes, photos, vidéos).
  • Hébergement exclusivement en Suisse, sous double conformité LPD/nLPD et RGPD.

C. Données phygitales (traçabilité réelle)

  • Informations de traçabilité : numéro de lot, millésime, numéro de caisse, certificats d’origine, suivi logistique, validation de livraison.
  • Collectées uniquement dans le cadre de la transaction réelle entre le producteur et l’acheteur.

4. Sécurité, audits et continuité de service

Cav:Chain met en œuvre des mesures techniques et organisationnelles destinées à garantir l’intégrité, la confidentialité et la disponibilité des données :

  • Audit externe de sécurité des smart contracts avant toute mise en production.
  • Chiffrement intégral des flux, sauvegardes et bases de données.
  • Journalisation des accès administrateurs et API, avec audits périodiques.
  • Plan de reprise d’activité (PRA) et redondance des serveurs Infomaniak.
  • Authentification forte via signature cryptographique du wallet pour tout acte engageant la responsabilité de l’utilisateur.
  • Aucune décision automatisée n’a d’effet juridique ou significatif sans validation humaine.

5. Données communautaires et propriété intellectuelle

Les utilisateurs peuvent publier des contenus appelés « Souvenirs » (textes, images, vidéos, notes de dégustation, etc.) liés à leurs expériences de consommation.
Ces contenus demeurent la propriété exclusive de leurs auteurs, qui concèdent à Cav:Chain une licence non exclusive, révocable et limitée à la diffusion sur la plateforme.

Cav:Chain se réserve un droit de modération pour supprimer ou masquer tout contenu contraire à la loi, à l’éthique ou aux conditions d’utilisation.

Les données supprimées font l’objet d’un effacement simulé : la ressource off-chain est effacée, tandis que la référence on-chain demeure sous forme de pointeur non identifiable.

6. Vérification d’âge et conformité internationale

L’accès à Cav:Chain et la participation à toute transaction impliquant un produit alcoolisé sont strictement réservés aux personnes majeures selon la législation de leur pays de résidence.

Un contrôle d’âge dynamique est mis en œuvre :

  • par géolocalisation IP, ou
  • par déclaration du pays de résidence.
  • En cas de non-conformité, les fonctions de transaction et de publication sont automatiquement bloquées.

Cav:Chain applique les législations locales relatives à la promotion et à la consommation d’alcool, notamment la loi Évin en France, et leurs équivalents internationaux.

7. Droits des utilisateurs

Conformément au RGPD et à la LPD/nLPD, chaque utilisateur dispose des droits suivants :

  • Accès à ses données personnelles ;
  • Rectification des informations inexactes ;
  • Effacement (dans les limites techniques de l’immutabilité blockchain) ;
  • Limitation du traitement dans certains cas ;
  • Opposition au traitement ;
  • Portabilité de ses données off-chain sous un format standard (JSON, CSV).

Pour exercer ses droits, l’utilisateur peut contacter :

Email : contact@cavchain.com

La demande sera traitée dans un délai d’un mois, prolongeable de deux mois pour les cas complexes.
En cas de désaccord, l’utilisateur conserve le droit de saisir la CNIL (France) ou le Préposé fédéral à la protection des données (Suisse).

8. Portabilité et interopérabilité

Cav:Chain garantit la portabilité technique des métadonnées NFT : les utilisateurs peuvent obtenir les URI, hash et historiques liés à leurs transactions.

Toute interopérabilité avec d’autres plateformes (ex. marché secondaire) fera l’objet d’une analyse d’impact spécifique (DPIA) avant activation.

9. Transfert et hébergement

L’hébergement des données off-chain est assuré exclusivement par Infomaniak (Genève, Suisse), prestataire conforme à la LPD/nLPD et au RGPD.

Aucun transfert hors de Suisse n’est effectué sans garantie équivalente (clauses contractuelles types, décision d’adéquation, chiffrement).

Les données blockchain sont publiques par nature, mais Cav:Chain veille à ne jamais y inscrire d’informations personnelles en clair.

10. Évolutivité et mise à jour

Cav:Chain s’engage à mettre à jour cette politique en cas d’évolution substantielle des traitements de données, notamment lors :

  • du lancement d’une nouvelle fonctionnalité (marché secondaire, mécénat, token, etc.) ;
  • ou d’une modification de la réglementation applicable.

Toute évolution significative fera l’objet d’une communication préalable claire et d’une nouvelle version datée.

11. Mentions de transparence affichées à l’utilisateur

Sur le site et les interfaces de transaction apparaîtront systématiquement les mentions suivantes :

  • « Les transactions sur Polygon sont publiques et immuables. »
  • « Aucune donnée personnelle en clair n’est inscrite sur la blockchain. »
  • « Les contenus “Souvenirs” sont hébergés off-chain, modérables et révocables. »
  • « L’accès à Cav:Chain est réservé aux utilisateurs majeurs selon la législation de leur pays. »
  • « Les données off-chain sont hébergées en Suisse chez Infomaniak, conforme LPD/nLPD & RGPD. »

12. Version, responsabilité et contact

Prochaine révision prévue : à l’ouverture du marché secondaire ou à l’introduction du token utilitaire.

Version : 1.0 (mise à jour post livre blanc et contrat v2.2)

Responsable de traitement : KrisCal Brand Event & Trade (KCB)

Délégué à la protection des données : [à désigner]