Dernière mise à jour : Février 2026
POLITIQUE DE CONFIDENTIALITÉ
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi luxembourgeoise du 1er août 2018
Introduction
La présente Politique de confidentialité (ci-après « la Politique ») décrit la manière dont Corvo S.à r.l. (ci-après « Corvo », « nous » ou « notre ») collecte, traite, conserve et protège les données à caractère personnel des utilisateurs de ses services (ci-après « l'Utilisateur » ou « vous »).
Cette Politique est établie en application du Règlement (UE) 2016/679 (RGPD) et de la loi luxembourgeoise du 1er août 2018. Compte tenu de la nature particulière de nos services — gestion de l'héritage numérique, coffre-fort chiffré, transmission de données post-mortem — nous attachons une importance capitale à la protection de vos données personnelles.
Article 1 — Responsable du traitement
- Responsable du traitement : Corvo S.à r.l.
- Forme juridique : Société à responsabilité limitée de droit luxembourgeois
- Siège social : 2 Rue Edward Steichen, Immeuble Oksigen, L-2540 Luxembourg-Kirchberg, Grand-Duché de Luxembourg
- RCS Luxembourg : B-000000
- Contact général : contact@corvolux.com
Délégué à la Protection des Données (DPO) :
- Nom : DPO Corvo
- Contact DPO : dpo@corvolux.com
- Adresse DPO : 2 Rue Edward Steichen, Immeuble Oksigen, L-2540 Luxembourg-Kirchberg, Grand-Duché de Luxembourg
La désignation d'un DPO est effectuée conformément à l'article 37 du RGPD, au regard de la nature des traitements mis en œuvre par Corvo.
Article 2 — Catégories de données collectées
2.1. Données d'identification et de contact
Nom, prénom, adresse postale, adresse e-mail, numéro de téléphone, date de naissance, nationalité. Collectées lors de l'inscription.
2.2. Données d'identification renforcée (KYC)
Copie de document d'identité officiel, justificatif de domicile. Collectées dans le cadre de la vérification d'identité requise pour certains services (loi LBC/FT).
2.3. Données financières et de transaction
Informations de paiement (partiellement masquées), historique de facturation. Les données de paiement complètes sont traitées exclusivement par notre prestataire certifié PCI-DSS.
2.4. Données stockées par l'Utilisateur (contenu du coffre-fort)
Documents numériques, messages personnels, photographies, vidéos, fichiers audio, mots de passe chiffrés, identifiants de comptes tiers. IMPORTANT : Ces données sont chiffrées de bout en bout (AES-256). Corvo n'a techniquement pas accès au contenu en clair.
2.5. Données relatives aux Bénéficiaires désignés
Nom, prénom, adresse e-mail des personnes désignées comme bénéficiaires de transmissions (CleanOut et MemoryLock).
2.6. Directives numériques et paramètres post-mortem
Instructions relatives au traitement des comptes après décès, règles temporelles et événementielles, paramètres de détection d'inactivité.
2.7. Données techniques et de connexion
Adresse IP, type et version du navigateur, système d'exploitation, pages visitées, durée de visite, journaux de connexion.
2.8. Données de communication
Contenu des échanges avec le service client, demandes d'exercice de droits RGPD, réclamations.
2.9. Catégories particulières (données sensibles)
Corvo ne collecte pas volontairement de données sensibles au sens de l'article 9 du RGPD. Le contenu chiffré du coffre-fort peut en contenir ; le chiffrement AES-256 constitue la mesure de protection adéquate.
Article 3 — Finalités et bases juridiques des traitements
| Finalité du traitement | Base juridique (RGPD) | Données concernées |
|---|---|---|
| Création et gestion du Compte | Art. 6.1.b — Exécution du contrat | Identification, contact |
| Fourniture des Services CleanOut, MemoryLock, RGPD+ | Art. 6.1.b — Exécution du contrat | Toutes données liées aux Services |
| Vérification d'identité (KYC) | Art. 6.1.c — Obligation légale (loi LBC/FT) | KYC, identification |
| Gestion des paiements et facturation | Art. 6.1.b — Exécution du contrat | Données financières |
| Sécurité des Services et détection de fraude | Art. 6.1.f — Intérêt légitime | Techniques, connexion |
| Communication de données aux Bénéficiaires | Art. 6.1.b — Exécution du contrat | Données des Bénéficiaires, contenu |
| Amélioration des Services et statistiques | Art. 6.1.f — Intérêt légitime | Techniques, navigation |
| Conformité réglementaire et réponse aux autorités | Art. 6.1.c — Obligation légale | Toutes catégories si requis |
| Communication marketing (newsletter) | Art. 6.1.a — Consentement | |
| Gestion des réclamations et contentieux | Art. 6.1.f — Intérêt légitime | Toutes données pertinentes |
Article 4 — Durées de conservation
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données du Compte actif | Durée de la relation contractuelle | Nécessité contractuelle |
| Contenu du coffre-fort (MemoryLock) | Durée du Compte + 30 jours après résiliation | Portabilité des données |
| Directives numériques (CleanOut) | Jusqu'à exécution complète ou résiliation | Exécution contractuelle |
| Données KYC | 5 ans après la fin de la relation | Loi LBC/FT du 12/11/2004 |
| Données de facturation | 10 ans | Art. 16 Code de commerce lux. |
| Journaux de connexion | 12 mois | Obligation légale (sécurité) |
| Données techniques (cookies) | Voir Politique cookies | Consentement / intérêt légitime |
| Données de communication (support) | 3 ans après clôture du ticket | Intérêt légitime (preuve) |
| Données post-résiliation (archivage) | Prescription civile (10 ans) | Obligation légale / intérêt légitime |
Article 5 — Destinataires des données
Les données peuvent être communiquées à : (a) le personnel autorisé de Corvo ; (b) des sous-traitants (hébergement, paiement, KYC, e-mails, audit de sécurité) liés par des contrats conformes à l'article 28 RGPD ; (c) les Bénéficiaires désignés selon les règles de l'Utilisateur ; (d) les autorités publiques sur demande légalement fondée.
Corvo ne vend, ne loue et ne commercialise en aucune manière les données personnelles à des tiers à des fins publicitaires ou commerciales.
Article 6 — Transferts de données hors UE
Par principe, Corvo stocke et traite l'intégralité des données sur des serveurs souverains situés au sein de l'Union européenne. Tout transfert vers un pays tiers respecterait les garanties du Chapitre V du RGPD (décision d'adéquation, clauses contractuelles types, BCR, consentement). Une analyse d'impact du transfert serait systématiquement réalisée préalablement (jurisprudence Schrems II).
Article 7 — Droits des personnes concernées
| Droit | Description | Base RGPD |
|---|---|---|
| Droit d'accès | Obtenir confirmation et copie de vos données | Article 15 |
| Droit de rectification | Corriger les données inexactes ou incomplètes | Article 16 |
| Droit à l'effacement | Demander la suppression (droit à l'oubli) | Article 17 |
| Droit à la limitation | Restreindre le traitement dans certains cas | Article 18 |
| Droit à la portabilité | Recevoir vos données dans un format structuré | Article 20 |
| Droit d'opposition | Vous opposer au traitement fondé sur l'intérêt légitime | Article 21 |
| Droit de retirer le consentement | Retirer votre consentement à tout moment | Article 7.3 |
7.1. Exercice des droits
Adressez votre demande à dpo@corvolux.com ou par courrier au DPO. Toute demande doit être accompagnée d'un justificatif d'identité. Corvo s'engage à répondre dans un délai d'un (1) mois (prolongeable de deux mois en cas de complexité).
7.2. Réclamation auprès de l'autorité de contrôle
Commission nationale pour la protection des données (CNPD) : 15 Boulevard du Jazz, L-4370 Belvaux — www.cnpd.lu — (+352) 26 10 60 1
Article 8 — Mesures de sécurité
Corvo met en œuvre des mesures techniques et organisationnelles conformes à l'article 32 du RGPD : chiffrement AES-256 et TLS 1.3, hachage bcrypt des mots de passe, MFA obligatoire, ségrégation des environnements, sauvegardes chiffrées, WAF, IDS/IPS, politique ISO 27001, RBAC, audits annuels, procédure de gestion des incidents. Notification des violations à la CNPD sous 72 h (art. 33) et aux personnes concernées si risque élevé (art. 34).
Article 9 — AIPD
Compte tenu de la nature des traitements (données potentiellement sensibles, gestion post-mortem, surveillance systématique), Corvo a réalisé des Analyses d'Impact relatives à la Protection des Données (AIPD) conformément à l'article 35 du RGPD. Ces analyses sont révisées régulièrement et disponibles sur demande auprès du DPO.
Article 10 — Dispositions spécifiques relatives aux données post-mortem
Le sort des données après le décès relève du droit national. Corvo applique les dispositions du droit de l'Utilisateur. En l'absence de législation spécifique, Corvo respecte les directives numériques enregistrées, dans la mesure compatible avec les droits des héritiers. Corvo agit en qualité de tiers de confiance numérique et vérifie le décès selon des procédures préétablies avant d'exécuter les instructions.
Article 11 — Modification de la Politique
Corvo se réserve le droit de modifier la présente Politique. Toute modification substantielle sera notifiée par e-mail et/ou sur le Site au moins trente (30) jours avant son entrée en vigueur. Version en vigueur : https://corvolux.com/legal/politique-confidentialite
Article 12 — Contact
DPO : dpo@corvolux.com — Support : support@corvolux.com — Adresse : Corvo S.à r.l. — 2 Rue Edward Steichen, Immeuble Oksigen, L-2540 Luxembourg-Kirchberg, Grand-Duché de Luxembourg