Politique de Confidentialité — Clover Founder Hub

Dernière mise à jour : 20/02/2026

La présente politique de confidentialité décrit la manière dont RAISON SOCIALE, société FORME JURIDIQUE au capital de MONTANT euros, immatriculée au RCS de VILLE sous le numéro NUMÉRO RCS, dont le siège social est situé ADRESSE DU SIÈGE (ci-après « Clover », « nous » ou « notre »), collecte, utilise, stocke et protège les données à caractère personnel des utilisateurs de la plateforme Clover Founder Hub accessible à l'adresse URL DE LA PLATEFORME (ci-après la « Plateforme »).

Clover agit en qualité de responsable du traitement au sens du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD »).

1. Délégué à la Protection des Données

Clover a désigné un Délégué à la Protection des Données (DPO) joignable aux coordonnées suivantes :

Nom : Hugo Mendes
Email : hugo.mendes@undeclover.com
Adresse postale : 11 rue Emile Brault, 53000 Laval

Vous pouvez contacter le DPO pour toute question relative au traitement de vos données personnelles ou pour exercer vos droits.

2. Données collectées

2.1 Données d'identification et de profil

Lors de la création de votre compte (sur invitation uniquement) et de l'utilisation de la Plateforme, nous collectons les données suivantes :

Nom complet
Adresse email
Photo de profil (avatar)
Numéro de téléphone (facultatif)
Biographie (facultative)
Intitulé de poste (facultatif)
URLs de réseaux sociaux : LinkedIn, Twitter/X, site web personnel (facultatifs)

2.2 Données d'authentification

Mot de passe (stocké sous forme chiffrée par notre prestataire d'authentification Supabase)
Données d'authentification OAuth si vous vous connectez via Google (identifiant Google, email associé)
Jetons de session

2.3 Données relatives à la startup

Si vous êtes un utilisateur startup, nous collectons et traitons des données relatives à votre entreprise :

Dénomination sociale, description, site web, secteur d'activité
Logo de l'entreprise
Stade de développement (Pre-Seed, Seed, Series A, etc.), statut, localisation
Date de création, nombre d'employés
Montant d'investissement et pourcentage de participation
Rapports mensuels (fichiers PDF uploadés) et métriques extraites : MRR, ARR, churn, CAC, LTV, burn rate, runway, headcount, et autres indicateurs financiers, produit et organisationnels

2.4 Données de contenu

Publications sur le fil social (texte et médias), commentaires, mentions « j'aime »
Demandes d'aide (titre, description, catégorie, priorité, messages échangés)
Notes de réunion et notes privées rédigées par l'équipe Clover concernant les startups du portfolio
Notes internes des administrateurs associées aux rapports mensuels
Inscriptions aux événements
Scores et niveaux obtenus dans le mini-jeu intégré à la Plateforme (leaderboard)

2.5 Données relatives aux investisseurs

Nom, type (fonds ou business angel), coordonnées (email, téléphone, site web, LinkedIn)
Personne de contact et notes associées
Montants investis et participations dans les tours de financement

2.6 Données techniques et de navigation

Adresse IP
Type et version du navigateur
Données de journalisation des accès à la Plateforme
Cookies techniques de session

3. Finalités et bases juridiques des traitements

Finalité du traitement	Base juridique (art. 6 RGPD)
Création et gestion des comptes utilisateurs	Exécution du contrat (CGU)
Gestion du portfolio de startups et suivi des investissements	Intérêt légitime de Clover dans le suivi de ses participations
Extraction automatisée de métriques depuis les rapports mensuels (via intelligence artificielle)	Intérêt légitime de Clover pour l'analyse de performance du portfolio
Mise en relation entre startups et équipe Clover (demandes d'aide, messagerie)	Exécution du contrat
Envoi d'emails transactionnels : invitations, rappels de rapports, notifications de statut	Exécution du contrat
Gestion des événements et inscriptions	Exécution du contrat
Fil social communautaire (publications, commentaires, likes)	Exécution du contrat
Mini-jeu et classement (leaderboard affichant nom et avatar des participants)	Intérêt légitime (animation de la communauté)
Gestion des tours de financement et des investisseurs	Intérêt légitime de Clover
Notifications internes sur la Plateforme	Exécution du contrat
Sécurité de la Plateforme et prévention des accès non autorisés	Intérêt légitime et obligation légale
Respect de nos obligations légales et réglementaires	Obligation légale

4. Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants pour le fonctionnement de la Plateforme :

Sous-traitant	Rôle	Localisation des données
Supabase (Supabase Inc.)	Hébergement de la base de données, authentification, stockage de fichiers	Union européenne (région Francfort) ou États-Unis selon configuration — À CONFIRMER
Vercel (Vercel Inc.)	Hébergement de l'application et exécution des API serveur	Réseau mondial (Edge Functions), données traitées en Europe lorsque disponible
Google (Google LLC) — Gemini AI	Extraction de métriques par OCR et intelligence artificielle à partir des rapports PDF	États-Unis
Resend (Resend Inc.)	Envoi d'emails transactionnels	États-Unis
Logo.dev	Récupération de logos d'entreprises à partir de noms de domaine	États-Unis
Google (Google LLC) — OAuth	Authentification via Google Sign-In	États-Unis

Pour les transferts de données vers les États-Unis, nous nous appuyons sur les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou sur le EU-US Data Privacy Framework lorsque le sous-traitant est certifié. Nous vérifions régulièrement la conformité de ces mécanismes de transfert.

5. Traitement par intelligence artificielle

Les rapports mensuels (PDF) soumis par les startups peuvent être analysés par un système d'intelligence artificielle (Google Gemini) afin d'en extraire automatiquement des indicateurs de performance (métriques financières, produit, organisationnelles).

Ce traitement est effectué à la demande explicite d'un administrateur Clover. Les données sont transmises à l'API Google Gemini sous forme chiffrée (HTTPS), traitées en mémoire pour l'extraction, et ne sont pas conservées par Google au-delà du traitement de la requête (conformément aux conditions d'utilisation de l'API Gemini). Les résultats extraits sont stockés dans notre base de données.

L'utilisateur startup est informé que ses rapports sont susceptibles de faire l'objet de cette analyse automatisée. Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise sur la base de ces extractions ; elles constituent un outil d'aide à la décision pour l'équipe Clover.

6. Durée de conservation

Catégorie de données	Durée de conservation
Données de compte et de profil	Durée de la relation contractuelle + 3 ans après la suppression du compte
Données des startups et métriques	Durée de la participation de Clover au capital de la startup + 5 ans
Rapports mensuels (fichiers PDF)	10 ans (obligations comptables et de gestion)
Publications, commentaires, demandes d'aide	Durée de la relation contractuelle + 1 an
Scores du mini-jeu et classement	Durée de la relation contractuelle ; supprimés à la clôture du compte
Données de journalisation technique	12 mois
Données relatives aux investisseurs	Durée de la relation d'investissement + 5 ans
Invitations non acceptées	7 jours après expiration du lien

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement des données en transit (TLS/HTTPS) et au repos (chiffrement de la base de données par Supabase)
Authentification sécurisée avec hachage des mots de passe (bcrypt via Supabase Auth)
Contrôle d'accès basé sur les rôles (Row-Level Security au niveau de la base de données, vérification côté serveur)
Accès à la Plateforme strictement sur invitation, avec tokens à usage unique et à durée limitée
Séparation des privilèges entre administrateurs Clover et utilisateurs startup
Sanitisation des contenus utilisateurs (protection contre les injections XSS)
Journalisation des accès et des actions sensibles

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès (art. 15) : obtenir une copie de l'ensemble de vos données personnelles que nous traitons.
Droit de rectification (art. 16) : demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (art. 17) : demander la suppression de vos données. Ce droit peut être limité lorsque le traitement est nécessaire au respect d'une obligation légale (par ex. conservation des rapports financiers pendant 10 ans) ou à la constatation, l'exercice ou la défense de droits en justice. Dans ce cas, nous vous informerons des données conservées et de la base juridique justifiant le refus partiel.
Droit à la limitation du traitement (art. 18) : demander la suspension du traitement de vos données dans certains cas.
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime de Clover.
Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement.

Pour exercer ces droits, adressez votre demande à notre DPO par email à EMAIL DU DPO. Nous nous engageons à y répondre dans un délai de 30 jours à compter de la réception de votre demande. Ce délai peut être prolongé de 60 jours en cas de complexité, auquel cas nous vous en informerons.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

9. Cookies

La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

Cookies de session : permettent de maintenir votre authentification durant votre navigation. Ces cookies sont supprimés à la fermeture de votre session ou après expiration.
Cookie de préférence de thème : enregistre votre choix entre le mode clair et le mode sombre.

Aucun cookie de mesure d'audience, de publicité ou de traçage tiers n'est utilisé sur la Plateforme. Aucun consentement spécifique n'est requis pour ces cookies strictement nécessaires conformément aux lignes directrices de la CNIL.

10. Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par notification sur la Plateforme ou par email au moins 15 jours avant l'entrée en vigueur des modifications. La date de dernière mise à jour en tête du document fait foi.

11. Contact

Pour toute question relative à la présente politique de confidentialité :

DPO : Hugo Mendes — hugo.mendes@cloverfund.vc
Adresse postale : 11 rue Emile Brault, 53000 Laval
Site web : https://cloverfund.vc