Aller au contenu principal
← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour :

1. Responsable du traitement

Le responsable du traitement des données est l'éditeur de Fintale, dont les coordonnées complètes figurent dans nos mentions légales. Fintale n'a pas désigné de Délégué à la Protection des Données (DPO) — le responsable du traitement répond directement aux demandes via le formulaire de contact.

2. Données collectées

  • Compte — email et nom (optionnel) lors de l'inscription, pour l'authentification et l'envoi des emails liés au service.
  • Données extraites de vos relevés bancaires — montants, libellés, marchands normalisés, catégories, dates des transactions. Ces données sont traitées comme des données personnelles à caractère financier.
  • Texte du PDF (en mémoire uniquement) — le contenu textuel extrait de votre PDF est envoyé en mémoire à OpenAI pour analyse, puis détruit avec la requête. Le fichier PDF lui-même n'est jamais persisté sur nos serveurs ni dans ceux de nos sous-traitants.
  • Paiement — géré exclusivement par Stripe. Fintale ne stocke aucune donnée de carte bancaire (Stripe est l'acteur PCI-DSS conformé, ce qui retire Fintale du périmètre PCI).
  • Logs techniques — adresse IP, user-agent et logs d'erreur conservés à des fins de sécurité et de débogage.

3. Finalités et bases légales (RGPD art. 6 & 13)

  • Exécution du contrat (art. 6.1.b) — fournir l'analyse de relevé, générer les rapports, gérer votre abonnement.
  • Obligation légale (art. 6.1.c) — facturation et conservation comptable (Code de commerce art. L123-22).
  • Intérêt légitime (art. 6.1.f) — sécurité, prévention de la fraude, mesure anonymisée d'usage du service.
  • Consentement (art. 6.1.a) — pour toute communication marketing future (aucun marketing actuellement actif).

Vos données financières ne sont jamais vendues, jamais partagées à des fins commerciales, et ne servent pas à l'entraînement de modèles d'IA (la politique d'OpenAI exclut par défaut les données API du training).

4. Sous-traitants et destinataires (RGPD art. 13.1.e)

Fintale recourt aux sous-traitants suivants, chacun lié par un accord de traitement (DPA) conforme au RGPD :

  • Supabase (Supabase Inc., siège US — hébergement EU) — base de données PostgreSQL et authentification, hébergées en région européenne (Frankfurt).
  • Vercel (Vercel Inc., US) — hébergement de l'application web et CDN. Les requêtes EU sont servies depuis des edges européens.
  • Stripe (Stripe Payments Europe Ltd, Irlande) — traitement des paiements. Stripe est le responsable du traitement des données de carte bancaire (PCI-DSS).
  • OpenAI (OpenAI Ireland Ltd / OpenAI LLC, US) — analyse du contenu textuel de vos relevés via le modèle GPT-4o pour l'extraction et la catégorisation des transactions, ainsi que pour la génération de conseils personnalisés. Les données soumises via l'API OpenAI ne sont pas utilisées pour entraîner les modèles (politique API OpenAI). Le transfert vers les États-Unis est encadré par les Clauses Contractuelles Types de la Commission européenne (RGPD art. 46) et par l'adhésion d'OpenAI au cadre EU-US Data Privacy Framework.

5. Durées de conservation (RGPD art. 13.2.a)

  • Compte et rapports — pendant la durée de l'abonnement, et jusqu'à la suppression du compte par l'utilisateur (effective immédiatement via Paramètres → Zone dangereuse).
  • Factures — 10 ans après l'émission (obligation comptable Code de commerce art. L123-22).
  • Logs techniques — 12 mois maximum (recommandation CNIL).
  • Texte PDF en transit — détruit dès la fin de la requête API d'analyse, jamais persisté.

6. Sécurité

Les communications sont chiffrées de bout en bout via TLS/HTTPS. Les mots de passe sont hashés (algorithme bcrypt par défaut Supabase). L'accès aux données est restreint via Row Level Security (RLS) PostgreSQL — chaque utilisateur ne peut accéder qu'à ses propres données. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures (RGPD art. 33) et vous informerons sans délai injustifié si le risque est élevé (art. 34).

7. Vos droits (RGPD art. 15 à 22)

  • Droit d'accès — vous consultez l'intégralité de vos données via votre dashboard.
  • Droit de rectification — modification de l'email/profil via le formulaire de contact.
  • Droit à l'effacement (oubli) — suppression immédiate de votre compte et de toutes vos données via Paramètres → Zone dangereuse.
  • Droit à la portabilité — export de vos transactions sur demande, dans un format structuré (JSON ou CSV).
  • Droit d'opposition — vous pouvez vous opposer aux traitements fondés sur l'intérêt légitime.
  • Droit à la limitation — vous pouvez demander la limitation du traitement dans les cas prévus à l'art. 18.
  • Droit de retirer le consentement — pour les traitements fondés sur le consentement, à tout moment et sans affecter la licéité des traitements antérieurs.
  • Droit d'introduire une réclamation auprès de la CNIL — vous pouvez à tout moment saisir la CNIL, cnil.fr/plaintes.

8. Cookies

Fintale utilise uniquement des cookies fonctionnels strictement nécessaires (session d'authentification, préférence de thème). Aucun cookie de tracking, d'analytics ou publicitaire n'est déposé. Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies sont exemptés de consentement. Aucune ressource externe (font, script tiers) n'est chargée sans avoir été préalablement auto-hébergée.

9. Mineurs

Le service est réservé aux personnes majeures (18 ans révolus) capables de contracter (Code civil art. 1145). L'âge minimum de consentement RGPD étant de 15 ans en France (LIL art. 45), Fintale ne traite pas sciemment de données de mineurs.

10. Contact

Pour toute question relative au traitement de vos données ou pour exercer vos droits, contactez-nous via notre page de contact. Nous nous engageons à répondre dans un délai d'un mois (art. 12.3 RGPD).