1. Responsable de traitement
| Raison sociale | SafeFinly SAS (en cours d'immatriculation) |
|---|---|
| Siege social | 2 rue Jean Richard Bloch, Argenteuil, France |
| SIRET / RCS | En cours d'obtention |
| Email de contact | contact@safefinly.com |
| Contact DPO | dpo@safefinly.com |
2. Donnees collectees
2.1 Donnees que vous fournissez
| Donnee | Finalite | Base legale (RGPD) |
|---|---|---|
| Adresse email | Creation de compte, authentification | Execution du contrat (art. 6.1.b) |
| Mot de passe | Securisation de l'acces | Execution du contrat (art. 6.1.b) |
| Code PIN | Verrouillage local de l'application | Interet legitime — securite (art. 6.1.f) |
| Transactions financieres | Suivi budgetaire | Execution du contrat (art. 6.1.b) |
| Budgets et objectifs | Planification financiere | Execution du contrat (art. 6.1.b) |
| Prets et echeanciers | Suivi des emprunts | Execution du contrat (art. 6.1.b) |
| Nom/email de client (prets) | Export PDF d'echeanciers (optionnel) | Consentement (art. 6.1.a) |
2.2 Donnees collectees automatiquement
- Identifiant utilisateur : genere par Supabase Auth pour l'authentification.
- Donnees d'abonnement : statut, type de plan, dates — gerees par RevenueCat via Apple/Google.
- Donnees biometriques : seul le resultat (succes/echec) de la verification Face ID/Touch ID est utilise. SafeFinly n'accede jamais aux donnees biometriques elles-memes.
2.3 Donnees NON collectees
- Pas de geolocalisation
- Pas de contacts
- Pas de photos ou medias
- Pas de donnees publicitaires (IDFA)
- Pas de tracking inter-applications
- Pas d'analytics tiers (Firebase, Google Analytics, etc.)
3. Chiffrement et securite
SafeFinly utilise un modele de securite « privacy-first ». Vos donnees financieres sont chiffrees avant de quitter votre appareil.
| Mesure | Detail technique |
|---|---|
| Chiffrement local | Base SQLite chiffree avec SQLCipher |
| Chiffrement E2E | AES-256-GCM pour le vault de synchronisation |
| Derivation de cle | PBKDF2 (120 000 iterations, HMAC-SHA256) |
| Stockage des secrets | iOS Keychain (Secure Enclave) / Android EncryptedSharedPreferences |
| Transport | HTTPS obligatoire avec certificate pinning |
| Salt cryptographique | 32 bytes aleatoires, unique par utilisateur |
SafeFinly ne possede pas la capacite technique de dechiffrer vos donnees financieres. Seul votre code PIN permet de deriver la cle de dechiffrement.
4. Assistant IA (Finly)
- L'assistant Finly fonctionne entierement en local sur votre appareil.
- Aucune donnee financiere n'est transmise a un service d'intelligence artificielle externe (pas d'OpenAI, Anthropic, Google, etc.).
- Les conversations sont stockees localement dans la base chiffree.
- En cas d'escalade vers le support, seules des metadonnees anonymisees sont transmises. Le contenu des messages est systematiquement caviarde.
5. Hebergement et sous-traitants
| Sous-traitant | Role | Localisation | Garanties |
|---|---|---|---|
| Supabase | Authentification, synchronisation chiffree | Union Europeenne | Conforme RGPD, donnees chiffrees au repos |
| RevenueCat | Gestion des abonnements | Etats-Unis | Clauses contractuelles types (SCC), SOC 2 |
| Apple / Google | Distribution, paiements | International | Clauses contractuelles types (SCC) |
Transferts hors UE : RevenueCat et Apple/Google traitent des donnees d'abonnement (statut, dates, identifiant anonyme). Ces transferts sont encadres par des Clauses Contractuelles Types (art. 46.2.c RGPD). Vos donnees financieres restent dans la zone UE et sur votre appareil.
6. Durees de conservation
| Donnee | Duree | Justification |
|---|---|---|
| Compte actif | Tant que le compte est actif | Execution du contrat |
| Apres suppression du compte | 30 jours (periode de grace) | Permettre la recuperation en cas d'erreur |
| Donnees de facturation | 10 ans apres la transaction | Obligation legale (Code de commerce, art. L123-22) |
| Logs de securite | 12 mois | Interet legitime — detection d'intrusions |
| Donnees locales | Jusqu'a deconnexion ou desinstallation | Sous votre controle exclusif |
Passe le delai de grace de 30 jours, toutes vos donnees sont supprimees de maniere irreversible de nos serveurs.
7. Vos droits (RGPD)
Conformement au Reglement General sur la Protection des Donnees (UE 2016/679) et a la loi Informatique et Libertes :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Acces (art. 15) | Obtenir une copie de vos donnees | Export depuis l'app (CSV, JSON, sauvegarde chiffree) |
| Rectification (art. 16) | Corriger des donnees inexactes | Modification directe dans l'app |
| Effacement (art. 17) | Demander la suppression | Suppression du compte via l'app ou par email |
| Portabilite (art. 20) | Recevoir vos donnees dans un format structure | Export CSV/JSON depuis l'app |
| Limitation (art. 18) | Limiter le traitement | Email a dpo@safefinly.com |
| Opposition (art. 21) | Vous opposer a un traitement | Email a dpo@safefinly.com |
Pour exercer vos droits : dpo@safefinly.com. Reponse sous 30 jours maximum.
Vous pouvez egalement saisir la CNIL : www.cnil.fr.
8. Cookies et traceurs
L'application SafeFinly n'utilise aucun cookie, traceur, pixel de suivi, ni outil d'analytics tiers. Aucun identifiant publicitaire (IDFA/GAID) n'est collecte.
9. Mineurs
SafeFinly est accessible aux personnes agees de 16 ans et plus, conformement a l'age legal d'ouverture d'un compte bancaire en France avec autorisation parentale. Les mineurs de 16 a 18 ans doivent disposer de l'autorisation de leur representant legal.
Conformement a l'article 8 du RGPD et a l'article 45 de la loi Informatique et Libertes, le consentement au traitement des donnees d'un mineur de moins de 15 ans doit etre donne par le titulaire de l'autorite parentale.
10. Modifications
En cas de modification substantielle, vous serez informe(e) par notification dans l'Application ou par email au moins 15 jours avant l'entree en vigueur.
11. Contact
- DPO : dpo@safefinly.com
- Contact general : contact@safefinly.com
- Adresse : SafeFinly SAS, 2 rue Jean Richard Bloch, Argenteuil, France