1. Responsable de traitement
| Raison sociale | SafeFinly SAS (en cours d'immatriculation) |
|---|---|
| Siège social | 2 rue Jean Richard Bloch, Argenteuil, France |
| SIRET / RCS | En cours d'obtention |
| Email de contact | contact@safefinly.com |
| Contact DPO | dpo@safefinly.com |
2. Données collectées
2.1 Données que vous fournissez
| Donnée | Finalité | Base légale (RGPD) |
|---|---|---|
| Adresse email | Création de compte, authentification | Exécution du contrat (art. 6.1.b) |
| Mot de passe | Sécurisation de l'accès | Exécution du contrat (art. 6.1.b) |
| Code PIN | Verrouillage local de l'application | Intérêt légitime — sécurité (art. 6.1.f) |
| Transactions financières | Suivi budgétaire | Exécution du contrat (art. 6.1.b) |
| Budgets et objectifs | Planification financière | Exécution du contrat (art. 6.1.b) |
| Prêts et échéanciers | Suivi des emprunts | Exécution du contrat (art. 6.1.b) |
| Nom / email de client (prêts) | Export PDF d'échéanciers (optionnel) | Consentement (art. 6.1.a) |
2.2 Données collectées automatiquement
- Identifiant utilisateur : généré par Supabase Auth pour l'authentification.
- Données d'abonnement : statut, type de plan, dates — gérées par RevenueCat via Apple/Google.
- Données biométriques : seul le résultat (succès/échec) de la vérification Face ID / Touch ID est utilisé. SafeFinly n'accède jamais aux données biométriques elles-mêmes.
2.3 Données NON collectées
- Pas de géolocalisation
- Pas de contacts
- Pas de photos ou médias
- Pas de données publicitaires (IDFA)
- Pas de tracking inter-applications
- Pas d'analytics tiers (Firebase, Google Analytics, etc.)
3. Chiffrement et sécurité
SafeFinly utilise un modèle de sécurité « privacy-first ». Vos données financières sont chiffrées avant de quitter votre appareil.
| Mesure | Détail technique |
|---|---|
| Chiffrement local | Base SQLite chiffrée avec SQLCipher |
| Chiffrement E2E | AES-256-GCM pour le vault de synchronisation |
| Dérivation de clé | PBKDF2 (120 000 itérations, HMAC-SHA256) |
| Stockage des secrets | iOS Keychain (Secure Enclave) / Android EncryptedSharedPreferences |
| Transport | HTTPS obligatoire avec certificate pinning |
| Salt cryptographique | 32 bytes aléatoires, unique par utilisateur |
SafeFinly ne possède pas la capacité technique de déchiffrer vos données financières. Seul votre code PIN permet de dériver la clé de déchiffrement.
4. Assistant IA (Finly)
- L'assistant Finly fonctionne entièrement en local sur votre appareil.
- Aucune donnée financière n'est transmise à un service d'intelligence artificielle externe (pas d'OpenAI, Anthropic, Google, etc.).
- Les conversations sont stockées localement dans la base chiffrée.
- En cas d'escalade vers le support, seules des métadonnées anonymisées sont transmises. Le contenu des messages est systématiquement caviardé.
5. Hébergement et sous-traitants
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Authentification, synchronisation chiffrée | Union européenne | Conforme RGPD, données chiffrées au repos |
| RevenueCat | Gestion des abonnements | États-Unis | Clauses contractuelles types (SCC), SOC 2 |
| Apple / Google | Distribution, paiements | International | Clauses contractuelles types (SCC) |
Transferts hors UE : RevenueCat et Apple/Google traitent des données d'abonnement (statut, dates, identifiant anonyme). Ces transferts sont encadrés par des Clauses Contractuelles Types (art. 46.2.c RGPD). Vos données financières restent dans la zone UE et sur votre appareil.
6. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Compte actif | Tant que le compte est actif | Exécution du contrat |
| Après suppression du compte | 30 jours (période de grâce) | Permettre la récupération en cas d'erreur |
| Données de facturation | 10 ans après la transaction | Obligation légale (Code de commerce, art. L123-22) |
| Logs de sécurité | 12 mois | Intérêt légitime — détection d'intrusions |
| Données locales | Jusqu'à déconnexion ou désinstallation | Sous votre contrôle exclusif |
Passé le délai de grâce de 30 jours, toutes vos données sont supprimées de manière irréversible de nos serveurs.
7. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (art. 15) | Obtenir une copie de vos données | Export depuis l'app (CSV, JSON, sauvegarde chiffrée) |
| Rectification (art. 16) | Corriger des données inexactes | Modification directe dans l'app |
| Effacement (art. 17) | Demander la suppression | Suppression du compte via l'app ou par email |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré | Export CSV/JSON depuis l'app |
| Limitation (art. 18) | Limiter le traitement | Email à dpo@safefinly.com |
| Opposition (art. 21) | Vous opposer à un traitement | Email à dpo@safefinly.com |
Pour exercer vos droits : dpo@safefinly.com. Réponse sous 30 jours maximum.
Vous pouvez également saisir la CNIL : www.cnil.fr.
8. Cookies et traceurs
L'application SafeFinly n'utilise aucun cookie, traceur, pixel de suivi, ni outil d'analytics tiers. Aucun identifiant publicitaire (IDFA/GAID) n'est collecté.
9. Mineurs
SafeFinly est accessible aux personnes âgées de 16 ans et plus, conformément à l'âge légal d'ouverture d'un compte bancaire en France avec autorisation parentale. Les mineurs de 16 à 18 ans doivent disposer de l'autorisation de leur représentant légal.
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le consentement au traitement des données d'un mineur de moins de 15 ans doit être donné par le titulaire de l'autorité parentale.
10. Modifications
En cas de modification substantielle, vous serez informé(e) par notification dans l'application ou par email au moins 15 jours avant l'entrée en vigueur.
11. Contact
- DPO : dpo@safefinly.com
- Contact général : contact@safefinly.com
- Adresse : SafeFinly SAS, 2 rue Jean Richard Bloch, Argenteuil, France