Votre vie privée est notre priorité
FinanceMate utilise un chiffrement de bout en bout (AES-256-GCM) pour protéger vos données financières. Même l'administrateur ne peut pas accéder à vos transactions ou montants.
1. Responsable du traitement des données
Responsable : Antony Bartolomucci
Statut : Ingénieur logiciel
Contact : contact@financemate.fr
Portfolio : mucci.dev
Conformément au RGPD (Règlement (UE) 2016/679), le responsable s'engage à protéger vos données personnelles et à garantir vos droits.
2. Données personnelles collectées
Données non chiffrées (métadonnées) :
- Adresse email (pour l'authentification)
- Nom d'affichage (optionnel)
- Date d'inscription
- Date de dernière connexion
- Adresse IP (logs de sécurité, conservée 12 mois maximum)
Données chiffrées de bout en bout :
- Montants de transactions (dépenses, revenus, prévisions)
- Titres et descriptions de transactions
- Notes de transactions
- Montant total de financement (si paiement en plusieurs fois)
- Solde mensuel initial (
initialBalance) - Montants des dépenses fixes et titres
- Valeurs de partage de dépenses (montants et pourcentages par personne)
- Plafonds des budgets par catégorie
- Montants des échéances de paiement
- Montants de remboursement attendus
- Salaire mensuel net (si configuré)
- Objectifs d'épargne (nom, montants cible et épargnés)
- Identifiants de synchronisation bancaire (PRO)
Important : Ces données sont chiffrées avec une clé unique dérivée de votre phrase de récupération. Même l'administrateur du serveur ne peut pas y accéder.
Données PRO :
- Budgets par catégorie : nom de catégorie (non chiffré), plafond chiffré de bout en bout, périmètre mensuel
- Préférences d'alertes (types d'alertes activées, seuils) -non chiffrées
- Journaux d'alertes (type, date d'envoi, métadonnées agrégées) -non chiffrées
Les préférences et journaux d'alertes sont des métadonnées de configuration non sensibles.
Cookies (httpOnly) :
accessToken- Token d'authentification (httpOnly, 24h)refreshToken- Token de renouvellement (httpOnly, 7 jours)csrf-token- Protection CSRF (httpOnly)
Aucun cookie de tracking, publicité ou analytique n'est utilisé.
Stockage local (localStorage) :
financemate_cookie_consent- Consentement RGPD (date + choix)financemate_feature_vote_seen- Année d'affichage du panneau de suggestions (évite de le ré-afficher)
Le stockage local reste sur votre appareil et n'est jamais envoyé au serveur.
3. Finalités du traitement
Vos données sont utilisées uniquement pour :
- Authentification : Sécuriser l'accès à votre compte
- Gestion financière : Stocker et afficher vos transactions
- Calculs automatiques : Soldes, totaux, taux d'endettement
- Communication : Envoi d'emails de vérification (pas de newsletter)
- Alertes email (PRO) : Envoi de notifications de dépassement de budget et récapitulatifs hebdomadaires/mensuels (base légale : consentement explicite, activable/désactivable dans les paramètres)
- Export de données (PRO) : Génération de rapports financiers (CSV, PDF) et envoi par email à la demande -fonctionnalité activable/désactivable dans les paramètres
- Sécurité : Détection d'activités suspectes, logs d'audit
Aucune utilisation commerciale : Vos données ne sont jamais vendues, louées ou partagées avec des tiers à des fins publicitaires.
4. Utilisation de votre adresse email
Votre adresse email est utilisée exclusivement pour :
- Vérification de compte : Confirmation de votre adresse lors de l'inscription
- Sécurité : Alertes en cas de connexion suspecte ou de modification de votre compte
- Notifications optionnelles : Alertes budget, récapitulatifs, boost XP - uniquement si vous les activez dans vos paramètres
- Communication de service : Désactivation/réactivation de compte, changements importants du service
- Revendu ou partagé à des tiers
- Utilisé à des fins publicitaires ou commerciales
- Ajouté à une newsletter non sollicitée
- Utilisé pour du tracking marketing
- Transmis à des partenaires ou annonceurs
Vous gardez le contrôle total sur les notifications que vous recevez depuis vos paramètres. Aucun email non sollicité ne sera jamais envoyé.
5. Base légale du traitement
Le traitement de vos données repose sur :
- Exécution du contrat : Fourniture du service de gestion financière
- Consentement : Inscription volontaire et acceptation des CGU
- Intérêt légitime : Sécurité et prévention de la fraude
- Obligation légale : Conservation des logs (loi française)
6. Destinataires des données
Vos données ne sont partagées avec AUCUN tiers.
Seuls ont accès aux données :
- Vous-même (via l'interface web)
- Le serveur backend (pour le stockage et le traitement)
L'administrateur système peut accéder aux métadonnées (email, dates) mais jamais aux données chiffrées (transactions, montants, salaire).
Auto-hébergement : Le serveur est sous contrôle direct, sans dépendance à des services tiers (pas de Google Analytics, pas de CDN externe, pas de cloud tiers).
7. Durée de conservation des données
| Type de donnée | Durée |
|---|---|
| Compte utilisateur actif | Jusqu'à suppression du compte |
| Logs de connexion | 12 mois maximum |
| Sessions expirées | Suppression automatique après 30 jours |
| Cache sessions (Redis) | 5 minutes maximum (invalidé à la déconnexion) |
| Cache clés de chiffrement (Redis) | 10 minutes maximum (invalidé au changement de mot de passe) |
| Journaux d'alertes (PRO) | 90 jours (suppression automatique mensuelle) |
| Compte supprimé | Suppression immédiate et définitive |
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès
Consulter toutes vos données depuis les paramètres de votre compte
Droit de rectification
Modifier votre email, nom d'affichage et données financières à tout moment
Droit à la portabilité
Exporter toutes vos données en JSON (format structuré et lisible), incluant vos budgets, préférences d'alertes et journaux d'alertes
Connectez-vous à votre compte puis rendez-vous dans la section Paramètres > Exporter mes données
Droit à l'effacement
Supprimer définitivement votre compte et toutes vos données
Connectez-vous à votre compte puis rendez-vous dans la section Paramètres > Supprimer mon compte
Pour exercer vos droits : Connectez-vous à votre compte puis rendez-vous dans la section Paramètres, ou contactez-nous à contact@financemate.fr
9. Mesures de sécurité
FinanceMate met en œuvre les mesures de sécurité suivantes :
- Chiffrement AES-256-GCM : Données financières chiffrées avec clé unique par utilisateur (dérivée via PBKDF2)
- Hachage Argon2id : Mots de passe stockés avec algorithme résistant aux attaques GPU
- HTTPS/TLS : Toutes les communications sont chiffrées (certificat Let's Encrypt)
- JWT sécurisé : Tokens d'authentification avec expiration courte (24h), payload minimal (userId uniquement, email exclu)
- Rotation des tokens : Les refresh tokens sont renouvelés à chaque usage (RFC 6749)
- Cookies httpOnly : Tokens inaccessibles depuis JavaScript (
sameSite: strict) - Protection CSRF : Token CSRF obligatoire sur les routes sensibles
- Rate limiting : 300 requêtes/min sur les routes authentifiées, protection contre la force brute
- Monitoring brute force par IP : Blocage automatique après 10 tentatives échouées (15 min)
- Journal d'audit de sécurité : Traçabilité des événements (connexions, déconnexions, échecs, changements de mot de passe) dans un fichier d'audit dédié, sans aucune donnée financière
- Cache éphémère (optionnel) : Sessions et clés de chiffrement peuvent être mises en cache temporairement (5-10 min) pour améliorer les performances, avec invalidation automatique à la déconnexion
- Pare-feu : Serveur protégé par ufw + fail2ban
- Backups chiffrés : Sauvegardes quotidiennes avec chiffrement
- Logs d'audit : Surveillance des activités suspectes (ZERO LEAK : aucune donnée sensible dans les logs)
Consulter notre page Sécurité pour le détail complet des mesures techniques →
10. Transferts de données hors UE
Aucun transfert hors de l'Union Européenne.
Le serveur est hébergé en France chez OVH (Roubaix, France) et vos données ne quittent jamais le territoire européen, garantissant ainsi le respect du RGPD.
11. Modifications de la politique
Cette politique peut être mise à jour pour refléter les évolutions réglementaires ou fonctionnelles. Vous serez informé par email en cas de modification importante.
Date de la dernière modification : 29 mars 2026
12. Droit de réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de :
CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
Site : www.cnil.fr