Politique de confidentialité
Chez Comptoo, vos données financières sont parmi les plus précieuses que vous pouvez nous confier. Cette politique vous explique, en termes clairs, quelles informations nous collectons, pourquoi, comment nous les protégeons, à qui elles sont communiquées et quels droits vous pouvez exercer à tout moment.
Sommaire
- Préambule et engagement
- Responsable du traitement
- Données que nous collectons
- Finalités et bases légales
- Durées de conservation
- Destinataires et sous-traitants
- Transferts hors Union européenne
- Sécurité de vos données
- Vos droits
- Protection des mineurs
- Cookies et traceurs
- Modifications de la politique
- Contact et réclamation
1. Préambule et engagement
Comptoo (ci-après « Comptoo », « nous ») est une application de gestion budgétaire personnelle et familiale destinée aux particuliers résidant principalement en France. Elle vous permet de suivre vos comptes, transactions, abonnements, patrimoine et budgets, seul ou avec vos proches dans des espaces partagés.
Nous traitons des données personnelles à caractère financier qui sont, par nature, sensibles. Nous nous engageons à les protéger conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
La présente politique s'applique à l'ensemble de nos services accessibles depuis comptoo.com et l'application Comptoo (web, mobile).
2. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
- [Comptoo — raison sociale exacte]
- [Adresse postale complète]
- Représenté par : Antoine Alberto
- Adresse électronique générale : contact@comptoo.com
- Délégué à la protection des données (DPO) — point de contact : dpo@comptoo.com
Comptoo n'est pas tenu de désigner formellement un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, mais nous mettons à votre disposition un point de contact dédié pour toute question relative à vos données.
3. Données que nous collectons
3.1 Données fournies directement par vous
| Catégorie | Données | Caractère |
|---|---|---|
| Identité | Prénom, nom, adresse électronique, mot de passe (haché) | Obligatoire |
| Profil | Avatar, devise par défaut, fuseau horaire, préférences | Facultatif |
| Financières | Comptes (libellé, type, solde initial), transactions (montant, date, catégorie, libellé), abonnements, patrimoine (biens, prêts), budgets, espaces partagés | Selon usage |
| Espaces partagés | Membres invités, rôles, contributions, soldes partagés | Selon usage |
| Paiement | Données bancaires collectées et stockées exclusivement par Stripe — Comptoo ne voit jamais votre numéro de carte | Si abonnement payant |
3.2 Données collectées automatiquement
| Catégorie | Données |
|---|---|
| Techniques | Adresse IP, type de navigateur, système d'exploitation, identifiant de session, fuseau horaire détecté |
| Journaux d'usage | Dates et heures de connexion, actions sensibles (création de compte, modification du mot de passe, suppression de données) |
| Statistiques agrégées | Pages consultées, fonctionnalités utilisées, erreurs techniques (anonymisées) |
3.3 Catégories particulières de données
Comptoo ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions, santé, orientation sexuelle, etc.). Si vous renseignez de telles informations dans un libellé de transaction (par exemple, le nom d'un médecin), elles sont stockées comme une chaîne de caractères libre et nous vous recommandons d'éviter d'y inclure des informations sensibles.
4. Finalités et bases légales du traitement
Nous traitons vos données uniquement pour les finalités suivantes, sur les bases légales correspondantes (article 6 du RGPD) :
| Finalité | Base légale |
|---|---|
| Fournir le service de suivi budgétaire (création de compte, enregistrement de transactions, calculs, espaces partagés) | Exécution du contrat (art. 6.1.b) |
| Gérer la facturation et les abonnements payants | Exécution du contrat (art. 6.1.b) |
| Respecter nos obligations légales (facturation, comptabilité, lutte contre la fraude) | Obligation légale (art. 6.1.c) |
| Sécuriser le service, prévenir les fraudes, détecter les abus | Intérêt légitime (art. 6.1.f) |
| Améliorer le produit (analyses statistiques anonymisées) | Intérêt légitime (art. 6.1.f) |
| Vous adresser des communications marketing (newsletter, nouveautés produit) | Consentement (art. 6.1.a), retirable à tout moment |
| Vous adresser des communications de service essentielles (modification CGU, faille de sécurité, expiration d'abonnement) | Exécution du contrat (art. 6.1.b) |
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur et données associées | Pendant toute la durée d'utilisation du service + 3 ans après la dernière connexion (suppression automatique au-delà sauf opposition expresse) |
| Données financières (transactions, patrimoine, espaces partagés) | Idem ci-dessus. Vous pouvez supprimer chaque donnée individuellement à tout moment. |
| Factures et données comptables | 10 ans à compter de la fin de l'exercice (article L. 123-22 du Code de commerce) |
| Journaux de connexion et de sécurité | 12 mois (recommandation CNIL) |
| Données de paiement (Stripe) | Conformément à la politique de Stripe, généralement 10 ans pour les obligations comptables |
| Cookies et traceurs | Voir notre politique de gestion des cookies |
| Données nécessaires à la défense de nos droits en justice | Jusqu'à prescription de l'action (généralement 5 ans) |
À l'issue des durées indiquées, vos données sont soit supprimées définitivement, soit anonymisées de manière irréversible à des fins statistiques.
6. Destinataires et sous-traitants
Vos données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales. Elles sont accessibles uniquement :
- Au personnel habilité de Comptoo, dans la stricte limite de ses missions ;
- Aux sous-traitants techniques listés ci-dessous, dans le cadre strict de la fourniture du service.
6.1 Sous-traitants techniques (article 28 RGPD)
| Sous-traitant | Service rendu | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement des serveurs et des bases de données | Helsinki, Finlande (UE) |
| Stripe Payments Europe Limited | Traitement des paiements, gestion des abonnements | Dublin, Irlande (UE) — Stripe Inc. (États-Unis) intervient en tant que sous-traitant ultérieur sous clauses contractuelles types |
| Postfix (auto-hébergé) | Envoi des courriers électroniques transactionnels | Helsinki, Finlande (UE) |
| [Outil d'analyse statistique anonymisée — à confirmer : PostHog, Plausible…] | Mesure d'audience anonymisée | UE (selon l'outil retenu) |
Chacun de nos sous-traitants est lié par un contrat conforme à l'article 28 du RGPD et offre des garanties suffisantes en matière de protection des données.
6.2 Communication à des tiers
Nous pouvons communiquer vos données à des autorités administratives ou judiciaires uniquement sur réquisition expresse fondée sur la loi (par exemple : réquisition judiciaire, demande de l'administration fiscale).
7. Transferts de données hors Union européenne
En principe, vos données ne quittent pas l'Union européenne. La seule exception concerne :
- Stripe Inc. (États-Unis), qui peut être amené à accéder à certaines données techniques de paiement pour des opérations de sécurité et de lutte contre la fraude. Ces transferts sont encadrés par les clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914) et par le cadre EU-US Data Privacy Framework.
Vous pouvez consulter la politique de confidentialité de Stripe : stripe.com/fr/privacy.
8. Sécurité de vos données
Nous mettons en œuvre des mesures techniques et organisationnelles strictes pour garantir la sécurité de vos données, en particulier :
- Chiffrement en transit : TLS 1.3, certificats à jour, HSTS activé.
- Chiffrement au repos : chiffrement disque AES-256 sur les serveurs hébergeant la base de données.
- Mots de passe : stockés sous forme de condensats cryptographiques (bcrypt cost 12), jamais en clair.
- Authentification : jetons signés cryptographiquement, rotation automatique, possibilité d'activer la double authentification (2FA).
- Sauvegardes : instantanés quotidiens de la base de données, conservés 30 jours, chiffrés au repos.
- Accès interne restreint : seul le personnel strictement habilité accède à la production, sous journalisation systématique des actions.
- Surveillance continue : monitoring des erreurs et incidents en temps réel, alertes 24/7.
Plus de détails sont disponibles dans notre Centre de sécurité (à venir).
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans un délai de 72 heures (article 33 du RGPD) ;
- Vous en informer dans les meilleurs délais lorsque la violation présente un risque élevé pour vos droits (article 34).
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (droit à l'oubli) : faire supprimer vos données, sous réserve des obligations légales de conservation (comptabilité, etc.).
- Droit à la limitation du traitement : demander la suspension temporaire d'un traitement.
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (export JSON ou CSV).
- Droit d'opposition : vous opposer à un traitement fondé sur notre intérêt légitime.
- Droit de retirer votre consentement : à tout moment et avec la même facilité que pour le donner.
- Droit de définir vos directives « post mortem » : instructions sur le sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.
9.1 Comment exercer vos droits
Vous pouvez exercer ces droits :
- Directement depuis votre compte : rubrique Paramètres → Confidentialité (export, suppression, etc.) ;
- Par courrier électronique à : dpo@comptoo.com ;
- Par courrier postal à l'adresse du siège social mentionnée à l'article 2.
Nous nous engageons à répondre à votre demande dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe (article 12.3 RGPD). Une preuve d'identité pourra vous être demandée en cas de doute raisonnable.
10. Protection des mineurs
Comptoo n'est pas destiné aux personnes de moins de 15 ans. La création d'un compte par un mineur requiert le consentement préalable d'un titulaire de l'autorité parentale (article 8 du RGPD, article 45 de la loi Informatique et Libertés).
Dans le cadre d'un espace Famille, un membre invité mineur (par exemple un enfant ou un adolescent) ne peut être ajouté que par un membre majeur titulaire de l'autorité parentale, qui en assume la responsabilité.
11. Cookies et traceurs
Notre usage des cookies et traceurs est décrit en détail dans notre politique de gestion des cookies. Vous pouvez à tout moment exprimer, modifier ou retirer votre consentement.
12. Modifications de la présente politique
Cette politique est susceptible d'évoluer. Toute modification substantielle vous sera notifiée par courrier électronique et/ou via l'application au moins 30 jours avant son entrée en vigueur. La poursuite de votre utilisation du service au-delà vaudra acceptation de la nouvelle version.
La version applicable est toujours la dernière publiée sur cette page. Les versions antérieures peuvent être communiquées sur simple demande à dpo@comptoo.com.
13. Contact et réclamation
Pour toute question relative au traitement de vos données ou pour exercer vos droits :
- Courrier électronique : dpo@comptoo.com
- Courrier postal : [Adresse postale du responsable du traitement]
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — Téléphone : 01 53 73 22 22
www.cnil.fr/plaintes