Vos données, votre budget
Politique de confidentialité
Dernière mise à jour :
BudgetZen est une application de gestion de budget personnel. Vos données financières sont parmi les plus intimes qui soient : nous les traitons avec le sérieux qu'elles méritent. Ce document explique, en langage clair, ce que nous collectons, pourquoi, comment nous le protégeons, et quels sont vos droits.
En résumé : BudgetZen n'utilise aucun cookie publicitaire, aucun tracker publicitaire tiers, ne partage jamais vos données avec des annonceurs, et chiffre vos informations sensibles en base avec une clé qui n'est jamais transmise. Vous restez propriétaire de vos données et pouvez les exporter ou les supprimer à tout moment.
1. Responsable du traitement
Le responsable du traitement des données est :
- Nom / Raison sociale : Steve Leroy
- Statut : Entreprise individuelle
- Adresse : 55 Allée Ferdinand Buisson, 33127 Saint-Jean-d'Illac
- SIREN : 519228019
- Email de contact : info@budgetzen.fr
2. Données que nous collectons
2.1 Données que vous nous confiez
Lors de votre inscription et de votre utilisation de BudgetZen, vous nous transmettez :
- Adresse email — pour créer et sécuriser votre compte, envoyer les emails transactionnels (confirmation, réinitialisation de mot de passe) et vous joindre au sujet du service.
- Mot de passe — jamais stocké en clair. Nous conservons uniquement une empreinte cryptographique irréversible (bcrypt, coût 12).
- Transactions budgétaires — montants, dates, libellés (optionnels), catégories, sources et distinctions fixe / facultatif que vous saisissez manuellement.
- Catégories personnalisées et règles de récurrence que vous créez.
- Préférences d'affichage — cartes épinglées, ordre des statistiques, activation du conseil IA, etc.
Important : BudgetZen ne se connecte à aucun compte bancaire. Aucune donnée bancaire (numéro de compte, IBAN, RIB, opérations bancaires réelles) ne transite ni n'est stockée par nos soins. Toute saisie de transaction est manuelle.
2.2 Données de facturation
Si vous souscrivez à un abonnement, le paiement est traité intégralement par Stripe Payments Europe, Ltd. BudgetZen ne voit jamais votre numéro de carte bancaire, ni votre cryptogramme. Nous conservons uniquement l'identifiant Stripe de votre abonnement, les dates de début, de fin et de renouvellement, et un historique de facturation.
2.3 Données techniques
- Adresse IP — utilisée temporairement pour prévenir les attaques par force brute (limitation à 5 tentatives par 10 minutes sur les formulaires de connexion, d'inscription et de réinitialisation).
- Logs serveur — journaux techniques d'accès générés par notre hébergeur, conservés à des fins de sécurité et de diagnostic.
- Cookies fonctionnels — voir la section 8.
Mesure d'audience : nous utilisons Google Analytics pour connaître la fréquentation de notre site vitrine (pages consultées, provenance, durée de visite). Ces données ne sont jamais utilisées à des fins publicitaires ni croisées avec un profil publicitaire.
Ce que nous ne collectons pas : aucun profil publicitaire comportemental. Pas de Meta Pixel, pas de fingerprinting, pas de partage avec des régies publicitaires.
3. Pourquoi nous traitons ces données (finalités et bases légales)
| Finalité | Données concernées | Base légale (RGPD) |
|---|---|---|
| Fournir le service de gestion budgétaire | Email, mot de passe, transactions, catégories, préférences | Exécution du contrat (art. 6.1.b) |
| Envoyer les emails transactionnels (confirmation, réinitialisation) | Exécution du contrat (art. 6.1.b) | |
| Facturer et gérer votre abonnement | Email, données Stripe, historique de facturation | Exécution du contrat + obligation légale comptable (art. 6.1.b et 6.1.c) |
| Générer un conseil budgétaire personnalisé par IA (fonctionnalité désactivée par défaut) | Total mensuel de vos revenus (montant unique, sans aucun détail) ; détail de vos dépenses du mois courant et du mois précédent (date, catégorie, montant). Les libellés des dépenses ne sont transmis que si vous activez également l'option dédiée. | Consentement (art. 6.1.a) — activable et désactivable à tout moment dans les Réglages |
| Mesurer la fréquentation du site vitrine (Google Analytics) | Adresse IP, pages consultées, provenance, appareil | Intérêt légitime (art. 6.1.f) |
| Sécuriser le service (rate-limiting, protection CSRF, prévention des abus) | Adresse IP, jetons de session | Intérêt légitime (art. 6.1.f) |
| Respecter nos obligations légales (facturation, réquisitions judiciaires) | Données de facturation, logs | Obligation légale (art. 6.1.c) |
4. Qui a accès à vos données (sous-traitants)
Vos données ne sont ni vendues, ni louées, ni partagées à des fins commerciales. Seuls les prestataires suivants, strictement nécessaires au fonctionnement du service, peuvent techniquement héberger ou traiter certaines données pour notre compte.
| Sous-traitant | Rôle | Données concernées | Localisation |
|---|---|---|---|
| Hostinger International Ltd. | Hébergement du site, de l'application et de la base de données ; envoi des emails SMTP | Ensemble des données de compte et transactions | Union européenne (Lituanie / Pays-Bas) |
| Google Ireland Limited (Google Analytics) | Mesure d'audience du site vitrine | Adresse IP, pages consultées, provenance, type d'appareil | Irlande (siège UE) — transferts possibles vers les États-Unis encadrés par les Clauses Contractuelles Types de la Commission européenne |
| Stripe Payments Europe, Ltd. | Traitement des paiements et gestion des abonnements | Email, données de carte bancaire (traitées directement par Stripe, jamais par nous), historique de facturation | Irlande (siège UE) — transferts possibles vers les États-Unis encadrés par les Clauses Contractuelles Types de la Commission européenne |
| Anthropic, PBC (uniquement si vous activez le Conseil IA, désactivé par défaut) | Génération du conseil budgétaire mensuel via le modèle Claude Haiku |
Le contenu transmis est strictement encadré :
|
États-Unis — transferts encadrés par les Clauses Contractuelles Types de la Commission européenne. Anthropic s'engage contractuellement, dans le cadre de son API commerciale, à ne pas utiliser les données transmises pour entraîner ses modèles. |
5. Combien de temps nous conservons vos données
- Compte actif : vos données sont conservées tant que votre compte reste actif.
- Compte inactif : après 24 mois sans connexion, nous vous adressons un email vous proposant de conserver votre compte. Sans réponse dans les 30 jours, le compte et ses données sont supprimés.
- Suppression volontaire : vous pouvez supprimer votre compte à tout moment depuis les Réglages. Vos données (transactions, catégories, compte) sont effacées immédiatement de notre base de production. Une copie peut subsister jusqu'à 30 jours dans les sauvegardes techniques de notre hébergeur, purgées automatiquement à l'expiration de ce délai.
- Données de facturation : conservées 10 ans conformément à l'article L.123-22 du Code de commerce.
- Jetons temporaires (confirmation d'email, réinitialisation, remember-me) : purgés automatiquement à leur expiration (respectivement 24 h, 1 h, 30 j).
- Logs de rate-limiting : purgés régulièrement par tâche planifiée (quelques jours maximum).
6. Comment nous protégeons vos données
La sécurité est une exigence intégrée au cœur de l'application, pas une couche ajoutée après coup.
- Chiffrement au repos : les données sensibles (dont votre adresse email) sont chiffrées en base avec l'algorithme AES-256-GCM. La clé maîtresse est stockée hors du code source et hors de la base de données.
- Recherche déterministe protégée : les index de recherche (recherche par email) utilisent un HMAC-SHA256 avec un secret dédié (« pepper »), rendant impossible la reconstruction de l'email à partir de la base seule.
- Mots de passe : jamais stockés en clair. Empreinte bcrypt avec coût 12.
- Chiffrement en transit : l'intégralité du trafic est protégée par HTTPS (TLS).
- Protection CSRF sur l'ensemble des formulaires.
- Rate-limiting sur les points d'entrée sensibles (connexion, inscription, réinitialisation).
- Requêtes préparées systématiques (PDO) contre les injections SQL.
- Cookies de session avec attributs
HttpOnly,SecureetSameSite. - Vérification obligatoire de l'email à l'inscription avant tout accès à l'application.
Aucun système n'est infaillible. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL sous 72 heures et à vous en informer sans délai injustifié, conformément aux articles 33 et 34 du RGPD.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir une copie des données que nous détenons sur vous.
- Droit de rectification — corriger des données inexactes.
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de votre compte et de vos données.
- Droit à la portabilité — récupérer vos transactions dans un format structuré. L'export CSV est disponible directement dans l'onglet Archives de l'application.
- Droit d'opposition — vous opposer à un traitement fondé sur notre intérêt légitime.
- Droit à la limitation — demander la suspension temporaire du traitement.
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent (Conseil IA notamment), sans que cela remette en cause la licéité des traitements antérieurs.
- Droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, écrivez-nous à info@budgetzen.fr en précisant votre demande. Nous vous répondrons dans un délai maximal d'un mois, pouvant être prolongé de deux mois pour les demandes complexes.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr/fr/plaintes.
8. Cookies et traceurs
BudgetZen n'utilise aucun cookie publicitaire, aucun tracker de réseau social. Notre site vitrine utilise Google Analytics à des fins de mesure d'audience (voir ci-dessous).
Les cookies techniques suivants, strictement nécessaires au fonctionnement du service, sont dispensés de consentement au titre de l'article 82 de la loi Informatique et Libertés :
| Cookie | Finalité | Durée |
|---|---|---|
PHPSESSID |
Maintenir votre session connectée pendant votre visite | Session (supprimé à la fermeture du navigateur) |
remember_me |
Vous éviter de vous reconnecter à chaque visite (uniquement si vous cochez « Se souvenir de moi ») | 30 jours |
csrf_token |
Prévenir les attaques de type CSRF sur les formulaires | Session |
Sur le site vitrine, Google Analytics dépose également les cookies de mesure d'audience suivants :
| Cookie | Finalité | Durée |
|---|---|---|
_ga |
Distinguer les visiteurs du site vitrine (Google Analytics) | 13 mois |
_ga_* |
Maintenir l'état de la session de mesure d'audience (Google Analytics) | 13 mois |
Vous pouvez configurer votre navigateur pour refuser ces cookies. Le refus des cookies
Google Analytics n'a aucun impact sur le fonctionnement de BudgetZen ; en revanche, le
refus des cookies techniques (PHPSESSID, csrf_token) vous
empêchera de rester connecté à l'application.
9. Mineurs
BudgetZen n'est pas destiné aux personnes de moins de 15 ans. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans sans le consentement du titulaire de l'autorité parentale. Si vous êtes un parent ou tuteur et pensez que votre enfant nous a communiqué des données, contactez-nous : nous les supprimerons.
10. Modifications de cette politique
Cette politique peut évoluer pour refléter des changements de fonctionnalités, de sous-traitants ou de législation. En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant la mise en application. La date figurant en tête de ce document indique la dernière révision.
11. Contact
Pour toute question relative à cette politique ou au traitement de vos données : info@budgetzen.fr.