Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Spendlyze est :
Monsieur Romain Lenoir, Entrepreneur individuel
5 rue Paira, 92190 Meudon, France
SIRET : 919 320 994 00024
Email : contact@spendlyze.com

2. Données collectées

Dans le cadre de l'utilisation de Spendlyze, nous collectons les données suivantes :

Données d'identification : adresse email, prénom, photo de profil (optionnelle), identifiant Google (si connexion via Google).
Données financières : revenus mensuels, dépenses fixes et variables, revenus ponctuels, historique de salaires, comptes d'épargne, projets d'épargne et leurs transactions, tags personnalisés.
Données de gamification : points d'expérience, badges, streaks.
Données de paiement : en cas d'abonnement Premium, les paiements sont traités par Stripe. Nous ne stockons pas vos coordonnées bancaires — seul un identifiant client Stripe est conservé.
Données techniques : adresse IP (journalisée par le serveur), token d'authentification.

3. Finalités et bases légales

Fournir le service de gestion de finances personnelles — base légale : exécution du contrat (article 6.1.b du RGPD).
Gérer votre compte utilisateur et l'authentification — base légale : exécution du contrat.
Gérer l'abonnement Premium et les paiements via Stripe — base légale : exécution du contrat.
Système de gamification (XP, badges, streaks) — base légale : exécution du contrat (fonctionnalité intégrante du service).
Envoyer des alertes de prélèvement par email — base légale : consentement (article 6.1.a).
Assurer la sécurité du service (rate limiting, journalisation) — base légale : intérêt légitime (article 6.1.f).

4. Sous-traitants

Vos données peuvent être partagées avec les sous-traitants suivants, dans le cadre strict du fonctionnement du service :

Microsoft Azure (hébergement, stockage des images) — données stockées au sein de l'UE (région Europe Ouest).
Stripe Inc. (paiement en ligne) — conforme au RGPD, certifié PCI DSS, données traitées au sein de l'UE.
Service d'email transactionnel (envoi des codes de vérification et alertes de prélèvement).

Aucune donnée n'est vendue, louée ou cédée à des tiers. Aucune donnée n'est utilisée à des fins publicitaires ou de profilage marketing. Aucun transfert de données hors de l'Espace économique européen n'est effectué.

5. Durées de conservation

Données du compte et données financières : conservées tant que le compte est actif. Supprimées définitivement et immédiatement lors de la suppression du compte par l'utilisateur.
Codes de vérification email : expiration automatique après 60 secondes, supprimés après utilisation.
Tokens de réinitialisation de mot de passe : expiration automatique après 1 heure.
Refresh tokens : expiration automatique après 7 jours, supprimés à la déconnexion.
Données de paiement Stripe : l'historique des transactions est conservé 10 ans conformément aux obligations comptables françaises (article L.123-22 du Code de commerce).
Comptes inactifs : les comptes sans connexion depuis plus de 3 ans pourront être supprimés après notification par email, conformément aux recommandations de la CNIL.

6. Vos droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (art. 16) : corriger vos données depuis votre profil ou en nous contactant.
Droit à l'effacement (art. 17) : supprimer définitivement votre compte et toutes vos données depuis l'onglet Paramètres de votre profil.
Droit à la portabilité (art. 20) : exporter vos données dans un format structuré (JSON) depuis l'onglet Paramètres de votre profil.
Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes.
Droit à la limitation (art. 18) : demander la limitation du traitement dans les cas prévus par le RGPD.

Pour exercer vos droits, contactez-nous à contact@spendlyze.com. Nous répondrons dans un délai maximum de 30 jours. En cas de doute sur votre identité, nous pourrons vous demander un justificatif.

7. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données, conformément à l'article 32 du RGPD : chiffrement des mots de passe (bcrypt, 10 rounds), communication HTTPS/TLS, authentification par token JWT avec refresh token en cookie httpOnly, limitation du débit des requêtes (rate limiting par IP), validation et assainissement de toutes les entrées utilisateur (Zod), contrôle d'accès strict sur les endpoints API (chaque utilisateur n'accède qu'à ses propres données), en-têtes de sécurité HTTP (HSTS, X-Content-Type-Options, X-Frame-Options), et suppression en cascade des données liées lors de la suppression d'un compte.

8. Cookies

Spendlyze utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service : un cookie httpOnly pour le refresh token d'authentification et le stockage local (localStorage) du thème choisi et du token d'accès. Aucun cookie tiers, publicitaire ou analytique n'est utilisé. Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, ces traceurs nécessaires ne requièrent pas de consentement.

9. Réclamation

Si vous estimez que le traitement de vos données ne respecte pas la réglementation en vigueur, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.