Politique de confidentialité d'Assetli
Dernière mise à jour : 20 juin 2026
Version : 1.1
1. Responsable du traitement des données personnelles
Ondřej Smutný
Numéro d'identification (IČO) : 75343533
Siège : Družstevní 511, 294 41 Dobrovice, République tchèque
E-mail : info@assetli.app
Web : https://assetli.app
Compte tenu de l'étendue du traitement, aucun délégué à la protection des données (DPO) n'est désigné. Pour toute question relative à la protection des données personnelles, veuillez contacter info@assetli.app.
2. Quelles données nous traitons
2.1 Données d'inscription et de profil
- Nom et prénom
- Adresse e-mail
- Mot de passe haché (bcrypt, SALT_ROUNDS=12 — nous ne stockons jamais le mot de passe sous forme lisible)
- Date d'inscription, préférence linguistique
- Facultatif : numéro de téléphone, date de naissance
- Configuration 2FA (graine TOTP, codes de secours hachés)
2.2 Données financières
Il s'agit des données les plus sensibles que nous traitons :
Comptes bancaires : nom, type (courant, épargne, investissement, carte de crédit, prêt, espèces), devise, solde, état (actif/archivé).
Transactions : date, montant, libellé/bénéficiaire, catégorie, étiquettes, type (revenu/dépense/virement), notes. Lors de l'import depuis un fichier CSV/PDF, les fichiers sont traités par le serveur — les données extraites sont enregistrées dans la base de données, les fichiers d'origine ne sont pas conservés de manière permanente.
Budgets : nom, catégorie, limites, période, état d'utilisation.
Enveloppes d'épargne : nom, montant cible, état actuel, historique des contributions.
Abonnements : nom du service, montant, fréquence, catégorie, date de renouvellement.
2.3 Données d'investissement
Actions et ETF : comptes de courtage, transactions (date, symbole, quantité, prix, frais), dividendes (montant, retenue à la source, date ex-dividende, date de paiement), cours en temps réel (provenant de fournisseurs externes de données de marché, notamment Yahoo Finance).
Cryptomonnaies : comptes d'échange, transactions (12+ types incluant achat, vente, swap, staking), positions détenues, cours en temps réel (depuis CoinMarketCap/CoinGecko).
Investissements alternatifs : prêts P2P, financement participatif, matières premières, produits de retraite — valeur d'origine, valeur actuelle, rendements, événements.
2.4 Données patrimoniales
Biens immobiliers : type, usage, adresse, surface, prix d'acquisition, valeur actuelle, revenus locatifs, dépenses, relevés d'énergie (électricité, gaz, eau), appareils avec puissance, panneaux photovoltaïques avec production.
Véhicules : type, marque, modèle, année, plaque d'immatriculation, VIN, kilométrage, coûts (carburant, assurance, entretien), événements d'entretien, valorisation.
Objets de valeur : catégorie (16 types), prix d'acquisition, valeur actuelle, dépréciation, garantie, état.
Prêts hypothécaires et crédits : capital, taux d'intérêt, échéances, lien avec un bien immobilier.
2.5 Données de partage de dépenses (Bill Splitting)
Nom du groupe, membres (nom, e-mail facultatif), dépenses partagées, règlements, commentaires, journal d'activité. Lors du partage d'un groupe via un lien public, les données peuvent être consultées par des personnes n'ayant pas de compte Assetli.
2.6 Données Family Legacy
Contacts de personnes de confiance (nom, e-mail, lien de parenté), conditions d'accès, notes chiffrées (AES-256-GCM), journal des accès. Les notes destinées aux héritiers sont chiffrées au niveau de la base de données — même l'Exploitant n'y a pas accès sous forme lisible.
2.7 Données de paiement
Les paiements sont traités exclusivement par Stripe, Inc. Sur les serveurs d'Assetli, nous ne stockons que : l'identifiant Stripe Customer ID, les 4 derniers chiffres de la carte, le type de carte, la date d'expiration. Nous ne stockons jamais les numéros de carte, les codes CVV ni les coordonnées de paiement complètes.
2.8 Données techniques et analytiques
- Adresses IP et géolocalisation approximative
- Type de navigateur et d'appareil (User-Agent)
- Horodatage de connexion
- Journaux d'erreurs et de performance de l'application
2.9 Conversations avec l'IA
Les conversations avec l'assistant IA sont enregistrées dans la base de données sous le compte de l'Utilisateur. Le contenu des conversations est envoyé au fournisseur d'IA (Anthropic, OpenAI ou Google Gemini selon le choix de l'Utilisateur) pour générer les réponses. L'Utilisateur peut supprimer ses conversations à tout moment.
2.10 Fichiers téléversés
Les documents, reçus et photographies téléversés dans le Gestionnaire de fichiers sont stockés sur Cloudflare R2. Les fichiers sont rattachés au compte de l'Utilisateur et accessibles uniquement via une API authentifiée. Les fichiers sont définitivement supprimés lors de la suppression du compte.
3. Cookies et technologies de suivi
3.1 Aperçu des cookies
| Cookie | Fournisseur | Finalité | Type | Durée de validité |
|---|---|---|---|---|
authjs.session-token |
Assetli | Authentification de l'utilisateur connecté | Essentiel | 30 jours |
authjs.csrf-token |
Assetli | Protection contre les attaques CSRF | Essentiel | Session |
authjs.callback-url |
Assetli | Redirection après connexion | Essentiel | Session |
lang |
Assetli | Préférence linguistique | Fonctionnel | 1 an |
cookiehub |
CookieHub | Enregistrement du choix de consentement aux cookies | Essentiel | 1 an |
_ga, _ga_* |
Google Analytics | Analyse anonymisée de la fréquentation | Analytique | 2 ans |
_clck, _clsk |
Microsoft Clarity | Analyse du comportement des utilisateurs (cartes de chaleur) | Analytique | 1 an / Session |
3.2 Catégories de cookies
Cookies essentiels — nécessaires au fonctionnement de l'application (connexion, sécurité). Ils ne peuvent pas être refusés.
Cookies analytiques — nous aident à comprendre comment les utilisateurs utilisent l'application. Ils ne sont activés qu'avec votre consentement. Vous pouvez les refuser à tout moment dans les paramètres de la bannière de cookies.
3.3 Gestion des cookies
Nous gérons le consentement aux cookies analytiques au moyen de la plateforme CookieHub. Les scripts analytiques (Google Analytics, Microsoft Clarity) ne sont chargés qu'après l'octroi du consentement. Vous pouvez gérer les cookies :
- Au moyen de la bannière de cookies (CookieHub) lors de la première visite et à tout moment par la suite
- Dans les paramètres du navigateur
- En supprimant les cookies dans le navigateur
4. Finalités du traitement et base juridique
| Finalité du traitement | Base juridique (RGPD) | Données traitées |
|---|---|---|
| Fourniture du Service (comptes, transactions, budgets) | Exécution du contrat (art. 6, par. 1, point b) | Données d'inscription, financières, d'investissement, patrimoniales |
| Catégorisation des transactions par l'IA | Exécution du contrat (art. 6, par. 1, point b) | Libellés des transactions (description, montant) |
| Assistant de chat IA | Exécution du contrat (art. 6, par. 1, point b) | Conversations, instantané financier |
| Traitement des paiements | Exécution du contrat (art. 6, par. 1, point b) | Données de paiement (via Stripe) |
| Sécurité du compte (2FA, limitation de débit, protection contre les attaques par force brute) | Intérêt légitime (art. 6, par. 1, point f) | Adresses IP, journaux de connexion |
| Notifications par e-mail (budgets, abonnements, sécurité) | Consentement (art. 6, par. 1, point a) | Adresse e-mail |
| Analyse et amélioration du service | Intérêt légitime (art. 6, par. 1, point f) | Données analytiques anonymisées |
| Obligations légales (registres fiscaux) | Obligation légale (art. 6, par. 1, point c) | Registres de paiement |
5. Destinataires des données personnelles (sous-traitants)
5.1 Aperçu des sous-traitants
| Sous-traitant | Finalité | Localisation des données | Transfert hors UE |
|---|---|---|---|
| MongoDB Atlas (MongoDB, Inc.) | Base de données | UE (Francfort, AWS eu-central-1) | Non |
| Cloudflare, Inc. | Fichiers (R2), CDN, protection | Mondial | Oui — clauses contractuelles types (CCT) |
| Vercel, Inc. | Hébergement de l'application, fichiers temporaires (Vercel Blob) | Mondial | Oui — clauses contractuelles types (CCT) |
| Stripe, Inc. | Traitement des paiements | UE | Non (principalement) |
| Resend, Inc. | Envoi d'e-mails | États-Unis | Oui — clauses contractuelles types (CCT) |
| Anthropic, PBC | Catégorisation par l'IA, chat IA | États-Unis | Oui — clauses contractuelles types (CCT) |
| Google LLC | Google Analytics, Google OAuth | États-Unis | Oui — clauses contractuelles types (CCT) |
| Microsoft Corp. | Clarity (analytique) | États-Unis | Oui — clauses contractuelles types (CCT) |
| CookieHub ehf. | Gestion du consentement aux cookies (bannière de cookies) | UE/EEE (Islande) | Non |
5.2 Ce que nous partageons avec les fournisseurs d'IA
Lors de la catégorisation par l'IA : les libellés des transactions (description, montant, date). Lors du chat IA : la conversation et un instantané financier (données agrégées sur les comptes, investissements, budgets). Nous ne partageons jamais d'identifiants de connexion, de mots de passe ni d'informations de paiement.
L'Utilisateur peut saisir dans les paramètres sa propre clé API pour Anthropic, OpenAI ou Google Gemini — dans ce cas, les données sont envoyées directement au fournisseur sans majoration de la part d'Assetli.
5.3 Données de marché
Cours en temps réel : fournisseurs externes de données de marché, notamment Yahoo Finance (actions et ETF), CoinMarketCap/CoinGecko (crypto), frankfurter.app — fondé sur les taux de référence de la Banque centrale européenne (taux de change). Nous n'envoyons aucune donnée personnelle à ces fournisseurs — uniquement des requêtes générales sur les données de marché (symbole boursier, code de devise).
5.4 Wallet by BudgetBakers
Lors de la synchronisation via WBB, les transactions sont transférées de WBB vers Assetli. WBB est un responsable de données indépendant disposant de sa propre licence d'accès aux données bancaires via l'Open Banking. Les conditions de traitement des données sont régies par les conditions de BudgetBakers s.r.o.
5.5 Déclaration de non-vente des données
Nous ne vendons, ne partageons ni ne fournissons jamais vos données personnelles et financières à des tiers à des fins de marketing, de publicité ou commerciales.
6. Transfert de données hors UE
Certains traitements impliquent un transfert de données vers les États-Unis (Anthropic, Resend, Cloudflare, Vercel, Google, Microsoft). Pour ces transferts, nous utilisons les clauses contractuelles types (CCT) approuvées par la Commission européenne conformément à l'art. 46, par. 2, point c du RGPD. Une copie des CCT est disponible sur demande.
7. Conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données d'inscription | Pendant toute la durée d'existence du compte |
| Données financières (transactions, comptes, investissements) | Pendant toute la durée d'existence du compte |
| Conversations avec l'IA | Pendant toute la durée d'existence du compte (l'utilisateur peut les supprimer à tout moment) |
| Fichiers téléversés | Pendant toute la durée d'existence du compte |
| Registres de paiement | 5 ans après l'exécution du paiement (réglementation fiscale de la République tchèque) |
| Après la suppression du compte — données personnelles | Supprimées dans un délai de 30 jours |
| Après la suppression du compte — données financières anonymisées | Peuvent être conservées jusqu'à 5 ans (obligations légales) |
| Compte inactif (généralement 12+ mois sans connexion) | L'Exploitant se réserve le droit de supprimer le compte après notification préalable par e-mail (avec un délai pour se connecter) |
| Fichiers importés (CSV/PDF) | Traités et supprimés — non conservés de manière permanente |
| Journaux de connexion et d'erreurs | 12 mois |
8. Décision automatisée et profilage
8.1 Catégorisation des transactions par l'IA
Assetli utilise les modèles d'IA Claude (Anthropic) pour catégoriser automatiquement les transactions sur la base de leur libellé. Ce traitement n'a pas de conséquences juridiques directes pour l'Utilisateur, peut être corrigé manuellement à tout moment et est transparent — l'Utilisateur voit la catégorie attribuée.
8.2 Score financier (0–850)
Assetli calcule automatiquement un score de santé financière fondé sur 7 composantes. Ce score est purement informatif, n'affecte pas l'accès aux crédits ni à d'autres produits financiers et n'est pas partagé avec des tiers.
8.3 Prédictions et analyses
Les prédictions de flux de trésorerie, l'analyse du « latte factor », le contrôle de l'inflation du mode de vie et les autres fonctions analytiques sont des calculs automatisés à caractère purement informatif.
8.4 Droit à un réexamen humain
Conformément à l'art. 22 du RGPD, l'Utilisateur a le droit d'obtenir un réexamen humain de tout résultat automatisé. Veuillez contacter info@assetli.app.
9. Vos droits (RGPD art. 15 à 22)
| Droit | Comment l'exercer |
|---|---|
| Droit d'accès (art. 15) | Paramètres → Export de données (export RGPD au format JSON) |
| Droit de rectification (art. 16) | En modifiant les données dans les paramètres du compte |
| Droit à l'effacement (art. 17) | Paramètres → Danger Zone → Supprimer le compte |
| Droit à la portabilité (art. 20) | Paramètres → Export de données (export RGPD complet au format JSON) |
| Droit à la limitation du traitement (art. 18) | Contactez info@assetli.app |
| Droit d'opposition (art. 21) | Paramètres → Confidentialité, ou info@assetli.app |
| Droit de retirer son consentement | Paramètres → Notifications, bannière de cookies |
Délai de réponse : 30 jours. En cas de demandes complexes, ce délai peut être prolongé de 60 jours supplémentaires moyennant notification.
Autorité de contrôle : Autorité tchèque de protection des données (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz
10. Protection des enfants
Le Service n'est pas destiné aux enfants de moins de 15 ans (conformément à l'art. 7 de la loi n° 110/2019 Coll.). Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 15 ans. Si nous constatons que nous avons collecté des données auprès d'une personne de moins de 15 ans sans le consentement de son représentant légal, nous supprimerons ces données sans délai.
11. Sécurité
11.1 Mesures techniques
- Connexions chiffrées (HTTPS/TLS)
- Hachage des mots de passe (bcrypt, SALT_ROUNDS=12)
- Authentification à deux facteurs (TOTP)
- Protection contre les attaques par force brute avec verrouillage automatique du compte
- Protection des formulaires par reCAPTCHA v3
- Chiffrement des données sensibles : notes Family Legacy (AES-256-GCM), clés API (hachage SHA-256)
- Base de données hébergée dans l'UE (MongoDB Atlas, Francfort, AWS eu-central-1)
11.2 Notification des violations de sécurité
Conformément aux art. 33 et 34 du RGPD, nous notifierons toute violation de sécurité à l'autorité de contrôle (ÚOOÚ) dans un délai de 72 heures suivant sa découverte. Nous informerons les utilisateurs concernés sans retard injustifié si la violation présente un risque élevé.
11.3 Avertissement
Bien que nous mettions en œuvre des mesures appropriées, aucune méthode de transmission ou de stockage de données n'est sûre à 100 %. Si vous constatez un accès non autorisé à votre compte, contactez-nous sans délai à info@assetli.app.
11.4 Signalement de vulnérabilités
Si vous découvrez une vulnérabilité de sécurité, contactez info@assetli.app. Nous apprécions le signalement responsable des vulnérabilités et n'engagerons aucune poursuite judiciaire à l'encontre des personnes qui signalent des vulnérabilités de bonne foi.
12. Droits des utilisateurs hors UE
12.1 Royaume-Uni (UK GDPR)
Le traitement des données des utilisateurs du Royaume-Uni est régi par le UK GDPR et le Data Protection Act 2018. Vos droits sont analogues à ceux prévus par le RGPD de l'UE. Autorité de contrôle : Information Commissioner's Office (ICO), www.ico.org.uk.
12.2 Californie (CCPA/CPRA)
Si vous êtes résident de Californie, vous disposez de droits au titre du CCPA/CPRA :
- Droit d'être informé des données collectées
- Droit à la suppression des données personnelles
- Droit de rectification des données inexactes
- Droit de refuser la vente/le partage — nous ne vendons ni ne partageons vos données à des fins publicitaires
- Droit à la non-discrimination
Contactez info@assetli.app. Nous répondrons dans un délai de 45 jours.
12.3 Autres États des États-Unis
Les résidents du Colorado, du Connecticut, de la Virginie et d'autres États dotés de lois sur la confidentialité peuvent disposer de droits analogues. Contactez info@assetli.app.
13. Agrégation et anonymisation
Nous nous réservons le droit de créer des données agrégées et anonymisées aux fins d'améliorer le Service et d'entraîner les modèles d'IA. Les données agrégées ne doivent pas permettre l'identification d'un Utilisateur individuel et ne sont pas soumises au RGPD.
14. Modifications de la présente politique
- Modifications mineures : annoncées sur le site web
- Modifications substantielles : annoncées par e-mail au moins 30 jours à l'avance
- En cas de modifications nécessitant un consentement, nous solliciterons un nouveau consentement actif
- Les versions antérieures sont archivées et disponibles sur demande
15. Contact
Ondřej Smutný
E-mail : info@assetli.app
Web : https://assetli.app
Adresse : Družstevní 511, 294 41 Dobrovice, République tchèque
Date d'entrée en vigueur : 20 juin 2026
© 2026 Assetli. Tous droits réservés.