Aller au contenu principal
Confidentialité

Politique de confidentialité | Assetli

Politique de confidentialité pour Assetli - Comment nous traitons vos données conformément au RGPD

Politique de confidentialité d'Assetli

Dernière mise à jour : 20 juin 2026
Version : 1.1


1. Responsable du traitement des données personnelles

Ondřej Smutný
Numéro d'identification (IČO) : 75343533
Siège : Družstevní 511, 294 41 Dobrovice, République tchèque
E-mail : info@assetli.app
Web : https://assetli.app

Compte tenu de l'étendue du traitement, aucun délégué à la protection des données (DPO) n'est désigné. Pour toute question relative à la protection des données personnelles, veuillez contacter info@assetli.app.


2. Quelles données nous traitons

2.1 Données d'inscription et de profil

  • Nom et prénom
  • Adresse e-mail
  • Mot de passe haché (bcrypt, SALT_ROUNDS=12 — nous ne stockons jamais le mot de passe sous forme lisible)
  • Date d'inscription, préférence linguistique
  • Facultatif : numéro de téléphone, date de naissance
  • Configuration 2FA (graine TOTP, codes de secours hachés)

2.2 Données financières

Il s'agit des données les plus sensibles que nous traitons :

Comptes bancaires : nom, type (courant, épargne, investissement, carte de crédit, prêt, espèces), devise, solde, état (actif/archivé).

Transactions : date, montant, libellé/bénéficiaire, catégorie, étiquettes, type (revenu/dépense/virement), notes. Lors de l'import depuis un fichier CSV/PDF, les fichiers sont traités par le serveur — les données extraites sont enregistrées dans la base de données, les fichiers d'origine ne sont pas conservés de manière permanente.

Budgets : nom, catégorie, limites, période, état d'utilisation.

Enveloppes d'épargne : nom, montant cible, état actuel, historique des contributions.

Abonnements : nom du service, montant, fréquence, catégorie, date de renouvellement.

2.3 Données d'investissement

Actions et ETF : comptes de courtage, transactions (date, symbole, quantité, prix, frais), dividendes (montant, retenue à la source, date ex-dividende, date de paiement), cours en temps réel (provenant de fournisseurs externes de données de marché, notamment Yahoo Finance).

Cryptomonnaies : comptes d'échange, transactions (12+ types incluant achat, vente, swap, staking), positions détenues, cours en temps réel (depuis CoinMarketCap/CoinGecko).

Investissements alternatifs : prêts P2P, financement participatif, matières premières, produits de retraite — valeur d'origine, valeur actuelle, rendements, événements.

2.4 Données patrimoniales

Biens immobiliers : type, usage, adresse, surface, prix d'acquisition, valeur actuelle, revenus locatifs, dépenses, relevés d'énergie (électricité, gaz, eau), appareils avec puissance, panneaux photovoltaïques avec production.

Véhicules : type, marque, modèle, année, plaque d'immatriculation, VIN, kilométrage, coûts (carburant, assurance, entretien), événements d'entretien, valorisation.

Objets de valeur : catégorie (16 types), prix d'acquisition, valeur actuelle, dépréciation, garantie, état.

Prêts hypothécaires et crédits : capital, taux d'intérêt, échéances, lien avec un bien immobilier.

2.5 Données de partage de dépenses (Bill Splitting)

Nom du groupe, membres (nom, e-mail facultatif), dépenses partagées, règlements, commentaires, journal d'activité. Lors du partage d'un groupe via un lien public, les données peuvent être consultées par des personnes n'ayant pas de compte Assetli.

2.6 Données Family Legacy

Contacts de personnes de confiance (nom, e-mail, lien de parenté), conditions d'accès, notes chiffrées (AES-256-GCM), journal des accès. Les notes destinées aux héritiers sont chiffrées au niveau de la base de données — même l'Exploitant n'y a pas accès sous forme lisible.

2.7 Données de paiement

Les paiements sont traités exclusivement par Stripe, Inc. Sur les serveurs d'Assetli, nous ne stockons que : l'identifiant Stripe Customer ID, les 4 derniers chiffres de la carte, le type de carte, la date d'expiration. Nous ne stockons jamais les numéros de carte, les codes CVV ni les coordonnées de paiement complètes.

2.8 Données techniques et analytiques

  • Adresses IP et géolocalisation approximative
  • Type de navigateur et d'appareil (User-Agent)
  • Horodatage de connexion
  • Journaux d'erreurs et de performance de l'application

2.9 Conversations avec l'IA

Les conversations avec l'assistant IA sont enregistrées dans la base de données sous le compte de l'Utilisateur. Le contenu des conversations est envoyé au fournisseur d'IA (Anthropic, OpenAI ou Google Gemini selon le choix de l'Utilisateur) pour générer les réponses. L'Utilisateur peut supprimer ses conversations à tout moment.

2.10 Fichiers téléversés

Les documents, reçus et photographies téléversés dans le Gestionnaire de fichiers sont stockés sur Cloudflare R2. Les fichiers sont rattachés au compte de l'Utilisateur et accessibles uniquement via une API authentifiée. Les fichiers sont définitivement supprimés lors de la suppression du compte.


3. Cookies et technologies de suivi

3.1 Aperçu des cookies

Cookie Fournisseur Finalité Type Durée de validité
authjs.session-token Assetli Authentification de l'utilisateur connecté Essentiel 30 jours
authjs.csrf-token Assetli Protection contre les attaques CSRF Essentiel Session
authjs.callback-url Assetli Redirection après connexion Essentiel Session
lang Assetli Préférence linguistique Fonctionnel 1 an
cookiehub CookieHub Enregistrement du choix de consentement aux cookies Essentiel 1 an
_ga, _ga_* Google Analytics Analyse anonymisée de la fréquentation Analytique 2 ans
_clck, _clsk Microsoft Clarity Analyse du comportement des utilisateurs (cartes de chaleur) Analytique 1 an / Session

3.2 Catégories de cookies

Cookies essentiels — nécessaires au fonctionnement de l'application (connexion, sécurité). Ils ne peuvent pas être refusés.

Cookies analytiques — nous aident à comprendre comment les utilisateurs utilisent l'application. Ils ne sont activés qu'avec votre consentement. Vous pouvez les refuser à tout moment dans les paramètres de la bannière de cookies.

3.3 Gestion des cookies

Nous gérons le consentement aux cookies analytiques au moyen de la plateforme CookieHub. Les scripts analytiques (Google Analytics, Microsoft Clarity) ne sont chargés qu'après l'octroi du consentement. Vous pouvez gérer les cookies :

  • Au moyen de la bannière de cookies (CookieHub) lors de la première visite et à tout moment par la suite
  • Dans les paramètres du navigateur
  • En supprimant les cookies dans le navigateur

4. Finalités du traitement et base juridique

Finalité du traitement Base juridique (RGPD) Données traitées
Fourniture du Service (comptes, transactions, budgets) Exécution du contrat (art. 6, par. 1, point b) Données d'inscription, financières, d'investissement, patrimoniales
Catégorisation des transactions par l'IA Exécution du contrat (art. 6, par. 1, point b) Libellés des transactions (description, montant)
Assistant de chat IA Exécution du contrat (art. 6, par. 1, point b) Conversations, instantané financier
Traitement des paiements Exécution du contrat (art. 6, par. 1, point b) Données de paiement (via Stripe)
Sécurité du compte (2FA, limitation de débit, protection contre les attaques par force brute) Intérêt légitime (art. 6, par. 1, point f) Adresses IP, journaux de connexion
Notifications par e-mail (budgets, abonnements, sécurité) Consentement (art. 6, par. 1, point a) Adresse e-mail
Analyse et amélioration du service Intérêt légitime (art. 6, par. 1, point f) Données analytiques anonymisées
Obligations légales (registres fiscaux) Obligation légale (art. 6, par. 1, point c) Registres de paiement

5. Destinataires des données personnelles (sous-traitants)

5.1 Aperçu des sous-traitants

Sous-traitant Finalité Localisation des données Transfert hors UE
MongoDB Atlas (MongoDB, Inc.) Base de données UE (Francfort, AWS eu-central-1) Non
Cloudflare, Inc. Fichiers (R2), CDN, protection Mondial Oui — clauses contractuelles types (CCT)
Vercel, Inc. Hébergement de l'application, fichiers temporaires (Vercel Blob) Mondial Oui — clauses contractuelles types (CCT)
Stripe, Inc. Traitement des paiements UE Non (principalement)
Resend, Inc. Envoi d'e-mails États-Unis Oui — clauses contractuelles types (CCT)
Anthropic, PBC Catégorisation par l'IA, chat IA États-Unis Oui — clauses contractuelles types (CCT)
Google LLC Google Analytics, Google OAuth États-Unis Oui — clauses contractuelles types (CCT)
Microsoft Corp. Clarity (analytique) États-Unis Oui — clauses contractuelles types (CCT)
CookieHub ehf. Gestion du consentement aux cookies (bannière de cookies) UE/EEE (Islande) Non

5.2 Ce que nous partageons avec les fournisseurs d'IA

Lors de la catégorisation par l'IA : les libellés des transactions (description, montant, date). Lors du chat IA : la conversation et un instantané financier (données agrégées sur les comptes, investissements, budgets). Nous ne partageons jamais d'identifiants de connexion, de mots de passe ni d'informations de paiement.

L'Utilisateur peut saisir dans les paramètres sa propre clé API pour Anthropic, OpenAI ou Google Gemini — dans ce cas, les données sont envoyées directement au fournisseur sans majoration de la part d'Assetli.

5.3 Données de marché

Cours en temps réel : fournisseurs externes de données de marché, notamment Yahoo Finance (actions et ETF), CoinMarketCap/CoinGecko (crypto), frankfurter.app — fondé sur les taux de référence de la Banque centrale européenne (taux de change). Nous n'envoyons aucune donnée personnelle à ces fournisseurs — uniquement des requêtes générales sur les données de marché (symbole boursier, code de devise).

5.4 Wallet by BudgetBakers

Lors de la synchronisation via WBB, les transactions sont transférées de WBB vers Assetli. WBB est un responsable de données indépendant disposant de sa propre licence d'accès aux données bancaires via l'Open Banking. Les conditions de traitement des données sont régies par les conditions de BudgetBakers s.r.o.

5.5 Déclaration de non-vente des données

Nous ne vendons, ne partageons ni ne fournissons jamais vos données personnelles et financières à des tiers à des fins de marketing, de publicité ou commerciales.


6. Transfert de données hors UE

Certains traitements impliquent un transfert de données vers les États-Unis (Anthropic, Resend, Cloudflare, Vercel, Google, Microsoft). Pour ces transferts, nous utilisons les clauses contractuelles types (CCT) approuvées par la Commission européenne conformément à l'art. 46, par. 2, point c du RGPD. Une copie des CCT est disponible sur demande.


7. Conservation des données

Type de données Durée de conservation
Données d'inscription Pendant toute la durée d'existence du compte
Données financières (transactions, comptes, investissements) Pendant toute la durée d'existence du compte
Conversations avec l'IA Pendant toute la durée d'existence du compte (l'utilisateur peut les supprimer à tout moment)
Fichiers téléversés Pendant toute la durée d'existence du compte
Registres de paiement 5 ans après l'exécution du paiement (réglementation fiscale de la République tchèque)
Après la suppression du compte — données personnelles Supprimées dans un délai de 30 jours
Après la suppression du compte — données financières anonymisées Peuvent être conservées jusqu'à 5 ans (obligations légales)
Compte inactif (généralement 12+ mois sans connexion) L'Exploitant se réserve le droit de supprimer le compte après notification préalable par e-mail (avec un délai pour se connecter)
Fichiers importés (CSV/PDF) Traités et supprimés — non conservés de manière permanente
Journaux de connexion et d'erreurs 12 mois

8. Décision automatisée et profilage

8.1 Catégorisation des transactions par l'IA

Assetli utilise les modèles d'IA Claude (Anthropic) pour catégoriser automatiquement les transactions sur la base de leur libellé. Ce traitement n'a pas de conséquences juridiques directes pour l'Utilisateur, peut être corrigé manuellement à tout moment et est transparent — l'Utilisateur voit la catégorie attribuée.

8.2 Score financier (0–850)

Assetli calcule automatiquement un score de santé financière fondé sur 7 composantes. Ce score est purement informatif, n'affecte pas l'accès aux crédits ni à d'autres produits financiers et n'est pas partagé avec des tiers.

8.3 Prédictions et analyses

Les prédictions de flux de trésorerie, l'analyse du « latte factor », le contrôle de l'inflation du mode de vie et les autres fonctions analytiques sont des calculs automatisés à caractère purement informatif.

8.4 Droit à un réexamen humain

Conformément à l'art. 22 du RGPD, l'Utilisateur a le droit d'obtenir un réexamen humain de tout résultat automatisé. Veuillez contacter info@assetli.app.


9. Vos droits (RGPD art. 15 à 22)

Droit Comment l'exercer
Droit d'accès (art. 15) Paramètres → Export de données (export RGPD au format JSON)
Droit de rectification (art. 16) En modifiant les données dans les paramètres du compte
Droit à l'effacement (art. 17) Paramètres → Danger Zone → Supprimer le compte
Droit à la portabilité (art. 20) Paramètres → Export de données (export RGPD complet au format JSON)
Droit à la limitation du traitement (art. 18) Contactez info@assetli.app
Droit d'opposition (art. 21) Paramètres → Confidentialité, ou info@assetli.app
Droit de retirer son consentement Paramètres → Notifications, bannière de cookies

Délai de réponse : 30 jours. En cas de demandes complexes, ce délai peut être prolongé de 60 jours supplémentaires moyennant notification.

Autorité de contrôle : Autorité tchèque de protection des données (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz


10. Protection des enfants

Le Service n'est pas destiné aux enfants de moins de 15 ans (conformément à l'art. 7 de la loi n° 110/2019 Coll.). Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 15 ans. Si nous constatons que nous avons collecté des données auprès d'une personne de moins de 15 ans sans le consentement de son représentant légal, nous supprimerons ces données sans délai.


11. Sécurité

11.1 Mesures techniques

  • Connexions chiffrées (HTTPS/TLS)
  • Hachage des mots de passe (bcrypt, SALT_ROUNDS=12)
  • Authentification à deux facteurs (TOTP)
  • Protection contre les attaques par force brute avec verrouillage automatique du compte
  • Protection des formulaires par reCAPTCHA v3
  • Chiffrement des données sensibles : notes Family Legacy (AES-256-GCM), clés API (hachage SHA-256)
  • Base de données hébergée dans l'UE (MongoDB Atlas, Francfort, AWS eu-central-1)

11.2 Notification des violations de sécurité

Conformément aux art. 33 et 34 du RGPD, nous notifierons toute violation de sécurité à l'autorité de contrôle (ÚOOÚ) dans un délai de 72 heures suivant sa découverte. Nous informerons les utilisateurs concernés sans retard injustifié si la violation présente un risque élevé.

11.3 Avertissement

Bien que nous mettions en œuvre des mesures appropriées, aucune méthode de transmission ou de stockage de données n'est sûre à 100 %. Si vous constatez un accès non autorisé à votre compte, contactez-nous sans délai à info@assetli.app.

11.4 Signalement de vulnérabilités

Si vous découvrez une vulnérabilité de sécurité, contactez info@assetli.app. Nous apprécions le signalement responsable des vulnérabilités et n'engagerons aucune poursuite judiciaire à l'encontre des personnes qui signalent des vulnérabilités de bonne foi.


12. Droits des utilisateurs hors UE

12.1 Royaume-Uni (UK GDPR)

Le traitement des données des utilisateurs du Royaume-Uni est régi par le UK GDPR et le Data Protection Act 2018. Vos droits sont analogues à ceux prévus par le RGPD de l'UE. Autorité de contrôle : Information Commissioner's Office (ICO), www.ico.org.uk.

12.2 Californie (CCPA/CPRA)

Si vous êtes résident de Californie, vous disposez de droits au titre du CCPA/CPRA :

  • Droit d'être informé des données collectées
  • Droit à la suppression des données personnelles
  • Droit de rectification des données inexactes
  • Droit de refuser la vente/le partage — nous ne vendons ni ne partageons vos données à des fins publicitaires
  • Droit à la non-discrimination

Contactez info@assetli.app. Nous répondrons dans un délai de 45 jours.

12.3 Autres États des États-Unis

Les résidents du Colorado, du Connecticut, de la Virginie et d'autres États dotés de lois sur la confidentialité peuvent disposer de droits analogues. Contactez info@assetli.app.


13. Agrégation et anonymisation

Nous nous réservons le droit de créer des données agrégées et anonymisées aux fins d'améliorer le Service et d'entraîner les modèles d'IA. Les données agrégées ne doivent pas permettre l'identification d'un Utilisateur individuel et ne sont pas soumises au RGPD.


14. Modifications de la présente politique

  • Modifications mineures : annoncées sur le site web
  • Modifications substantielles : annoncées par e-mail au moins 30 jours à l'avance
  • En cas de modifications nécessitant un consentement, nous solliciterons un nouveau consentement actif
  • Les versions antérieures sont archivées et disponibles sur demande

15. Contact

Ondřej Smutný
E-mail : info@assetli.app
Web : https://assetli.app
Adresse : Družstevní 511, 294 41 Dobrovice, République tchèque


Date d'entrée en vigueur : 20 juin 2026
© 2026 Assetli. Tous droits réservés.