Politique de Confidentialité
Dernière mise à jour : 5 février 2025
Date d'entrée en vigueur : 5 février 2025
Note : Cette traduction est fournie à titre informatif uniquement. La version anglaise constitue le document juridiquement contraignant. En cas de divergence, la version anglaise prévaut.
1. Introduction et Champ d'Application
Xonoko Budget ("Xonoko", "nous", "notre" ou "nos") fournit cette Politique de Confidentialité pour expliquer comment nous collectons, utilisons, divulguons et protégeons vos informations personnelles lorsque vous utilisez notre application de budget, notre site web et nos services associés (collectivement, les "Services").
Cette Politique de Confidentialité s'applique à tous les utilisateurs de nos Services, y compris les utilisateurs de l'Espace Économique Européen (EEE), du Royaume-Uni, de la Suisse, des États-Unis et d'autres juridictions. Lorsque des lois spécifiques prévoient des droits ou exigences supplémentaires, nous avons inclus des sections spécifiques ci-dessous.
En utilisant nos Services, vous reconnaissez avoir lu et compris cette Politique de Confidentialité.
2. Informations sur le Responsable du Traitement
Aux fins des lois sur la protection des données, Xonoko Budget est le responsable du traitement de vos informations personnelles.
- Société : Xonoko Budget
- Email : privacy@xonoko.com
- Adresse : 6 rue de Musset, 75016 Paris, France
Comme nous traitons les données de moins de 250 employés et que notre traitement n'est pas notre activité principale impliquant un suivi systématique à grande échelle, nous ne sommes pas tenus de nommer un Délégué à la Protection des Données en vertu de l'article 37 du RGPD. Cependant, vous pouvez nous contacter à privacy@xonoko.com pour toute question relative à la protection des données.
3. Catégories d'Informations Personnelles Collectées
Nous collectons les catégories suivantes d'informations personnelles :
3.1 Informations que Vous Fournissez Directement
| Catégorie | Exemples | Finalité |
|---|---|---|
| Informations de Compte | Nom, adresse e-mail, mot de passe (haché) | Création de compte et authentification |
| Informations de Profil | Nom d'affichage, photo de profil (optionnel), préférences | Personnalisation de votre expérience |
| Informations de Paiement | Type de carte, 4 derniers chiffres, date d'expiration, adresse de facturation | Traitement des paiements d'abonnement |
| Contenu Créé par l'Utilisateur | Noms de budgets, noms de projets, notes, catégories que vous créez | Fourniture des fonctionnalités de budget |
| Communications | Tickets de support, commentaires, e-mails que vous nous envoyez | Support client et amélioration du service |
3.2 Informations Financières des Comptes Connectés
Lorsque vous connectez vos comptes bancaires, nous accédons aux données suivantes via nos fournisseurs tiers sécurisés :
| Catégorie | Exemples | Finalité |
|---|---|---|
| Données de Compte | Nom du compte, type, numéro de compte masqué (4 derniers chiffres), solde actuel | Affichage de l'aperçu du compte |
| Données de Transaction | Date de transaction, montant, nom du commerçant, catégorie, statut en attente | Suivi du budget et catégorisation |
| Données d'Institution | Nom de la banque, statut de connexion | Gestion des connexions de compte |
Important : Nous accédons à vos données financières en mode lecture seule. Nous ne pouvons pas initier de transactions, transférer de l'argent ou apporter des modifications à vos comptes bancaires. Nous ne stockons jamais vos identifiants bancaires — ceux-ci sont gérés directement par nos partenaires d'agrégation de données certifiés.
3.3 Informations Collectées Automatiquement
| Catégorie | Exemples | Finalité |
|---|---|---|
| Informations sur l'Appareil | Type d'appareil, système d'exploitation, identifiants uniques, version de l'application | Support technique, sécurité, optimisation |
| Données d'Utilisation | Fonctionnalités utilisées, écrans consultés, actions effectuées, horodatages | Amélioration du service, analyses |
| Données de Journal | Adresse IP (anonymisée après 30 jours), heures d'accès, journaux d'erreurs | Sécurité, débogage, prévention de la fraude |
4. Bases Juridiques du Traitement (Utilisateurs EEE/UK)
En vertu du RGPD, nous traitons vos données personnelles sur les bases juridiques suivantes :
| Activité de Traitement | Base Juridique |
|---|---|
| Fournir le service de budget, synchroniser les comptes, catégoriser les transactions | Exécution du Contrat (Art. 6(1)(b)) — nécessaire pour remplir notre accord de service |
| Traitement des paiements d'abonnement | Exécution du Contrat (Art. 6(1)(b)) |
| Catégorisation et prédictions par IA | Exécution du Contrat (Art. 6(1)(b)) — fonctionnalité centrale du service |
| E-mails liés au service (mises à jour, alertes de sécurité) | Exécution du Contrat (Art. 6(1)(b)) |
| Surveillance de sécurité, prévention de la fraude | Intérêts Légitimes (Art. 6(1)(f)) — protection des utilisateurs et de notre service |
| Analyses et amélioration du service | Intérêts Légitimes (Art. 6(1)(f)) — amélioration de l'expérience utilisateur |
| Communications marketing | Consentement (Art. 6(1)(a)) — vous pouvez vous désinscrire à tout moment |
| Réponse aux demandes légales | Obligation Légale (Art. 6(1)(c)) |
5. Comment Nous Utilisons Vos Informations
Nous utilisons vos informations personnelles aux fins suivantes :
- Fournir les Services : Créer et gérer votre compte, synchroniser les comptes bancaires, afficher les soldes et transactions, suivre les budgets et projets
- Fonctionnalités IA : Catégoriser automatiquement les transactions, prédire les dépenses récurrentes, suggérer des améliorations de budget (voir Section 10 pour les détails)
- Traiter les Paiements : Facturer les frais d'abonnement via RevenueCat et les processeurs de paiement
- Communiquer : Envoyer des mises à jour de service, des alertes de sécurité et répondre aux demandes de support
- Améliorer les Services : Analyser les modèles d'utilisation, corriger les bugs, développer de nouvelles fonctionnalités
- Sécurité : Détecter la fraude, empêcher les accès non autorisés, protéger contre les abus
- Conformité Légale : Respecter les lois applicables, répondre aux demandes légales valides
6. Comment Nous Partageons Vos Informations
Nous ne vendons pas vos informations personnelles. Nous partageons les données uniquement dans ces circonstances :
6.1 Prestataires de Services
| Type de Prestataire | Finalité | Données Partagées |
|---|---|---|
| Agrégateurs de Données Bancaires (ex. Plaid, Tink) | Connexion sécurisée à vos comptes bancaires | Les identifiants bancaires transitent par eux (non stockés par nous) ; ils nous fournissent les données de transaction |
| Processeurs de Paiement (Stripe, Apple, Google via RevenueCat) | Traitement des paiements d'abonnement | Détails de carte de paiement, adresse de facturation |
| Infrastructure Cloud (fournisseurs basés dans l'UE pour les utilisateurs UE) | Hébergement et stockage des données | Toutes les données de service (chiffrées) |
| Analyses | Comprendre les modèles d'utilisation | Données d'utilisation anonymisées uniquement |
Tous les prestataires de services sont liés par des accords de traitement de données qui les obligent à protéger vos données et à les utiliser uniquement aux fins spécifiées.
6.2 Autres Divulgations
- Accès Partagé : Si vous utilisez la fonctionnalité d'accès partagé du plan Horizon, les autres membres autorisés du foyer peuvent voir les données financières partagées
- Exigences Légales : Lorsque requis par la loi, une ordonnance du tribunal ou une demande gouvernementale valide
- Sécurité : Pour protéger les droits, la sécurité ou la propriété de Xonoko, de nos utilisateurs ou du public
- Transferts d'Entreprise : En relation avec une fusion, acquisition ou vente d'actifs (vous serez notifié)
- Avec Votre Consentement : Pour toute autre finalité avec votre consentement explicite
7. Conservation des Données
Nous conservons vos informations personnelles pendant les périodes suivantes :
| Type de Données | Période de Conservation | Raison |
|---|---|---|
| Informations de Compte | Durée du compte + 30 jours après demande de suppression | Fourniture du service, permettre la récupération du compte |
| Données de Transaction | Durée du compte + 30 jours après suppression | Fourniture du service |
| Enregistrements de Paiement | 7 ans après la dernière transaction | Conformité fiscale et légale |
| Communications de Support | 3 ans | Assurance qualité, résolution des litiges |
| Données de Journal (avec IP) | 30 jours, puis anonymisées | Sécurité, débogage |
| Analyses Anonymisées | Indéfiniment | Amélioration du service |
8. Sécurité des Données
Nous mettons en œuvre des mesures de sécurité conformes aux standards de l'industrie :
- Chiffrement : Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256)
- Infrastructure : Fournisseurs d'hébergement conformes SOC 2 Type II
- Contrôles d'Accès : Accès strict basé sur les rôles, authentification multi-facteurs pour le personnel
- Tests de Sécurité : Tests d'intrusion et évaluations de vulnérabilité réguliers
- Identifiants Bancaires : Nous ne recevons, ne stockons ni n'avons accès à vos identifiants bancaires
- Accès en Lecture Seule : Nous ne pouvons pas transférer d'argent ou modifier vos comptes
Bien que nous mettions en œuvre des mesures de sécurité robustes, aucun système n'est totalement sécurisé. Nous vous notifierons ainsi que les autorités compétentes de toute violation de données comme requis par la loi.
9. Transferts Internationaux de Données
9.1 Pour les Utilisateurs Européens
Vos données sont stockées exclusivement dans des centres de données européens, exploités par des entreprises européennes. Nous ne transférons pas vos données financières personnelles en dehors de l'EEE.
Pour certains prestataires de services (ex. certains outils d'analyse), si un transfert de données en dehors de l'EEE est nécessaire, nous assurons des garanties appropriées par :
- Décisions d'adéquation de la Commission européenne
- Clauses Contractuelles Types (CCT)
- Le Cadre de Protection des Données UE-US (le cas échéant)
9.2 Pour les Utilisateurs Américains
Vos données sont stockées dans des centres de données sécurisés basés aux États-Unis.
10. Prise de Décision Automatisée et IA
Nous utilisons l'intelligence artificielle et le traitement automatisé pour :
- Catégorisation des Transactions : Attribution automatique de catégories aux transactions basée sur les noms des commerçants et les modèles de transaction
- Prédictions de Dépenses : Prévision des charges récurrentes à venir basée sur votre historique de transactions
- Suggestions de Budget : Recommandation de montants de budget basée sur vos habitudes de dépenses
- Règles de Catégorisation : Suggestion de règles personnalisées basée sur la façon dont vous catégorisez manuellement les transactions
Votre Contrôle : Vous pouvez choisir votre niveau d'automatisation IA dans les paramètres :
- Réviser toutes les transactions manuellement
- Réviser uniquement les transactions signalées/inhabituelles
- Laisser l'IA gérer toute la catégorisation automatiquement
Ces processus automatisés ne prennent pas de décisions produisant des effets juridiques ou vous affectant de manière significative. Ils sont conçus pour vous aider dans votre budget, et vous pouvez toujours annuler toute catégorisation automatisée.
11. Vos Droits en Matière de Confidentialité
11.1 Droits pour Tous les Utilisateurs
Quel que soit votre lieu de résidence, vous pouvez :
- Accéder à vos données personnelles via la fonction d'exportation de l'application
- Mettre à jour ou corriger vos informations dans les paramètres du compte
- Supprimer votre compte et les données associées
- Déconnecter les comptes bancaires à tout moment
- Vous désabonner des communications marketing
11.2 Droits Supplémentaires pour les Utilisateurs EEE/UK (RGPD)
En vertu du RGPD, vous avez le droit de :
- Accès : Demander une copie de toutes les données personnelles que nous détenons sur vous
- Rectification : Demander la correction de données personnelles inexactes
- Effacement ("Droit à l'Oubli") : Demander la suppression de vos données personnelles
- Limitation : Demander que nous limitions l'utilisation de vos données
- Portabilité : Recevoir vos données dans un format structuré et lisible par machine
- Opposition : Vous opposer au traitement basé sur les intérêts légitimes
- Retrait du Consentement : Retirer votre consentement pour le traitement basé sur le consentement à tout moment
- Déposer une Plainte : Déposer une plainte auprès de votre autorité de protection des données locale (ex. CNIL en France, ICO au Royaume-Uni)
Pour exercer ces droits, contactez-nous à privacy@xonoko.com. Nous répondrons dans les 30 jours.
11.3 Droits pour les Résidents des États Américains
Selon votre état de résidence, vous pouvez avoir des droits supplémentaires en vertu des lois étatiques sur la vie privée, notamment CCPA (Californie), VCDPA (Virginie), CPA (Colorado), CTDPA (Connecticut) et autres.
Résidents de Californie (CCPA/CPRA)
- Droit de Savoir : Demander la divulgation des informations personnelles collectées, des sources, des finalités et des tiers
- Droit de Suppression : Demander la suppression de vos informations personnelles
- Droit de Correction : Demander la correction d'informations personnelles inexactes
- Droit de Refus de Vente/Partage : Nous ne vendons ni ne partageons vos informations personnelles pour la publicité comportementale inter-contextes
- Droit de Limiter l'Utilisation d'Informations Personnelles Sensibles : Demander que nous limitions l'utilisation des catégories sensibles
- Droit à la Non-Discrimination : Nous ne vous discriminerons pas pour l'exercice de vos droits
California "Shine the Light" : Les résidents de Californie peuvent demander des informations sur les divulgations à des tiers à des fins de marketing direct. Nous n'effectuons pas de telles divulgations.
Do Not Track : Nos Services ne répondent actuellement pas aux signaux "Do Not Track" des navigateurs.
Résidents de Virginie, Colorado, Connecticut et Autres États
Vous pouvez avoir des droits similaires d'accès, de suppression, de correction et de refus. Vous avez également le droit de faire appel si nous refusons votre demande. Pour faire appel d'une demande refusée, contactez-nous à privacy@xonoko.com avec le sujet "Privacy Rights Appeal".
Agents Autorisés
Vous pouvez désigner un agent autorisé pour faire des demandes en votre nom. L'agent doit fournir une autorisation écrite de votre part et vérifier son identité.
12. Vie Privée des Enfants
Nos Services ne sont pas destinés aux enfants de moins de 16 ans (ou 18 ans dans certaines juridictions). Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants. Si vous pensez que nous avons collecté des informations d'un enfant, veuillez nous contacter immédiatement à privacy@xonoko.com, et nous les supprimerons.
13. Liens Tiers
Nos Services peuvent contenir des liens vers des sites web ou services tiers. Cette Politique de Confidentialité ne s'applique pas à ces tiers. Nous vous encourageons à consulter leurs politiques de confidentialité.
14. Modifications de cette Politique de Confidentialité
Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre. Nous vous notifierons des changements importants par :
- Publication de la politique mise à jour sur notre site web avec une nouvelle date de "Dernière mise à jour"
- Envoi d'une notification par e-mail pour les changements significatifs
- Affichage d'un avis dans l'application
Votre utilisation continue des Services après l'entrée en vigueur des modifications constitue l'acceptation de la Politique de Confidentialité mise à jour.
15. Nous Contacter
Pour les questions, demandes ou plaintes relatives à la confidentialité :
- Email : privacy@xonoko.com
- Objet : "Demande de Confidentialité" ou "Demande de Droits de Confidentialité"
Nous visons à répondre à toutes les demandes dans les 30 jours (ou plus rapidement si requis par la loi applicable).
Annexe A : Divulgations des Lois sur la Vie Privée des États Américains
Les divulgations suivantes sont requises en vertu de diverses lois sur la vie privée des États américains :
Catégories d'Informations Personnelles Collectées (12 Derniers Mois)
- Identifiants (nom, e-mail, adresse IP)
- Informations Financières (soldes de compte, historique des transactions des comptes liés)
- Informations Commerciales (historique d'abonnement, enregistrements de paiement)
- Activité Internet (données d'utilisation, données de journal)
- Géolocalisation (localisation générale à partir de l'adresse IP)
- Inférences (catégories de dépenses, recommandations de budget)
Sources des Informations Personnelles
- Directement de vous (inscription au compte, saisie utilisateur)
- Vos institutions financières (via des agrégateurs de données sécurisés)
- Automatiquement (données d'appareil et d'utilisation)
Finalités Commerciales de la Collecte
- Fourniture et amélioration de nos Services
- Traitement des paiements
- Sécurité et prévention de la fraude
- Conformité légale
Catégories de Tiers
- Prestataires de services (processeurs de paiement, hébergement cloud, analyses)
- Agrégateurs de données financières
- Autorités légales/réglementaires (lorsque requis par la loi)
Vente ou Partage d'Informations Personnelles
Nous ne vendons pas vos informations personnelles. Nous ne partageons pas d'informations personnelles pour la publicité comportementale inter-contextes.
Informations Personnelles Sensibles
Nous collectons des informations de compte financier pour fournir nos Services. Ces informations sont utilisées uniquement aux fins décrites dans cette Politique de Confidentialité et ne sont pas utilisées pour déduire des caractéristiques vous concernant.