Politique de Confidentialité

Dernière mise à jour : 17 mai 2026 (VIS-RGPD-01 §6.1 IA Groq · VIS-RGPD-03 §6 Destinataires + §7 Transferts hors UE · VIS-RGPD-04 §9 droit d'accès opérationnel · VIS-RGPD-05 §9 droit à l'effacement opérationnel · VIS-RGPD-08 §4 registre des traitements · VIS-RGPD-09 §6.1 AIPD Labs IA)

Conforme au Règlement Général sur la Protection des Données (RGPD)

1. Introduction

Vision Finance ("nous", "notre") s'engage à protéger la confidentialité de vos données personnelles. Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations.

2. Responsable du traitement

Vision Finance
Email : support@visionfinance.io
DPO : dpo@visionfinance.io

3. Données collectées

3.1 Données d'identification

Nom d'utilisateur
Adresse email
Nom et prénom (optionnel)
Avatar (optionnel)

3.2 Données financières

Comptes bancaires virtuels (simulés)
Transactions financières (pour analyse personnelle)
Portefeuilles et investissements suivis
Préférences d'analyse

3.3 Données techniques

Adresse IP
Type de navigateur
Données de connexion (logs)
Cookies de session

3.4 Données d'utilisation

Analyses effectuées
Actions consultées
Préférences de configuration

4. Base légale et finalités du traitement

Le détail exhaustif des 11 finalités de traitement (article 30 RGPD) est versionné dans docs/rgpd/registre_traitements.md — registre tenu à disposition de la CNIL sur demande (Art. 30.4). Ci-dessous, la synthèse des finalités principales :

Finalité	Base légale
Création et gestion de votre compte	Exécution du contrat
Fourniture des services d'analyse	Exécution du contrat
Amélioration des algorithmes IA	Intérêt légitime
Envoi de newsletters (si accepté)	Consentement
Sécurité et prévention de la fraude	Intérêt légitime
Respect des obligations légales	Obligation légale

5. Durée de conservation

Données de compte : Pendant la durée d'utilisation du service + 3 ans après la dernière connexion
Données financières : Pendant la durée d'utilisation + 5 ans (obligation légale)
Logs de connexion : 12 mois maximum
Cookies : 13 mois maximum

6. Destinataires des données

Vos données peuvent être partagées avec les sous-traitants suivants, tous liés par un Data Processing Agreement (DPA) au titre de l'article 28 RGPD :

Sous-traitant	Pays	Finalité	Encadrement
Railway Corporation	🇺🇸 États-Unis	Hébergement Django, PostgreSQL, Redis	DPA + CCT 2021/914 Module 2
Groq, Inc.	🇺🇸 États-Unis	Inférence IA (Coach, Lab 1/2/3, ticker chat) — uniquement si vous avez consenti, voir §6.1	DPA + CCT 2021/914 Module 2 + pseudonymisation des prompts
Twilio (SendGrid)	🇺🇸 États-Unis	Emails transactionnels (alertes, invitations, briefs)	DPA + CCT 2021/914 Module 2
Functional Software (Sentry)	🇺🇸 États-Unis	Monitoring d'erreurs applicatives	DPA + CCT 2021/914 Module 2
Stripe, Inc.	🇺🇸 États-Unis (entité européenne Stripe Payments Europe Ltd à Dublin)	Paiements et abonnements	DPA + CCT 2021/914 Module 2 — aucune carte stockée côté VF
GoCardless Ltd	🇮🇪 Irlande (UE)	Open Banking PSD2 — connexion bancaire automatique	DPA Article 28 — pas de transfert hors UE
Yahoo Finance, FMP, Finnhub, Alpha Vantage	🇺🇸 États-Unis	Cotations financières publiques (tickers d'actifs)	Pas de PII utilisateur transmise — uniquement des symboles publics

Aucune vente de vos données à des tiers marketing. Vous pouvez consulter l'état détaillé des DPA signés dans le dossier docs/dpa/ du dépôt et les Transfer Impact Assessments (TIA) dans docs/rgpd/.

6.1 Profilage par IA — Groq Cloud (États-Unis)

Pour générer les analyses du Coach IA, des briefs macroéconomiques, des signaux techniques et des prévisions budgétaires, Vision Finance peut envoyer une partie du contexte de votre patrimoine vers Groq Inc., fournisseur d'inférence IA basé aux États-Unis.

Ce qui est transféré : montants agrégés, libellés de transactions, contexte du portefeuille. Ce qui est retiré avant envoi (couche d'anonymisation applicative) :

Adresse email, prénom, nom, téléphone
IBAN (FR + ISO 13616)
Numéros de carte bancaire
Toute donnée passée explicitement comme extra_pii par les Labs (descriptions de transactions sensibles, etc.)

Base légale : consentement explicite (art. 6.1.a RGPD), recueilli via une modale bloquante au premier accès à une fonctionnalité IA. Vous pouvez à tout moment :

Refuser — Vision Finance bascule sur Ollama, un modèle hébergé sur nos serveurs en Union européenne. Les fonctionnalités IA restent disponibles, avec un temps de réponse parfois plus long.
Révoquer votre consentement — depuis votre profil ; effet immédiat sur toutes les requêtes IA ultérieures.

Encadrement contractuel : les transferts vers Groq Inc. sont régis par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914). Le statut détaillé du DPA est publié dans le dossier docs/dpa/groq.md du dépôt.

Décisions automatisées : aucune décision produisant des effets juridiques n'est prise par l'IA. Les analyses ont valeur informative uniquement ; Vision Finance n'est pas conseiller en investissement.

Analyse d'impact (AIPD) : conformément à l'article 35 RGPD, une analyse d'impact relative à la protection des données a été conduite pour les quatre traitements IA (Lab 1, Lab 2, Lab 3, Coach). Le document complet — risques identifiés, mesures techniques et organisationnelles — est versionné dans docs/rgpd/aipd_labs_ia.md et tenu à disposition de la CNIL sur demande (Art. 35.7).

7. Transferts hors UE

Plusieurs sous-traitants identifiés ci-dessus sont établis aux États-Unis. Conformément à l'arrêt Schrems II (CJUE, 16 juillet 2020), le mécanisme Privacy Shield est obsolète et n'est plus invocable. Vision Finance s'appuie désormais sur le cadre suivant :

Clauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution (UE) 2021/914, Module 2 (responsable de traitement → sous-traitant)
Transfer Impact Assessments (TIA) documentés pour chaque sous-traitant US, conformes aux recommandations EDPB 01/2020 v2.0 — consultables dans docs/rgpd/
Mesures techniques supplémentaires :
- Chiffrement applicatif Fernet des champs sensibles au repos (IBAN, secrets 2FA, tokens GoCardless, messages Coach IA)
- Pseudonymisation systématique des prompts IA avant envoi à Groq (retrait email/nom/IBAN/téléphone/carte — cf. §6.1)
- TLS 1.3 imposé pour toutes les communications
Mesures organisationnelles :
- Opt-in explicite avant tout transfert IA (Groq)
- Bascule Ollama (modèle hébergé en UE) en cas de refus
- Revue annuelle des TIA — prochaine échéance 2027-05-17

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

Chiffrement des mots de passe (hashing bcrypt)
Connexions HTTPS (SSL/TLS)
Sauvegardes régulières chiffrées
Accès restreint aux données personnelles
Surveillance des accès suspects

9. Vos droits RGPD

Vous disposez des droits suivants :

Droit d'accès

Obtenir une copie de vos données. Opérationnel : exporter mes données → (archive ZIP JSON+CSV envoyée par email, lien valable 7 jours).

Droit de rectification

Corriger vos données inexactes

Droit à l'effacement

Supprimer vos données. Opérationnel : supprimer mon compte → (confirmation par email + délai de grâce 7 jours).

Droit à la limitation

Limiter le traitement de vos données

Droit à la portabilité

Récupérer vos données dans un format lisible

Droit d'opposition

Vous opposer à certains traitements

Pour exercer vos droits : dpo@visionfinance.io

Réponse sous 1 mois maximum.

9.1 Profilage et décisions automatisées (Art. 22 RGPD)

L'article 22 RGPD vous garantit le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative.

Vision Finance ne prend aucune décision automatisée de ce type. Les analyses IA décrites au §6.1 ont valeur exclusivement informative : elles ne déclenchent ni refus de service, ni blocage de compte, ni tarification dynamique. Toutes les décisions financières restent à votre main.

Traitement	Type	Décision automatique ?	Effet juridique ?
Catégorisation des transactions	Profilage léger	Suggestion modifiable manuellement	Aucun
Suggestions de budget (Smart Budget)	Recommandation	Non — proposition à valider	Aucun
Scoring d'actifs GQDV (30 critères)	Profilage d'actifs (pas de personnes)	Note indicative	Aucun
Prévisions Lab 3	Prédiction	Estimation indicative	Aucun
Coach IA	Réponses conversationnelles	Réponses informatives	Aucun

Droit à l'explication : vous pouvez à tout moment demander à comprendre la logique d'une analyse IA en contactant le DPO (dpo@visionfinance.io). L'analyse d'impact AIPD est publiquement consultable — docs/rgpd/aipd_labs_ia.md.

Droit d'opposition : vous pouvez à tout moment désactiver les Labs IA en révoquant votre consentement Groq depuis votre profil. Vision Finance basculera silencieusement sur Ollama (UE) ou désactivera la fonctionnalité selon les cas.

9.2 Vérification d'âge — majeurs uniquement

Vision Finance traite des données financières et fiscales. L'usage du service est réservé aux personnes majeures (18 ans ou plus). Une vérification d'âge à l'inscription sera mise en place conformément à VIS-141 (RGPD-15).

Si vous constatez qu'un mineur a créé un compte sur Vision Finance, contactez immédiatement le DPO (dpo@visionfinance.io) — le compte sera supprimé et les données effacées en application de la procédure de violation.

10. Cookies

Nous utilisons les cookies suivants :

Cookie	Type	Durée	Finalité
sessionid	Essentiel	14 jours	Maintenir votre connexion
csrftoken	Sécurité	13 mois	Protection contre les attaques CSRF

11. Modifications

Nous pouvons modifier cette politique. Les modifications importantes vous seront notifiées par email.

12. Réclamation CNIL

En cas de litige, vous pouvez déposer une réclamation auprès de la CNIL :

CNIL
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr

13. Contact

Pour toute question sur vos données personnelles :

Email : dpo@visionfinance.io
Support : support@visionfinance.io

Politique de confidentialité version 2026-05-17

Dernière mise à jour : 2026-05-17 · Version précédente conservée par le DPO.