Aller au contenu principal
JurisFin Assist

Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est [Non renseigné], [Non renseigné]. Contact : [Non renseigné].

Délégué à la protection des données (DPO) : [Non renseigné]
Contact : [Non renseigné]

2. Données collectées et finalités

Données d'identification du compte

Adresse email, nom et prénom (facultatif), mot de passe (haché bcrypt). Finalité : création et gestion du compte utilisateur. Base légale : exécution du contrat (RGPD, art. 6-1-b). Conservation : durée du compte + 3 ans après suppression.

Données bancaires (agrégation)

Soldes, transactions, identifiants de comptes (IBAN, BIC), tokens d'accès Powens. Finalité : analyse budgétaire et suivi patrimonial. Base légale : consentement explicite (RGPD, art. 6-1-a). Conservation : durée du consentement, suppression sous 30 jours après révocation. Mesure de protection : chiffrement AES-256-GCM au repos.

Données patrimoniales

Biens immobiliers (adresses, valeurs déclarées), actifs financiers, passifs (emprunts). Finalité : suivi patrimonial et calcul IFI indicatif. Base légale : consentement (RGPD, art. 6-1-a). Conservation : durée du compte. Mesure de protection : chiffrement AES-256-GCM au repos.

Données fiscales

Revenus déclarés, situation familiale (nombre de parts), numéro fiscal (facultatif). Finalité : simulations fiscales indicatives. Base légale : consentement (RGPD, art. 6-1-a). Conservation : durée du compte. Mesure de protection : chiffrement AES-256-GCM au repos.

Données de navigation et journaux

Adresse IP, user-agent, horodatage des connexions, journal d'audit MFA. Finalité : sécurité du service et détection d'intrusion. Base légale : intérêt légitime (RGPD, art. 6-1-f). Conservation : 12 mois.

Questions posées à l'assistant

Texte des questions, réponses générées, sources consultées. Finalité : fourniture du service d'information et amélioration du corpus documentaire. Base légale : exécution du contrat (RGPD, art. 6-1-b). Conservation : durée du compte. Les questions ne contiennent jamais de données bancaires ou patrimoniales de l'utilisateur (isolation des contextes).

3. Destinataires des données et sous-traitants

Les données sont accessibles uniquement par :

  • Équipe technique de [Non renseigné] — dans la limite stricte de leurs fonctions.
  • Powens SAS (agrégation bancaire) — prestataire AISP agréé ACPR, pour les seules données bancaires nécessaires à l'agrégation. Hébergement : France.
  • Mistral AI (traitement des questions posées à l'assistant) — exclusivement pour la génération de réponses, sans données personnelles dans le contexte transmis. Hébergement : Union européenne.
  • Scaleway SAS (hébergement) — en qualité de sous-traitant. Datacenter : Paris, France.
  • Stripe Inc. (paiement) — traitement des transactions de paiement par abonnement. Pays : États-Unis. Garantie de transfert : clauses contractuelles types (CCT) approuvées par la Commission européenne (art. 46-2-c RGPD).
  • Functional Software Inc. (Sentry) (monitoring des erreurs) — collecte des rapports d'erreurs techniques pour la stabilité du service. Aucune donnée personnelle utilisateur n'est transmise. Pays : États-Unis. Garantie de transfert : clauses contractuelles types (CCT).
  • Resend Inc. (emails transactionnels) — envoi des emails de confirmation, de réinitialisation de mot de passe et de notifications liées au compte. Pays : États-Unis. Garantie de transfert : clauses contractuelles types (CCT).

Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales.

4. Transferts hors UE

L'hébergement principal est réalisé en France (Scaleway, Paris). Certains sous-traitants (Stripe, Sentry, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46-2-c du RGPD. Mistral AI est une société française dont les infrastructures sont situées dans l'UE.

5. Mesures de sécurité

Conformément à l'article 32 du RGPD, les mesures techniques et organisationnelles suivantes sont mises en oeuvre : chiffrement des données sensibles au repos (AES-256-GCM) ; chiffrement des communications (TLS 1.3) ; authentification forte (MFA TOTP) ; hachage des mots de passe (bcrypt, 12 rounds) ; journalisation des accès et des événements de sécurité ; limitation du débit (rate limiting) ; hébergement souverain en France (Scaleway) ; gestion centralisée des secrets (Scaleway Secret Manager) ; et tests de sécurité réguliers.

6. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès (art. 15) : obtenir la confirmation du traitement de vos données et une copie de celles-ci. Droit de rectification (art. 16) : corriger des données inexactes. Droit à l'effacement (art. 17) : demander la suppression de vos données (sous réserve des obligations légales de conservation). Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (JSON/CSV). Droit à la limitation (art. 18) : restreindre le traitement dans certaines situations. Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime. Droit de retrait du consentement : pour les traitements fondés sur le consentement (données bancaires, patrimoniales, fiscales), vous pouvez retirer votre consentement à tout moment.

Pour exercer vos droits : [Non renseigné]. Délai de réponse : 1 mois maximum (extensible à 3 mois pour les demandes complexes, conformément à l'art. 12-3 du RGPD).

En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

7. Cookies

JurisFin Assist utilise exclusivement des cookies techniques strictement nécessaires au fonctionnement du service (session d'authentification, préférences de sécurité, token CSRF). Aucun cookie publicitaire ou de traçage n'est utilisé. Ces cookies techniques sont exemptés du consentement conformément aux lignes directrices de la CNIL.

Pour plus de détails, consultez notre politique relative aux cookies.

8. Analyse d'impact (AIPD)

Compte tenu de la nature des données traitées (données bancaires et patrimoniales à grande échelle), une analyse d'impact relative à la protection des données (AIPD) a été réalisée conformément à l'article 35 du RGPD. Ce document est disponible sur demande auprès du DPO.

9. Notification de violation

En cas de violation de données à caractère personnel, l'éditeur s'engage à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et à informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).

Dernière mise à jour : 8 avril 2026

Politique de confidentialite - JurisFin Assist | JurisFin Assist