Politique de Confidentialité
Dernière mise à jour : 17 juin 2026 (#177 : inférence IA confiée à Mistral AI, hébergement Union européenne — §6.1 réécrite, anonymisation maintenue, consentement opt-in supprimé · VIS-RGPD-03 §6 Destinataires + §7 Transferts hors UE · VIS-RGPD-04 §9 droit d'accès opérationnel · VIS-RGPD-05 §9 droit à l'effacement opérationnel · VIS-RGPD-08 §4 registre des traitements · VIS-RGPD-09 §6.1 AIPD Outils IA)
Conforme au Règlement Général sur la Protection des Données (RGPD)
1. Introduction
Vision Finance ("nous", "notre") s'engage à protéger la confidentialité de vos données personnelles. Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations.
2. Responsable du traitement
Vision Finance
Email : support@visionfinance.io
DPO : dpo@visionfinance.io
3. Données collectées
3.1 Données d'identification
- Nom d'utilisateur
- Adresse email
- Nom et prénom (optionnel)
- Avatar (optionnel)
3.2 Données financières
- Comptes bancaires virtuels (simulés)
- Transactions financières (pour analyse personnelle)
- Portefeuilles et investissements suivis
- Préférences d'analyse
3.3 Données techniques
- Adresse IP
- Type de navigateur
- Données de connexion (logs)
- Cookies de session
3.4 Données d'utilisation
- Analyses effectuées
- Actions consultées
- Préférences de configuration
4. Base légale et finalités du traitement
Le détail exhaustif des 11 finalités de traitement (article 30 RGPD) est
versionné dans
docs/rgpd/registre_traitements.md
— registre tenu à disposition de la CNIL sur demande (Art. 30.4).
Ci-dessous, la synthèse des finalités principales :
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Fourniture des services d'analyse | Exécution du contrat |
| Amélioration des algorithmes IA | Intérêt légitime |
| Envoi de newsletters (si accepté) | Consentement |
| Sécurité et prévention de la fraude | Intérêt légitime |
| Respect des obligations légales | Obligation légale |
5. Durée de conservation
- Données de compte : Pendant la durée d'utilisation du service + 3 ans après la dernière connexion
- Données financières : Pendant la durée d'utilisation + 5 ans (obligation légale)
- Logs de connexion : 12 mois maximum
- Cookies : 13 mois maximum
6. Destinataires des données
Vos données peuvent être partagées avec les sous-traitants suivants, tous liés par un Data Processing Agreement (DPA) au titre de l'article 28 RGPD :
| Sous-traitant | Pays | Finalité | Encadrement |
|---|---|---|---|
| Railway Corporation | 🇺🇸 États-Unis | Hébergement Django, PostgreSQL, Redis | DPA + CCT 2021/914 Module 2 |
| Mistral AI | 🇫🇷 France (UE) | Inférence IA (Coach, Analyse technique IA, Briefs macro IA, Prévisions budgétaires, ticker chat, catégorisation) — voir §6.1 | DPA Article 28 — hébergement UE, pas de transfert hors UE + anonymisation des prompts |
| Twilio (SendGrid) | 🇺🇸 États-Unis | Emails transactionnels (alertes, invitations, briefs) | DPA + CCT 2021/914 Module 2 |
| Functional Software (Sentry) | 🇺🇸 États-Unis | Monitoring d'erreurs applicatives | DPA + CCT 2021/914 Module 2 |
| Stripe, Inc. | 🇺🇸 États-Unis (entité européenne Stripe Payments Europe Ltd à Dublin) | Paiements et abonnements | DPA + CCT 2021/914 Module 2 — aucune carte stockée côté VF |
| GoCardless Ltd | 🇮🇪 Irlande (UE) | Open Banking PSD2 — connexion bancaire automatique | DPA Article 28 — pas de transfert hors UE |
| Yahoo Finance, FMP, Finnhub, Alpha Vantage | 🇺🇸 États-Unis | Cotations financières publiques (tickers d'actifs) | Pas de PII utilisateur transmise — uniquement des symboles publics |
Aucune vente de vos données à des tiers marketing.
Vous pouvez consulter l'état détaillé des DPA signés dans le dossier
docs/dpa/ du dépôt et les Transfer Impact Assessments
(TIA) dans docs/rgpd/.
6.1 Profilage par IA — Mistral AI (Union européenne)
Pour générer les analyses du Coach IA, des briefs macroéconomiques, des signaux techniques, des prévisions budgétaires et la catégorisation automatique des transactions, Vision Finance envoie une partie du contexte de votre patrimoine vers Mistral AI, fournisseur d'inférence IA français, hébergé en Union européenne.
Aucun transfert hors UE : Mistral AI traite les données exclusivement dans des centres de données situés dans l'Union européenne et n'est pas soumis à des lois d'accès extraterritoriales de type Cloud Act américain.
Ce qui est transféré : montants agrégés, libellés de transactions, contexte du portefeuille. Ce qui est retiré avant envoi (couche d'anonymisation applicative, au titre de la minimisation — art. 5.1.c RGPD) :
- Adresse email, prénom, nom, téléphone
- IBAN (FR + ISO 13616)
- Numéros de carte bancaire
- Toute donnée passée explicitement comme extra_pii par les outils IA (descriptions de transactions sensibles, etc.)
Base légale : exécution du contrat et intérêt légitime (art. 6.1.b et 6.1.f RGPD) — le traitement IA fait partie intégrante du service. Mistral AI n'utilise pas vos données pour entraîner ses modèles.
Droit d'opposition : vous pouvez à tout moment vous opposer au profilage par les Labs IA (art. 21 RGPD) depuis vos droits RGPD ; Vision Finance désactive alors les analyses IA pour votre compte.
Encadrement contractuel : le traitement par Mistral AI est régi par un accord de sous-traitance (DPA, art. 28 RGPD) ; les données restent dans l'Union européenne.
Décisions automatisées : aucune décision produisant des effets juridiques n'est prise par l'IA. Les analyses ont valeur informative uniquement ; Vision Finance n'est pas conseiller en investissement.
Analyse d'impact (AIPD) : conformément à l'article 35 RGPD, une analyse d'impact
relative à la protection des données a été conduite pour les quatre traitements IA (Analyse technique IA,
Briefs macro IA, Prévisions budgétaires, Coach). Le document complet — risques identifiés, mesures techniques et organisationnelles —
est versionné dans
docs/rgpd/aipd_labs_ia.md
et tenu à disposition de la CNIL sur demande (Art. 35.7).
7. Transferts hors UE
Plusieurs sous-traitants identifiés ci-dessus sont établis aux États-Unis. Conformément à l'arrêt Schrems II (CJUE, 16 juillet 2020), le mécanisme Privacy Shield est obsolète et n'est plus invocable. Vision Finance s'appuie désormais sur le cadre suivant :
- Clauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution (UE) 2021/914, Module 2 (responsable de traitement → sous-traitant)
- Transfer Impact Assessments (TIA) documentés pour
chaque sous-traitant US, conformes aux recommandations EDPB 01/2020 v2.0 —
consultables dans
docs/rgpd/ - Mesures techniques supplémentaires :
- Chiffrement applicatif Fernet des champs sensibles au repos (IBAN, secrets 2FA, tokens GoCardless, messages Coach IA)
- Inférence IA confiée à un sous-traitant UE (Mistral AI) — ce flux n'est plus un transfert hors UE ; anonymisation des prompts maintenue au titre de la minimisation (cf. §6.1)
- TLS 1.3 imposé pour toutes les communications
- Mesures organisationnelles :
- Droit d'opposition au profilage IA (Art. 21 RGPD)
- Revue annuelle des TIA — prochaine échéance 2027-05-17
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement des mots de passe (hashing bcrypt)
- Connexions HTTPS (SSL/TLS)
- Sauvegardes régulières chiffrées
- Accès restreint aux données personnelles
- Surveillance des accès suspects
9. Vos droits RGPD
Vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données. Opérationnel : exporter mes données → (archive ZIP JSON+CSV envoyée par email, lien valable 7 jours).
Droit de rectification
Corriger vos données inexactes
Droit à l'effacement
Supprimer vos données. Opérationnel : supprimer mon compte → (confirmation par email + délai de grâce 7 jours).
Droit à la limitation
Limiter le traitement de vos données
Droit à la portabilité
Récupérer vos données dans un format lisible
Droit d'opposition
Vous opposer à certains traitements
Pour exercer vos droits : dpo@visionfinance.io
Réponse sous 1 mois maximum.
9.1 Profilage et décisions automatisées (Art. 22 RGPD)
L'article 22 RGPD vous garantit le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative.
Vision Finance ne prend aucune décision automatisée de ce type. Les analyses IA décrites au §6.1 ont valeur exclusivement informative : elles ne déclenchent ni refus de service, ni blocage de compte, ni tarification dynamique. Toutes les décisions financières restent à votre main.
| Traitement | Type | Décision automatique ? | Effet juridique ? |
|---|---|---|---|
| Catégorisation des transactions | Profilage léger | Suggestion modifiable manuellement | Aucun |
| Suggestions de budget (Smart Budget) | Recommandation | Non — proposition à valider | Aucun |
| Scoring d'actifs GQDV (30 critères) | Profilage d'actifs (pas de personnes) | Note indicative | Aucun |
| Prévisions budgétaires | Prédiction | Estimation indicative | Aucun |
| Coach IA | Réponses conversationnelles | Réponses informatives | Aucun |
Droit à l'explication : vous pouvez à tout moment
demander à comprendre la logique d'une analyse IA en contactant le
DPO (dpo@visionfinance.io).
L'analyse d'impact AIPD est publiquement consultable —
docs/rgpd/aipd_labs_ia.md.
Droit d'opposition : vous pouvez à tout moment vous opposer au profilage par les Outils IA (Art. 21 RGPD) depuis vos droits RGPD. Vision Finance désactive alors les analyses IA pour votre compte. L'inférence IA est par ailleurs réalisée par un sous-traitant établi dans l'Union européenne (Mistral AI, cf. §6.1).
9.2 Vérification d'âge — majeurs uniquement
Vision Finance traite des données financières et fiscales. L'usage du service est réservé aux personnes majeures (18 ans ou plus). Une vérification d'âge à l'inscription sera mise en place conformément à VIS-141 (RGPD-15).
Si vous constatez qu'un mineur a créé un compte sur Vision Finance, contactez immédiatement le DPO (dpo@visionfinance.io) — le compte sera supprimé et les données effacées en application de la procédure de violation.
10. Cookies
Nous utilisons les cookies suivants :
| Cookie | Type | Durée | Finalité |
|---|---|---|---|
| sessionid | Essentiel | 14 jours | Maintenir votre connexion |
| csrftoken | Sécurité | 13 mois | Protection contre les attaques CSRF |
11. Modifications
Nous pouvons modifier cette politique. Les modifications importantes vous seront notifiées par email.
12. Réclamation CNIL
En cas de litige, vous pouvez déposer une réclamation auprès de la CNIL :
CNIL
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr
13. Contact
Pour toute question sur vos données personnelles :
Email : dpo@visionfinance.io
Support : support@visionfinance.io
Politique de confidentialité version 2026-06-17
Dernière mise à jour : 2026-06-17 · Version précédente conservée par le DPO.
