PayscoreRetour

Politique de confidentialité

Dernière mise à jour : 12 mai 2026

Cette politique explique quelles données Payscore collecte, pourquoi, combien de temps elles sont conservées, et comment vous pouvez exercer vos droits. Elle est rédigée en application du Règlement Général sur la Protection des Données (UE 2016/679, dit « RGPD ») et de la loi Informatique et Libertés.

Responsable du traitement

Baptiste Bassement, entrepreneur individuel — 2 rue du Jardin Public, 59235 Bersée, France.
Contact : baptiste0712@gmail.com.

Données collectées

Données de compte

  • Adresse email (identifiant unique de connexion)
  • Mot de passe, stocké sous forme hachée bcrypt (coût 12), jamais en clair
  • Date de création du compte, dernière connexion

Données financières que vous saisissez

  • Transactions bancaires (libellé, montant, date, catégorie)
  • Avoirs : actions, crypto-actifs, immobilier, contrats d'assurance vie et PER
  • Prêts en cours, abonnements récurrents, objectifs d'épargne
  • Champs sensibles : numéros de compte bancaire et numéros de contrat — chiffrés en AES-256-GCM avant tout stockage, avec une clé secrète détenue côté serveur

Données techniques

  • Logs d'erreurs (Sentry), anonymisés sur les champs sensibles
  • Métriques de mesure d'audience anonymes (Vercel Analytics), sans cookie tiers

Finalités et base légale

L'ensemble des données est traité pour l'exécution du contrat qui vous lie au service (article 6.1.b du RGPD) : fournir la fonctionnalité de suivi de patrimoine, sécuriser l'accès à votre compte, calculer les indicateurs et générer les rapports que vous demandez.

Les logs d'erreurs et la mesure d'audience anonymisée relèvent de l'intérêt légitime (article 6.1.f) à maintenir le service en état de fonctionnement.

Aucune donnée n'est utilisée à des fins publicitaires. Aucune donnée n'est vendue ni partagée avec un tiers commercial.

Durée de conservation

Vos données sont conservées tant que votre compte est actif. À la suppression du compte, l'ensemble des données associées est effacé dans un délai maximal de 30 jours, à l'exception des logs techniques (Sentry) conservés au maximum 90 jours.

Les sauvegardes chiffrées de la base peuvent contenir des données effacées pendant une durée additionnelle maximale de 30 jours avant rotation.

Localisation et transferts

Vos données fonctionnelles sont stockées dans l'Union européenne (Francfort, Allemagne) via Neon. Le suivi d'erreurs est ingéré dans l'UE (ingest.de.sentry.io).

L'application elle-même est servie par Vercel (États-Unis) et les emails sont envoyés via Resend (États-Unis). Ces transferts hors UE sont encadrés par les Clauses Contractuelles Types de la Commission européenne et par le Data Privacy Framework UE–USA (décision d'adéquation de la Commission européenne du 10 juillet 2023).

Sécurité

  • Chiffrement AES-256-GCM des champs sensibles avant stockage
  • Mots de passe hachés bcrypt (coût 12), jamais stockés en clair ni journalisés
  • HTTPS forcé sur l'ensemble du domaine (HSTS 2 ans)
  • Authentification par jeton JWT signé, cookie HttpOnly Secure SameSite=Lax
  • Hébergement physique des données dans l'Union européenne
  • Limitation de débit (rate-limit) et anti-énumération sur l'authentification

Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès et de copie de vos données
  • Droit de rectification
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la portabilité (export de vos données dans un format ouvert)
  • Droit d'opposition et de limitation du traitement

Pour exercer ces droits, écrivez à baptiste0712@gmail.com. Vous recevrez une réponse dans un délai maximal de 30 jours.

Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que vos droits ne sont pas respectés.

Cookies

Payscore utilise uniquement deux types de traceurs :

  • Cookie de session (next-auth.session-token) — strictement nécessaire au fonctionnement de l'authentification. HttpOnly, Secure, SameSite=Lax, durée 30 jours.
  • Mesure d'audience anonymisée (Vercel Analytics) — sans cookie tiers, sans identifiant personnel, exemptée de consentement préalable selon les recommandations de la CNIL.

Aucun cookie publicitaire, aucun tracker tiers, aucun pixel de retargeting. Aucun bandeau de consentement n'est requis.

Modification de la présente politique

Cette politique peut être modifiée pour suivre l'évolution du service. Toute modification substantielle vous sera notifiée par email à l'adresse associée à votre compte.