Aller au contenu principal
Logo qorinaveth
qorinaveth
Vos finances personnelles en toute clarté
Sécurité garantie
Certifié fiable

Politique de confidentialité

Entrée en vigueur : 15 janvier 2025
Dernière révision : 15 janvier 2025
Entité responsable : qorinaveth, 6 Rue Nationale, 35000 Rennes, France

Ce document expose la manière dont qorinaveth recueille, gère et protège les éléments d'identification associés aux personnes utilisant nos outils logiciels de gestion budgétaire. Notre démarche repose sur une logique de minimisation : nous n'obtenons que ce qui sert directement au fonctionnement du service.

Catégories d'informations obtenues

Les détails que nous recevons varient selon vos interactions avec nos outils. Certains arrivent directement lors de la création d'un compte. D'autres émergent au fil de l'utilisation quotidienne du logiciel.

Informations fournies lors de l'inscription

Quand quelqu'un décide d'ouvrir un compte chez nous, un formulaire demande quelques éléments de base. Nom complet — pour personnaliser l'expérience. Une adresse électronique — qui devient l'identifiant principal et le canal de communication. Un mot de passe choisi par l'utilisateur — que nous chiffrons immédiatement après réception. Dans certains cas, une adresse postale peut être demandée si l'accès à des fonctionnalités avancées nécessite une vérification géographique.

Données produites pendant l'utilisation

L'usage quotidien génère différents types de traces :

  • Détails techniques du dispositif employé : type de navigateur, système d'exploitation, résolution d'écran
  • Adresse IP d'origine — utilisée pour détecter des connexions inhabituelles et prévenir les accès non autorisés
  • Horodatage des sessions : moments de connexion et de déconnexion
  • Parcours au sein de l'application : sections consultées, durée passée sur chaque écran
  • Contenu budgétaire saisi : catégories de dépenses, montants, étiquettes personnalisées

Informations provenant de sources externes

Si vous choisissez de synchroniser vos comptes bancaires via un agrégateur tiers, nous recevons des données transactionnelles. Celles-ci incluent dates, montants, libellés de transactions. Ces flux passent par des intermédiaires certifiés que nous ne contrôlons pas directement. Nous vérifions leur conformité réglementaire avant tout partenariat.

Finalités guidant l'exploitation des données

Chaque élément collecté répond à une nécessité opérationnelle précise. Aucune donnée n'est récupérée par simple précaution ou pour un usage hypothétique futur.

Fourniture du service principal — Vos informations budgétaires permettent de générer des tableaux de bord, des graphiques d'évolution, des alertes de seuil. Sans ces détails, l'outil perd son utilité première.

Authentification et sécurité — L'adresse électronique et le mot de passe servent à vérifier votre identité à chaque connexion. L'adresse IP aide à repérer des tentatives d'accès depuis des lieux inhabituels.

Communication directe — Nous envoyons des notifications liées à votre compte : confirmations d'actions importantes, alertes de sécurité, mises à jour essentielles du service. Vous pouvez ajuster ces préférences dans les paramètres.

Amélioration continue — L'analyse des parcours utilisateurs révèle les points de friction dans l'interface. Ces observations guident les ajustements techniques et ergonomiques.

Nous n'employons jamais vos informations personnelles pour du profilage publicitaire. Les données budgétaires restent strictement cantonnées au contexte de votre usage individuel. Elles ne servent pas à construire des segments marketing ou à alimenter des modèles prédictifs externes.

Circulation des informations hors de notre infrastructure

La transmission d'éléments vers des entités externes survient dans des situations limitées et encadrées.

Prestataires techniques essentiels

Notre infrastructure repose sur des partenaires spécialisés :

  • Hébergement cloud situé en Europe de l'Ouest — stockage physique des bases de données
  • Service de messagerie transactionnelle — envoi des courriels liés au compte
  • Plateforme d'analyse technique — surveillance des performances et détection des anomalies
  • Système de sauvegarde externalisé — copies de sécurité chiffrées

Ces acteurs opèrent sous contrat strict. Ils ne peuvent utiliser vos données qu'aux fins précises stipulées dans leur mandat. Accès minimal nécessaire. Audits réguliers de conformité.

Obligations réglementaires

Dans des circonstances exceptionnelles, des autorités peuvent exiger la divulgation d'informations spécifiques. Cela peut survenir lors d'enquêtes judiciaires, de procédures fiscales ou de demandes officielles émanant d'organismes de régulation. Nous examinons minutieusement chaque requête pour vérifier sa légitimité juridique. Nous ne transmettons que le strict minimum requis et informons l'utilisateur concerné sauf interdiction légale explicite.

Transferts géographiques

L'ensemble de nos serveurs principaux se trouve sur le territoire de l'Union européenne. Certains sous-traitants techniques peuvent disposer d'équipements situés hors de cette zone. Dans ce cas, nous nous assurons que des mécanismes de protection équivalents sont en place : clauses contractuelles types validées par les autorités européennes, certifications reconnues, garanties contractuelles renforcées.

Approche de protection et limites reconnues

La sécurisation des informations qui nous sont confiées constitue une préoccupation permanente. Plusieurs couches de mesures techniques coexistent.

Chiffrement systématique pendant les transmissions — protocole TLS 1.3 pour toutes les communications entre votre navigateur et nos serveurs. Chiffrement au repos des bases de données — algorithmes AES-256 appliqués aux disques de stockage. Contrôle d'accès granulaire — chaque membre de notre équipe dispose de permissions limitées au strict nécessaire pour son rôle. Journalisation détaillée des accès — toute consultation de données sensibles laisse une trace auditable. Tests de pénétration semestriels — évaluation externe de nos défenses par des spécialistes indépendants.

Limites et vulnérabilités résiduelles

Aucun système numérique ne peut garantir une protection absolue. Des risques subsistent malgré nos efforts :

  • Attaques sophistiquées de type « zero-day » exploitant des failles encore inconnues
  • Compromission d'un compte utilisateur via hameçonnage réussi côté client
  • Défaillance d'un sous-traitant malgré les précautions contractuelles
  • Erreur humaine interne malgré les procédures de contrôle

En cas d'incident de sécurité avéré affectant vos données, nous nous engageons à une notification rapide accompagnée d'une analyse des impacts et des mesures correctives déployées.

Capacité d'intervention des utilisateurs

Vous disposez de plusieurs leviers pour agir sur les informations vous concernant.

Consultation et rectification

Un onglet dédié dans votre espace personnel permet de visualiser l'ensemble des détails stockés : informations de profil, historique des connexions récentes, préférences de notification. Toute erreur peut être corrigée directement depuis cette interface. Les modifications prennent effet immédiatement pour les données de profil, avec un délai technique maximal de 48 heures pour les éléments synchronisés avec des systèmes tiers.

Exportation intégrale

Vous pouvez demander une copie complète de vos données dans un format structuré et lisible par machine. Cette extraction inclut toutes les catégories : données de compte, contenu budgétaire, historique d'activité, paramètres personnalisés. Le fichier généré utilise des standards ouverts pour faciliter la réutilisation ailleurs si nécessaire. Délai de préparation habituel : 72 heures après la demande.

Limitation du traitement

Dans certaines situations, vous pouvez obtenir le gel temporaire de certaines opérations sur vos données — par exemple durant la vérification d'une contestation ou pendant une période où vous ne souhaitez pas que certains traitements se poursuivent. Cette suspension n'équivaut pas à une suppression mais restreint fortement ce que nous pouvons faire avec les éléments concernés.

Opposition et retrait du consentement

Lorsqu'un traitement repose sur votre accord explicite plutôt que sur une nécessité contractuelle, vous conservez la possibilité de retirer cet accord à tout moment. Cela s'applique notamment aux communications marketing optionnelles ou à certaines fonctionnalités avancées non essentielles. Le retrait n'affecte pas la légitimité des opérations antérieures mais stoppe immédiatement les traitements futurs concernés.

Suppression définitive

Vous pouvez demander l'effacement complet de votre compte et des données associées. Cette action déclenche un processus de suppression en plusieurs étapes :

  1. Désactivation immédiate de l'accès au service
  2. Effacement des données personnelles identifiantes sous 7 jours
  3. Anonymisation irréversible des données statistiques agrégées conservées pour nos obligations légales
  4. Purge complète des sauvegardes après expiration de leur cycle de rétention technique (90 jours maximum)

Certaines informations peuvent être conservées plus longtemps si des obligations comptables, fiscales ou judiciaires l'imposent. Dans ce cas, elles sont isolées, verrouillées et accessibles uniquement aux personnes habilitées pour ces finalités spécifiques.

Durées de conservation appliquées

Nous appliquons une logique de rétention différenciée selon la nature des informations et leur utilité résiduelle.

Catégorie de données Durée de conservation active Archivage intermédiaire
Données de compte actif Pendant toute la durée d'utilisation du service Non applicable
Historique budgétaire 5 années glissantes accessibles en ligne Archivage froid jusqu'à 10 ans pour conformité comptable
Journaux de connexion 12 mois en accès direct 24 mois supplémentaires en archive sécurisée
Échanges de support client 3 ans après la dernière interaction Destruction définitive au-delà
Compte inactif (aucune connexion) Conservation pendant 2 ans Suppression automatique avec notification préalable 30 jours avant

Ces durées peuvent être réduites à votre demande explicite, sous réserve qu'aucune obligation légale impérative n'impose une rétention minimale.

Fondements juridiques mobilisés

Chaque opération sur vos données s'appuie sur une base légale identifiée par la réglementation européenne.

Exécution du contrat — La majorité des traitements trouve sa justification dans la nécessité d'assurer le service pour lequel vous avez souscrit. Sans ces opérations, nous ne pourrions tout simplement pas livrer les fonctionnalités promises.

Obligations légales — Certaines conservations découlent directement d'exigences réglementaires : comptabilité, fiscalité, lutte contre le blanchiment dans certains contextes spécifiques.

Intérêts légitimes — L'amélioration de nos services, la détection de fraudes, la sécurisation des systèmes constituent des intérêts légitimes reconnus, poursuivis de manière équilibrée sans porter atteinte excessive à vos droits fondamentaux.

Consentement explicite — Pour certaines fonctionnalités optionnelles ou communications non essentielles, nous sollicitons votre accord préalable clair et spécifique.

La conformité aux exigences du Règlement général sur la protection des données (RGPD) guide l'ensemble de nos pratiques. Notre organisation applique également les recommandations de la Commission nationale de l'informatique et des libertés (CNIL) concernant le secteur des services financiers numériques.

Évolutions de cette politique

Ce document peut évoluer pour refléter des changements dans nos pratiques, l'apparition de nouvelles fonctionnalités ou l'évolution du cadre réglementaire. Toute modification substantielle fera l'objet d'une notification directe par courrier électronique au moins 30 jours avant son application effective. Les ajustements mineurs de formulation ou les précisions non impactantes seront simplement datés dans l'en-tête du document. Nous vous encourageons à consulter régulièrement cette page pour rester informé. La poursuite de l'utilisation du service après notification d'une modification majeure vaut acceptation des nouvelles conditions.

Nous joindre au sujet de vos données personnelles

Pour toute question relative au traitement de vos informations, exercice de vos droits ou préoccupation concernant la confidentialité, plusieurs canaux s'offrent à vous.

  • Courrier postal : qorinaveth – Service Protection des Données, 6 Rue Nationale, 35000 Rennes, France
  • Adresse électronique : info@qorinaveth.com (objet recommandé : « Confidentialité »)
  • Téléphone : +33 2 41 87 62 35 (lignes ouvertes du lundi au vendredi, 9h-18h)

Nous nous engageons à répondre à toute demande dans un délai maximal d'un mois suivant sa réception. Dans des situations complexes nécessitant des investigations approfondies, ce délai peut être prolongé de deux mois supplémentaires avec notification motivée.

Si nos réponses ne vous satisfont pas ou si vous estimez que vos droits ne sont pas respectés, vous disposez de la faculté de saisir l'autorité de contrôle compétente. En France, il s'agit de la Commission nationale de l'informatique et des libertés (CNIL), joignable à l'adresse 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via son site officiel permettant le dépôt de plaintes en ligne.

Cette politique de confidentialité ne couvre pas les aspects liés aux technologies de suivi et aux fichiers témoins. Pour ces sujets spécifiques, veuillez consulter notre politique relative aux cookies accessible depuis le pied de page de notre site.