Politique de confidentialité
Dernière mise à jour : 1er janvier 2025
1. Introduction
La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs du site et de l'application Wealth.OS (ci-après le « Service ») de la manière dont leurs données à caractère personnel sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), ainsi qu'à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version en vigueur (ci-après la « Loi Informatique et Libertés »).
Wealth.OS est un outil de gestion financière et de suivi de patrimoine en ligne (SaaS) permettant aux utilisateurs de centraliser, visualiser et analyser l'ensemble de leurs actifs, comptes bancaires, investissements et transactions financières.
En utilisant le Service, vous reconnaissez avoir pris connaissance de la présente Politique et acceptez les modalités de traitement de vos données personnelles qui y sont décrites. Si vous n'acceptez pas cette Politique, nous vous invitons à ne pas utiliser le Service.
2. Responsable du traitement
Le responsable du traitement des données à caractère personnel est :
| Nom commercial | Wealth.OS |
|---|---|
| SIREN | 949 698 682 |
| Siège social | 1 impasse Bernadou, 31600 Labastidette, France |
| Email de contact / DPO | admin@gowealthos.com |
En sa qualité de responsable du traitement, Wealth.OS détermine les finalités et les moyens des traitements de données à caractère personnel réalisés dans le cadre du Service. Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse email indiquée ci-dessus.
3. Données collectées
Dans le cadre de la fourniture du Service, nous sommes amenés à collecter et traiter les catégories de données à caractère personnel suivantes :
3.1 Données de compte
Ces données sont collectées lors de la création de votre compte utilisateur et sont nécessaires à l'exécution du contrat qui nous lie :
- Adresse email
- Mot de passe (stocké sous forme hachée et salée par Supabase — nous n'avons jamais accès à votre mot de passe en clair)
- Nom et prénom
3.2 Données financières
Ces données constituent le coeur du Service et sont collectées à votre initiative ou via les connexions que vous autorisez :
- Connexions de comptes bancaires (établies via des API sécurisées de fournisseurs tiers agréés)
- Données de transactions (montants, dates, libellés, catégories)
- Valeurs des actifs (immobilier, épargne, placements financiers, cryptomonnaies, etc.)
- Compositions de portefeuilles d'investissement
3.3 Données d'utilisation
Ces données sont collectées automatiquement afin d'améliorer le Service et l'expérience utilisateur :
- Pages visitées et parcours de navigation
- Fonctionnalités utilisées et fréquence d'utilisation
- Durée des sessions
3.4 Données techniques
Ces données sont collectées automatiquement lors de votre connexion au Service :
- Adresse IP
- Type et version du navigateur
- Type d'appareil (ordinateur, tablette, mobile)
- Système d'exploitation
- Résolution d'écran
3.5 Cookies et traceurs
Le Service utilise des cookies nécessaires, d'analyse, de fonctionnalité et de marketing. Pour une information détaillée sur les cookies utilisés, leurs finalités et la manière de les gérer, veuillez consulter notre Politique relative aux cookies.
4. Base légale du traitement
Conformément à l'article 6 du RGPD, chaque traitement de données à caractère personnel repose sur une base légale spécifique. Le tableau ci-dessous détaille la base légale applicable à chaque activité de traitement :
| Activité de traitement | Base légale | Justification |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Nécessaire à la fourniture du Service tel que décrit dans nos Conditions Générales d'Utilisation |
| Collecte et affichage des données financières | Exécution du contrat (art. 6.1.b) | Fonctionnalité principale du Service de suivi de patrimoine |
| Connexion aux comptes bancaires via API | Consentement explicite (art. 6.1.a) | L'utilisateur initie et autorise expressément chaque connexion bancaire |
| Analyse et statistiques d'utilisation | Intérêt légitime (art. 6.1.f) | Amélioration continue du Service, compréhension des usages, optimisation de l'expérience utilisateur |
| Envoi de communications relatives au Service | Exécution du contrat (art. 6.1.b) | Notifications transactionnelles, alertes de sécurité, mises à jour du Service |
| Envoi de communications marketing et newsletters | Consentement (art. 6.1.a) | L'utilisateur consent expressément à recevoir des communications promotionnelles |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6.1.f) | Protection du Service, des utilisateurs et des données contre les accès non autorisés et les activités frauduleuses |
| Collecte de données techniques (IP, navigateur) | Intérêt légitime (art. 6.1.f) | Assurer le bon fonctionnement technique du Service et la résolution d'incidents |
| Dépôt de cookies analytiques et marketing | Consentement (art. 6.1.a) | Conformément à l'article 82 de la Loi Informatique et Libertés, le consentement est recueilli via le bandeau cookies |
| Respect des obligations fiscales et comptables | Obligation légale (art. 6.1.c) | Conservation des données de facturation conformément au Code de commerce et au Code général des impôts |
5. Finalités du traitement
Vos données à caractère personnel sont traitées pour les finalités suivantes :
5.1 Gestion des comptes utilisateurs
Création, administration et suppression de votre compte ; authentification et vérification de votre identité ; gestion de vos préférences et paramètres.
5.2 Fourniture et exécution du Service
Agrégation et affichage de vos données financières ; connexion sécurisée à vos comptes bancaires ; calcul et suivi de votre patrimoine ; génération de tableaux de bord, graphiques et analyses financières ; alertes et notifications personnalisées relatives à vos finances.
5.3 Amélioration et analyse
Analyse statistique de l'utilisation du Service (de manière agrégée et anonymisée lorsque cela est possible) ; identification des fonctionnalités les plus utilisées ; détection et correction de bugs ; développement de nouvelles fonctionnalités en adéquation avec les besoins des utilisateurs.
5.4 Communication
Envoi de notifications transactionnelles (confirmations, alertes de sécurité) ; envoi de newsletters et communications marketing (avec votre consentement) ; réponse à vos demandes de support et de contact.
5.5 Sécurité
Détection et prévention des activités frauduleuses, des accès non autorisés et des abus ; surveillance de la sécurité de l'infrastructure ; journalisation des accès à des fins de traçabilité.
5.6 Obligations légales
Respect des obligations fiscales, comptables et légales applicables ; réponse aux demandes des autorités compétentes dans le cadre prévu par la loi.
6. Durée de conservation
Vos données à caractère personnel sont conservées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Les durées de conservation applicables sont les suivantes :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (email, nom) | Durée de la relation contractuelle + 3 ans après la suppression du compte | Gestion de la relation client et prescription civile de droit commun |
| Mot de passe (haché) | Durée de la relation contractuelle — supprimé à la clôture du compte | Authentification |
| Données financières (transactions, actifs, portefeuilles) | Durée de la relation contractuelle — supprimées dans un délai de 30 jours après la clôture du compte | Fourniture du Service |
| Connexions bancaires | Durée de la relation contractuelle — révoquées immédiatement à la clôture du compte | Fonctionnalité d'agrégation |
| Données d'utilisation | 25 mois maximum à compter de la collecte | Recommandation CNIL relative aux cookies et traceurs |
| Données techniques (IP, navigateur) | 12 mois maximum à compter de la collecte | Sécurité et résolution d'incidents techniques |
| Cookies analytiques et marketing | 13 mois maximum à compter du dépôt | Recommandation CNIL relative aux cookies |
| Données de facturation | 10 ans à compter de la clôture de l'exercice comptable | Obligations comptables (art. L.123-22 du Code de commerce) |
| Journaux de connexion (logs) | 1 an | Obligation légale (décret n° 2011-219 du 25 février 2011) |
À l'expiration des durées de conservation indiquées, vos données sont supprimées de manière sécurisée ou anonymisées de façon irréversible afin de ne plus permettre votre identification.
7. Destinataires des données
Vos données à caractère personnel peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte limite de ce qui est nécessaire aux finalités décrites dans la présente Politique :
7.1 Personnel interne
Seuls les membres habilités de l'équipe Wealth.OS ont accès à vos données, dans la limite de leurs attributions respectives (support client, développement, administration). L'accès est soumis à des mesures de contrôle strictes et au principe du moindre privilège.
7.2 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation | Données concernées |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage des profils utilisateurs | États-Unis | Données de compte, données d'authentification, profils utilisateurs |
| Vercel Inc. | Hébergement de l'application web, CDN, fonctions serverless | États-Unis | Données techniques (IP, requêtes HTTP), données de session |
Ces sous-traitants agissent exclusivement sur nos instructions et sont liés par des accords de traitement de données (Data Processing Agreements — DPA) conformes à l'article 28 du RGPD.
7.3 Fournisseurs de services d'analyse
Nous pouvons recourir à des fournisseurs tiers de services d'analyse (par exemple, pour les statistiques d'utilisation ou la mesure d'audience) qui traitent des données d'utilisation et techniques de manière agrégée. Ces traitements sont soumis à votre consentement préalable via notre bandeau de gestion des cookies.
7.4 Autres destinataires
Vos données peuvent également être communiquées :
- Aux autorités judiciaires, administratives ou fiscales lorsque nous y sommes tenus par la loi ou sur requête légitime de leur part ;
- À des conseillers professionnels (avocats, comptables) dans le cadre de la gestion de l'entreprise, sous obligation de confidentialité.
Wealth.OS ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales.
8. Transferts internationaux de données
Certaines de vos données à caractère personnel sont transférées vers les États-Unis, pays situé en dehors de l'Espace Économique Européen (EEE), dans le cadre de l'utilisation de nos sous-traitants techniques Vercel Inc. et Supabase Inc.
Conformément aux articles 44 à 49 du RGPD, ces transferts sont encadrés par les garanties appropriées suivantes :
- EU-U.S. Data Privacy Framework (DPF) : nos sous-traitants participent au cadre de protection des données UE-États-Unis, tel que reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023. Cette décision garantit un niveau de protection des données essentiellement équivalent à celui offert par le droit de l'Union européenne.
- Clauses Contractuelles Types (CCT / SCCs) : en complément ou en alternative au DPF, nos contrats avec Vercel et Supabase intègrent les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), qui imposent des obligations contractuelles strictes en matière de protection des données.
- Mesures supplémentaires : des mesures techniques et organisationnelles complémentaires sont mises en oeuvre (chiffrement des données en transit et au repos, contrôle d'accès renforcé, évaluation régulière des risques) afin d'assurer un niveau de protection adéquat de vos données.
Vous pouvez obtenir une copie des garanties appropriées encadrant ces transferts en nous contactant à l'adresse admin@gowealthos.com.
9. Sécurité des données
Wealth.OS met en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :
9.1 Mesures techniques
- Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont protégées par le protocole TLS (Transport Layer Security) avec des certificats SSL/TLS à jour.
- Chiffrement au repos : les données stockées dans nos bases de données sont chiffrées au repos (AES-256) par nos sous-traitants d'hébergement.
- Hachage des mots de passe : les mots de passe ne sont jamais stockés en clair. Ils sont hachés à l'aide d'algorithmes cryptographiques robustes (bcrypt) avec salage individuel, gérés par Supabase.
- Pare-feu et protection réseau : l'infrastructure est protégée par des pare-feu applicatifs (WAF) et des systèmes de détection d'intrusion.
- Mises à jour de sécurité : les dépendances logicielles et les systèmes sont régulièrement mis à jour pour corriger les vulnérabilités connues.
9.2 Mesures organisationnelles
- Principe du moindre privilège : l'accès aux données personnelles est limité aux seules personnes qui en ont besoin dans le cadre de leurs fonctions, avec des niveaux d'accès différenciés.
- Authentification renforcée : l'accès aux systèmes d'administration est protégé par une authentification multi-facteurs (MFA).
- Journalisation des accès : les accès aux données personnelles sont journalisés et audités afin de détecter tout accès non autorisé.
- Sauvegardes régulières : des sauvegardes chiffrées sont effectuées régulièrement afin de prévenir toute perte de données.
- Procédure de gestion des incidents : en cas de violation de données, une procédure de notification est en place conformément à l'article 33 du RGPD (notification à la CNIL dans un délai de 72 heures et, le cas échéant, information des personnes concernées).
10. Vos droits
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants concernant vos données à caractère personnel :
| Droit | Description | Référence légale |
|---|---|---|
| Droit d'accès | Obtenir la confirmation que vos données sont traitées et accéder à l'ensemble des données vous concernant, ainsi qu'aux informations relatives au traitement | Art. 15 RGPD |
| Droit de rectification | Demander la correction de vos données inexactes ou le complément de vos données incomplètes | Art. 16 RGPD |
| Droit à l'effacement | Demander la suppression de vos données personnelles (sous réserve des obligations légales de conservation) | Art. 17 RGPD |
| Droit à la portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement | Art. 20 RGPD |
| Droit d'opposition | Vous opposer au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage. En cas d'opposition au traitement à des fins de prospection commerciale, ce droit est absolu | Art. 21 RGPD |
| Droit à la limitation du traitement | Demander la limitation du traitement de vos données dans certains cas (contestation de l'exactitude, traitement illicite, données nécessaires à la constatation de droits en justice) | Art. 18 RGPD |
| Droit au retrait du consentement | Retirer à tout moment votre consentement lorsque le traitement est fondé sur celui-ci, sans que cela ne compromette la licéité du traitement effectué avant le retrait | Art. 7.3 RGPD |
| Droit de définir des directives post-mortem | Définir des directives relatives au sort de vos données après votre décès | Art. 85 Loi Informatique et Libertés |
Comment exercer vos droits
Vous pouvez exercer l'ensemble de vos droits en nous adressant une demande :
- Par email : à l'adresse admin@gowealthos.com, en précisant l'objet de votre demande et en joignant une copie d'un justificatif d'identité en cas de doute raisonnable sur votre identité.
- Par courrier postal : à l'adresse du siège social : Wealth.OS, 1 impasse Bernadou, 31600 Labastidette, France.
Nous nous engageons à répondre à toute demande d'exercice de droits dans un délai maximum d'un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes, auquel cas vous serez informé(e) de cette prolongation et de ses motifs dans le délai initial d'un mois.
L'exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous nous réservons le droit de facturer des frais raisonnables ou de refuser de donner suite à la demande, conformément à l'article 12.5 du RGPD.
11. Cookies et traceurs
Le Service utilise des cookies et autres traceurs pour assurer son bon fonctionnement, mesurer son audience et, sous réserve de votre consentement, à des fins d'analyse et de marketing.
Les cookies sont classés en quatre catégories :
- Cookies strictement nécessaires : indispensables au fonctionnement du Service (authentification, sécurité, préférences de session). Ils ne nécessitent pas votre consentement.
- Cookies analytiques : permettent de mesurer l'audience et d'analyser l'utilisation du Service. Soumis à votre consentement.
- Cookies de fonctionnalité : permettent de mémoriser vos préférences et de personnaliser votre expérience. Soumis à votre consentement.
- Cookies marketing : utilisés pour afficher des publicités pertinentes et mesurer l'efficacité des campagnes. Soumis à votre consentement.
Pour une information complète sur les cookies utilisés, leurs durées de vie, leurs fournisseurs et la manière de gérer vos préférences, veuillez consulter notre Politique relative aux cookies.
12. Protection des mineurs
Le Service Wealth.OS est destiné exclusivement aux personnes physiques âgées de dix-huit (18) ans ou plus. Nous ne collectons pas sciemment de données à caractère personnel relatives à des mineurs de moins de 18 ans.
Si nous prenons connaissance du fait que des données personnelles concernant un mineur ont été collectées sans le consentement d'un titulaire de l'autorité parentale, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais.
Si vous êtes parent ou tuteur légal et que vous estimez que votre enfant mineur nous a fourni des données personnelles, nous vous invitons à nous contacter à l'adresse admin@gowealthos.com afin que nous puissions procéder à leur suppression.
13. Modifications de la politique de confidentialité
Wealth.OS se réserve le droit de modifier la présente Politique à tout moment afin de l'adapter aux évolutions législatives, réglementaires ou techniques, ou en cas de changement dans nos pratiques de traitement des données.
En cas de modification substantielle, nous nous engageons à vous en informer par les moyens suivants :
- Notification par email à l'adresse associée à votre compte, au moins trente (30) jours avant l'entrée en vigueur des modifications ;
- Affichage d'un bandeau d'information visible lors de votre prochaine connexion au Service ;
- Mise à jour de la date de « dernière mise à jour » en haut de la présente page.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications. La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut acceptation de la Politique mise à jour.
14. Contact et réclamation
14.1 Nous contacter
Pour toute question, demande d'information ou exercice de vos droits relatifs à la protection de vos données personnelles, vous pouvez nous contacter :
- Par email : admin@gowealthos.com
- Par courrier : Wealth.OS — 1 impasse Bernadou, 31600 Labastidette, France
Nous nous efforçons de répondre à toute demande dans un délai raisonnable et, en tout état de cause, dans le respect des délais légaux applicables.
14.2 Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits en matière de protection des données ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
France
- Téléphone : 01 53 73 22 22
- Site web : www.cnil.fr
- Plainte en ligne : www.cnil.fr/fr/plaintes
Nous vous encourageons néanmoins à nous contacter en premier lieu afin que nous puissions tenter de résoudre votre problème directement et dans les meilleurs délais.