Politique de confidentialité

Dernière mise à jour : 18 mai 2026 · Version 1.0

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service Horizon est un entrepreneur individuel dont le siège est situé à Vinohrady, 120 00 Prague, République tchèque, joignable à l'adresse : horizondate@outlook.com.

Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée, l'Éditeur s'engage à protéger la vie privée des utilisateurs du Service.

2. Données collectées

Le Service collecte les catégories de données suivantes :

2.1 Données fournies directement par l'Utilisateur

  • Adresse email (création de compte, communications)
  • Données financières personnelles saisies volontairement : montants de dettes, revenus, épargne, dépenses, objectifs d'investissement
  • Transactions issues d'un relevé bancaire que l'Utilisateur choisit d'importer (date, montant, libellé, catégorie). Le fichier est analysé localement dans le navigateur de l'Utilisateur : il n'est transmis à aucune intelligence artificielle ni service tiers. Seules les transactions structurées sont enregistrées dans l'espace personnel de l'Utilisateur, et lui seul y accède.
  • Photos de tickets de caisse / reçus que l'Utilisateur choisit de scanner. L'image est transmise uniquement le temps de l'extraction au sous-traitant Mistral AI (hébergement Union européenne, sans réutilisation des données pour l'entraînement de modèles), puis n'est jamais conservée. Seule la dépense validée par l'Utilisateur (date, marchand, montant, catégorie) est enregistrée.
  • Données de paiement traitées exclusivement par Stripe, Inc. (l'Éditeur n'accède jamais aux numéros de carte bancaire)

2.2 Données collectées automatiquement

  • Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, horodatage
  • Cookies techniques nécessaires au fonctionnement du Service (session, authentification)
  • Données d'usage anonymisées à des fins d'amélioration du Service (via Vercel Analytics)

2.3 Données non collectées

Le Service ne collecte pas et n'a pas accès aux identifiants ou accès bancaires (IBAN, numéro de carte, identifiants de connexion bancaire) : aucune connexion à un compte bancaire n'est établie. L'import de relevé se fait par fichier, à la seule initiative de l'Utilisateur, et son contenu est traité localement. Le Service ne collecte aucune donnée de santé ni donnée de catégorie sensible au sens de l'article 9 du RGPD.

3. Finalités et bases légales des traitements

FinalitéBase légale
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b RGPD)
Fourniture des fonctionnalités du ServiceExécution du contrat (art. 6.1.b RGPD)
Gestion de la facturation et des abonnementsExécution du contrat (art. 6.1.b RGPD)
Envoi d'emails transactionnels (confirmation, factures)Exécution du contrat (art. 6.1.b RGPD)
Envoi d'emails marketing et newslettersConsentement (art. 6.1.a RGPD) — retirable à tout moment
Analyse d'audience anonymisée pour améliorer le Service (Vercel Analytics)Consentement (art. 6.1.a RGPD) — retirable à tout moment
Prévention de la fraude et sécuritéIntérêt légitime (art. 6.1.f RGPD)
Respect des obligations légales et comptablesObligation légale (art. 6.1.c RGPD)

4. Durées de conservation

  • Données de compte actif : conservées pendant toute la durée du compte, puis 30 jours après la clôture du compte avant suppression définitive.
  • Données financières saisies : conservées pendant toute la durée du compte, supprimées avec le compte.
  • Données de facturation : conservées 10 ans conformément aux obligations comptables françaises (art. L.123-22 du Code de commerce).
  • Logs de connexion : conservés 1 an conformément à la loi française (art. L.34-1 CPCE).
  • Cookies techniques : durée de session ou maximum 13 mois.

5. Destinataires et sous-traitants

Les données personnelles peuvent être transmises aux sous-traitants suivants, dans le strict cadre de la fourniture du Service :

  • Supabase, Inc. (USA) — Hébergement de la base de données et authentification. Données hébergées en UE (région eu-west). Couvert par les clauses contractuelles types (CCT) de la Commission européenne.
  • Vercel, Inc. (USA) — Hébergement de l'application web. Données hébergées en UE. Couvert par les CCT de la Commission européenne.
  • Stripe, Inc. (USA) — Traitement des paiements. Stripe est responsable de traitement indépendant pour les données de carte. Couvert par les CCT et certifié PCI-DSS.
  • Resend, Inc. (USA) — Envoi des emails transactionnels (confirmation d'inscription, emails d'essai, notifications). Traite l'adresse email de l'Utilisateur. Couvert par les CCT de la Commission européenne.
  • Mistral AI (France, UE) — Reconnaissance optique des tickets de caisse scannés par l'Utilisateur, uniquement le temps de l'extraction. Hébergement UE, aucune réutilisation des données pour l'entraînement. L'image n'est pas conservée.

Les données ne sont jamais vendues à des tiers, ni utilisées à des fins publicitaires par des tiers.

6. Transferts hors UE

Certains sous-traitants (Supabase, Vercel, Stripe, Resend) sont des sociétés américaines. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46 du RGPD, et/ou par le cadre EU-US Data Privacy Framework.

7. Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, l'Utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir une copie des données le concernant
  • Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17 RGPD) : supprimer ses données dans les cas prévus par le RGPD
  • Droit à la limitation du traitement (art. 18 RGPD)
  • Droit à la portabilité (art. 20 RGPD) : recevoir ses données dans un format structuré et lisible
  • Droit d'opposition (art. 21 RGPD) : s'opposer aux traitements fondés sur l'intérêt légitime
  • Droit de retrait du consentement à tout moment pour les traitements fondés sur le consentement
  • Droit de définir des directives post-mortem relatives à ses données

Pour exercer ces droits, l'Utilisateur doit adresser une demande écrite accompagnée d'une copie de sa pièce d'identité (si nécessaire pour vérification) à : horizondate@outlook.com

L'Éditeur s'engage à répondre dans un délai maximum d'1 mois à compter de la réception de la demande (délai extensible à 3 mois pour les demandes complexes, avec information préalable de l'Utilisateur).

En cas de réponse insatisfaisante, l'Utilisateur peut introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

8. Cookies et traceurs

8.1 Cookies strictement nécessaires (toujours actifs)

  • Cookie de session : maintien de l'authentification de l'Utilisateur. Durée : session. Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Cookie de préférences : mémorisation des paramètres d'affichage. Durée : 1 an.

Ces cookies ne peuvent pas être refusés sans impacter l'accès au Service, conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL.

8.2 Mesure d'audience sans cookie (optionnelle — soumise à consentement)

Le Service utilise Vercel Analytics, un outil de mesure d'audience qui ne dépose aucun cookie et n'utilise aucun identifiant persistant côté navigateur. Il fonctionne par l'injection d'un script qui transmet à Vercel, Inc. des données agrégées et anonymisées : pages visitées, référant, type d'appareil, pays (IP anonymisée selon le principe de minimisation RGPD). Ces données sont traitées par Vercel en tant que sous-traitant dans le seul but d'améliorer le Service.

Bien que ce traceur ne dépose pas de cookie au sens strict, son activation est soumise au consentement de l'Utilisateur conformément aux lignes directrices de la CNIL sur les traceurs (délibération n°2020-092). Le consentement est recueilli via le bandeau de préférences affiché à la première visite. L'Utilisateur peut retirer son accord à tout moment en cliquant sur « Refuser les optionnels » dans ce bandeau (accessible en effaçant les préférences enregistrées dans son navigateur) ou en contactant l'Éditeur à horizondate@outlook.com.

Base légale : consentement (art. 6.1.a RGPD). Durée de conservation chez Vercel : 90 jours.

Aucun cookie publicitaire, aucun cookie de profilage comportemental et aucun traceur de suivi inter-sites à des fins commerciales ne sont utilisés.

9. Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, perte, destruction ou altération :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Chiffrement des données au repos (AES-256 chez Supabase)
  • Authentification sécurisée (hachage des mots de passe via bcrypt)
  • Isolation des données par utilisateur via Row Level Security (RLS)
  • Accès aux données de production limité au strict nécessaire

En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'Éditeur s'engage à notifier les personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD.

9bis. Application web progressive (PWA) et notifications

Le Service propose l'installation en tant qu'application sur l'écran d'accueil de votre appareil (PWA — Progressive Web App). Cette fonctionnalité utilise un service worker, un script technique qui permet le fonctionnement hors-ligne partiel et le pré-chargement de ressources statiques. Le service worker ne collecte aucune donnée personnelle et n'accède pas aux données financières de l'Utilisateur (celles-ci sont chargées directement depuis Supabase, exclu du périmètre du service worker).

Le Service est techniquement capable d'envoyer des notifications push. Si cette fonctionnalité est activée, elle sera soumise à l'accord explicite de l'Utilisateur via la demande de permission du navigateur. Cette permission est révocable à tout moment depuis les paramètres du navigateur. La base légale serait le consentement (art. 6.1.a RGPD).

10. Mineurs

Le Service est destiné aux personnes majeures (18 ans et plus). L'Éditeur ne collecte pas sciemment de données personnelles concernant des mineurs. Si un mineur a fourni des données personnelles à l'insu de ses parents, ces derniers peuvent en demander la suppression à horizondate@outlook.com.

11. Modifications de la présente politique

L'Éditeur se réserve le droit de modifier la présente politique à tout moment, notamment pour se conformer à des évolutions réglementaires ou des modifications du Service. Les modifications substantielles feront l'objet d'une notification par email ou via le Service. La date de dernière mise à jour est indiquée en en-tête du document.

12. Contact et délégué à la protection des données

Pour toute question relative à la présente politique ou à l'exercice de vos droits, contactez l'Éditeur à : horizondate@outlook.com

En tant qu'entrepreneur individuel ne traitant pas de données sensibles à grande échelle, l'Éditeur n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPD/DPO) au sens de l'article 37 du RGPD.