Politique de protection des données personnelles

Dernière actualisation : 18 janvier 2025 Entrée en vigueur : 18 janvier 2025

Notre approche de la responsabilité informationnelle

thirevalona considère chaque donnée comme un dépôt de confiance. Cette philosophie oriente l'ensemble des mécanismes techniques et organisationnels que nous mettons en place lorsque vous interagissez avec nos services de gestion budgétaire.

Les informations que vous nous confiez nous permettent d'assurer le bon fonctionnement de notre plateforme d'optimisation financière. Nous n'obtenons jamais plus d'éléments que ce qui est strictement requis pour délivrer le service attendu, et chaque détail suit un circuit précis depuis sa capture jusqu'à son archivage ou sa suppression définitive.

Ce document détaille comment s'organise ce cycle — de l'instant où vous créez un compte jusqu'aux modalités d'effacement. Il clarifie les motifs pour lesquels certaines catégories d'informations deviennent nécessaires, les personnes y ayant accès, et les conditions encadrant leur éventuel transfert vers des tiers.

Quelles informations recueillons-nous et pourquoi

Données d'identification et de connexion

Lorsque vous établissez un profil sur thirevalona.com, nous enregistrons votre adresse électronique, votre nom complet et un mot de passe chiffré. Ces éléments constituent le socle d'authentification permettant de sécuriser votre accès et d'associer vos budgets à votre identité numérique.

Sans ces composantes, la plateforme ne pourrait distinguer votre session de celle d'un autre utilisateur, ce qui compromettrait la confidentialité de vos informations financières.

Données budgétaires et transactionnelles

Au fil de votre utilisation, vous saisissez des montants, créez des catégories de dépenses, fixez des objectifs d'épargne. Chaque entrée alimente un historique qui nourrit les analyses et visualisations que nous générons pour vous aider à piloter votre budget.

Ces données restent strictement personnelles et ne font jamais l'objet d'une exploitation commerciale. Elles demeurent dans votre espace individuel, isolées des autres comptes par des mécanismes de cloisonnement technique.

Précision importante : Nous ne collectons jamais vos identifiants bancaires directs, numéros de cartes de crédit ou codes d'accès à vos comptes financiers. Les montants que vous renseignez sont déclaratifs et ne proviennent d'aucune connexion automatique à votre établissement bancaire.

Données techniques et de navigation

Chaque fois que vous accédez à notre service, certains paramètres techniques sont automatiquement captés par nos serveurs : l'adresse IP de votre appareil, le type de navigateur utilisé, l'heure de connexion, les pages consultées.

Ces informations servent à détecter les anomalies de sécurité, résoudre les incidents techniques et comprendre comment améliorer la fluidité de l'interface. Elles permettent également de bloquer les tentatives d'accès non autorisées et de générer des journaux d'audit en cas d'investigation.

Communications et assistance

Lorsque vous nous contactez via le formulaire d'assistance ou par courriel, nous archivons votre message, votre adresse électronique et tout élément contextuel nécessaire au traitement de votre demande. Ces échanges sont conservés pour assurer un suivi cohérent et permettre la résolution de problèmes récurrents.

Les fondements juridiques de nos opérations

Chaque traitement que nous effectuons repose sur une base légale définie par le Règlement Général sur la Protection des Données (RGPD). Voici comment ces fondements s'articulent selon les différents types d'opérations :

Type de traitement Base juridique Justification
Création et gestion de compte Exécution contractuelle Nécessaire pour fournir le service de gestion budgétaire auquel vous avez souscrit
Stockage des données budgétaires Exécution contractuelle Constitue le cœur du service proposé et demandé explicitement par l'utilisateur
Journalisation technique Intérêt légitime Protection de l'intégrité du système et prévention des abus de service
Réponse aux demandes d'assistance Exécution contractuelle Fait partie intégrante de l'accompagnement client prévu dans nos conditions
Conservation pour obligations légales Obligation légale Respect des durées de prescription et obligations comptables françaises

Certaines fonctionnalités optionnelles peuvent reposer sur votre consentement explicite. Dans ce cas, vous conservez toujours la possibilité de retirer ce consentement, bien que cela puisse limiter l'accès à certaines options avancées de la plateforme.

Qui accède à vos informations

Accès interne

Seul un nombre restreint de personnes au sein de thirevalona peut consulter vos données personnelles. Il s'agit principalement des équipes techniques en charge de la maintenance des serveurs et du personnel d'assistance client lorsqu'une intervention spécifique est requise pour résoudre un problème que vous avez signalé.

Chaque membre ayant accès est soumis à des obligations strictes de confidentialité et ne peut consulter les informations que dans le cadre défini de ses responsabilités. Aucun accès n'est autorisé à des fins de curiosité personnelle ou de contrôle non justifié.

Prestataires techniques externes

Nous faisons appel à des sociétés spécialisées pour héberger nos serveurs, gérer nos infrastructures de courrier électronique et assurer la sauvegarde sécurisée de nos bases de données. Ces prestataires agissent exclusivement selon nos instructions et sont contractuellement tenus de ne pas exploiter vos données à d'autres fins.

Tous ces partenaires sont sélectionnés pour leur conformité aux standards européens de protection des données. Leurs installations sont situées au sein de l'Union européenne, et aucun transfert vers des juridictions extérieures n'intervient sans garanties appropriées.

Autorités et obligations légales

Dans des circonstances exceptionnelles, nous pouvons être contraints de divulguer certaines informations aux autorités judiciaires ou administratives françaises. Cela inclut les réquisitions légales émises par la justice, les demandes d'organismes fiscaux dans le cadre de contrôles, ou les signalements obligatoires en matière de lutte contre le blanchiment.

Chaque demande est examinée avec attention pour vérifier sa légitimité et sa proportionnalité. Nous ne communiquons que le strict nécessaire et vous informons de ces transmissions sauf si la législation nous l'interdit formellement.

Comment nous protégeons vos données

La sécurité repose sur plusieurs couches de défense combinant des dispositifs techniques et des protocoles organisationnels. Voici les principaux mécanismes que nous avons mis en œuvre :

  • Chiffrement des communications : Toutes les connexions entre votre navigateur et nos serveurs utilisent le protocole HTTPS avec des certificats TLS à jour, empêchant l'interception des données en transit.
  • Chiffrement des mots de passe : Vos mots de passe ne sont jamais stockés en clair. Ils subissent un processus de hachage cryptographique irréversible avec salage individuel, rendant leur reconstitution pratiquement impossible même en cas d'accès non autorisé à la base.
  • Segmentation des accès : Les équipes internes disposent d'autorisations graduées selon le principe du moindre privilège. Un développeur n'a pas les mêmes droits qu'un administrateur système, et chaque action sensible laisse une trace dans les journaux d'audit.
  • Surveillance continue : Des systèmes automatisés détectent les comportements anormaux — tentatives de connexion massives, requêtes inhabituelles, accès depuis des géolocalisations suspectes. En cas d'alerte, des mesures préventives se déclenchent instantanément.
  • Sauvegardes chiffrées : Vos données font l'objet de copies régulières stockées de manière redondante sur des serveurs isolés. Ces sauvegardes sont elles-mêmes chiffrées et testées périodiquement pour garantir leur intégrité.
  • Procédures de réponse aux incidents : En cas de faille de sécurité détectée, un plan d'intervention précis permet d'identifier l'origine du problème, de contenir sa propagation et de notifier les autorités compétentes ainsi que les personnes concernées dans les délais réglementaires.

Malgré tous ces dispositifs, aucune infrastructure numérique ne peut garantir une sécurité absolue. Des vulnérabilités inconnues peuvent exister dans les logiciels que nous utilisons, et des attaques sophistiquées pourraient contourner nos défenses. C'est pourquoi nous restons vigilants et mettons constamment à jour nos systèmes face aux menaces émergentes.

Combien de temps conservons-nous vos informations

La durée de conservation varie selon la nature et l'usage des données. Nous appliquons un principe de limitation temporelle visant à ne conserver les informations que le temps strictement requis pour remplir les finalités justifiant leur collecte.

Données de compte actif

Tant que votre compte demeure ouvert et utilisé, nous gardons l'intégralité de vos informations budgétaires et d'identification afin d'assurer la continuité du service. Votre historique financier complet reste accessible pour vous permettre d'analyser vos évolutions sur le long terme.

Après fermeture de compte

Lorsque vous décidez de fermer définitivement votre compte, nous procédons à l'effacement de la majorité de vos données dans un délai de 30 jours. Cependant, certaines informations peuvent être conservées plus longtemps pour répondre à des obligations légales spécifiques :

  • Les données nécessaires à l'établissement de la preuve d'un droit ou d'un contrat sont gardées pendant la durée de prescription légale applicable (généralement 5 ans en matière civile)
  • Les éléments comptables et factures sont archivés pendant 10 ans conformément aux exigences du Code de commerce français
  • Les journaux techniques liés à la sécurité peuvent être conservés jusqu'à 1 an pour permettre les investigations en cas d'incident de sécurité détecté a posteriori

Données de connexion et journalisation

Les journaux techniques enregistrant vos accès, adresses IP et actions effectuées sur la plateforme sont systématiquement supprimés au bout de 12 mois. Cette période permet de mener des analyses de sécurité tout en respectant le principe de minimisation des données.

Comptes inactifs

Si vous ne vous connectez pas pendant une période de 3 ans consécutifs, nous considérons votre compte comme abandonné. Vous recevrez alors un avertissement par courriel vous invitant à confirmer votre souhait de maintenir le compte actif. En l'absence de réponse dans les 60 jours suivant cet avertissement, nous procéderons à la suppression définitive de vos données selon les modalités décrites précédemment.

Vos droits et comment les exercer

Le RGPD vous confère plusieurs prérogatives concernant les informations que nous détenons à votre sujet. Voici un panorama de ces droits et les modalités pratiques pour les activer :

Droit d'accès

Vous pouvez obtenir une copie complète de l'ensemble des données personnelles vous concernant. Cette extraction vous sera fournie dans un format structuré et couramment utilisable, généralement sous forme de fichier JSON ou CSV téléchargeable depuis votre espace personnel.

Droit de rectification

Si certaines informations sont inexactes ou incomplètes, vous disposez de la faculté de les corriger directement depuis les paramètres de votre compte. Pour les modifications plus complexes nécessitant une intervention manuelle, contactez notre équipe d'assistance qui traitera votre demande sous 48 heures ouvrées.

Droit à l'effacement

Vous pouvez demander la suppression de vos données dans plusieurs circonstances : lorsque celles-ci ne sont plus nécessaires aux finalités initiales, lorsque vous retirez votre consentement, ou lorsque vous vous opposez légitimement au traitement. Ce droit connaît toutefois des limites lorsque nous sommes tenus de conserver certaines informations pour respecter des obligations légales.

Droit à la limitation du traitement

Dans certaines situations — par exemple lorsque vous contestez l'exactitude des données ou la licéité du traitement — vous pouvez obtenir le gel temporaire de l'utilisation de vos informations pendant la durée nécessaire à la vérification de votre réclamation.

Droit à la portabilité

Pour les données que vous nous avez fournies directement et dont le traitement repose sur votre consentement ou sur l'exécution d'un contrat, vous pouvez en demander la récupération dans un format interopérable permettant leur transmission à un autre prestataire de services.

Droit d'opposition

Lorsque le traitement repose sur notre intérêt légitime, vous avez la possibilité de vous y opposer pour des raisons tenant à votre situation particulière. Nous cesserons alors le traitement sauf si nous démontrons l'existence de motifs légitimes impérieux prévalant sur vos intérêts.

Comment exercer ces droits : Pour toute demande concernant vos données personnelles, adressez-vous directement à notre équipe dédiée à l'adresse support@thirevalona.com en précisant la nature de votre requête. Nous vous répondrons dans un délai maximal d'un mois. Si votre demande s'avère complexe, ce délai peut être prolongé de deux mois supplémentaires — nous vous en informerions alors avec les raisons justifiant cette extension.

Mineurs et utilisation du service

Notre plateforme de gestion budgétaire s'adresse exclusivement aux personnes majeures capables de contracter légalement en France. Nous ne recueillons pas sciemment d'informations concernant des individus âgés de moins de 18 ans.

Si nous découvrons qu'un compte a été créé par une personne mineure sans autorisation parentale appropriée, nous procédons immédiatement à sa suspension et à la suppression des données collectées. Les parents ou représentants légaux qui constateraient une telle situation sont invités à nous en informer sans délai.

Transferts internationaux

L'intégralité de nos infrastructures techniques se situe au sein de l'Union européenne, garantissant ainsi l'application uniforme du cadre réglementaire européen. Vos données ne quittent pas cet espace géographique dans le cadre des opérations courantes de la plateforme.

Dans l'hypothèse où un transfert vers un pays tiers deviendrait nécessaire — par exemple lors du recours à un prestataire technique spécialisé situé hors UE — nous nous assurerions préalablement de l'existence de garanties appropriées conformes aux exigences du RGPD. Ces mécanismes pourraient inclure des clauses contractuelles types approuvées par la Commission européenne, ou la vérification que le pays destinataire bénéficie d'une décision d'adéquation.

Tout projet de transfert international ferait l'objet d'une information préalable auprès des utilisateurs concernés, avec explicitation des garanties mises en place et des recours disponibles.

Évolutions de cette politique

Les pratiques décrites dans ce document peuvent évoluer pour refléter des changements législatifs, l'introduction de nouvelles fonctionnalités, ou l'amélioration de nos processus de protection des données.

Toute modification substantielle fera l'objet d'une notification par courriel adressée à l'ensemble des utilisateurs actifs, avec un préavis d'au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La version actualisée sera systématiquement publiée sur cette page avec indication de la date de dernière révision en en-tête du document.

Nous vous encourageons à consulter régulièrement cette politique pour rester informé des modalités selon lesquelles nous protégeons vos informations personnelles.

Remarque concernant les technologies de suivi

Ce document ne couvre pas l'utilisation des cookies, balises web, pixels de suivi et autres technologies similaires employées sur notre site. Ces mécanismes font l'objet d'une politique distincte accessible depuis le pied de page de notre site, où vous trouverez également les options de gestion de vos préférences en matière de traçage.

Questions et réclamations

Pour toute interrogation relative au traitement de vos données personnelles ou pour exercer l'un de vos droits, plusieurs canaux s'offrent à vous :

  • Par courriel : support@thirevalona.com
  • Par téléphone : +33 6 68 24 64 33 (du lundi au vendredi, 9h-18h)
  • Par courrier postal : thirevalona – Service Protection des Données, 55 Rue du Manoir de Servigné, 35000 Rennes, France

Si vous estimez que vos droits ne sont pas respectés malgré nos échanges, vous disposez de la possibilité de déposer une plainte auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française compétente en matière de protection des données personnelles. Vous pouvez la contacter à l'adresse suivante : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via son site internet www.cnil.fr.