Politique de confidentialité

Information complète sur le traitement de vos données personnelles, conformément aux articles 13 et 14 du RGPD.

1. Responsable du traitement

Julien Autin, éditeur du site Patrimyn (Beloeil, Belgique).

Patrimyn n'a pas désigné de Délégué à la protection des données (DPO) : la nomination n'est pas obligatoire au regard des critères de l'article 37 du RGPD. Toute question relative aux données personnelles peut néanmoins être adressée à l'adresse de contact ci-dessus.

2. Finalités, bases légales et durées de conservation

Patrimyn traite vos données personnelles pour les finalités suivantes :

Finalité	Catégories de données	Base légale	Conservation
Création et gestion du compte utilisateur	Email, mot de passe (hashé par Supabase), identifiant utilisateur	Exécution du contrat (art. 6.1.b RGPD)	Durée d'utilisation du compte + 30 jours après suppression
Agrégation des comptes bancaires (Open Banking PSD2)	Tokens d'accès Powens / Enable Banking, soldes, transactions	Consentement explicite (art. 6.1.a RGPD) + DSP2	Jusqu'à 90 jours après le dernier accès, ou révocation du consentement
Connexion aux exchanges crypto (CEX)	Clés API CEX (chiffrées au repos via Fernet), soldes	Consentement explicite (art. 6.1.a RGPD)	Jusqu'à suppression par l'utilisateur
Suivi de portefeuille (actions, ETF, crypto, immobilier)	Tickers, adresses publiques de wallets EVM/Solana, données saisies manuellement	Exécution du contrat (art. 6.1.b RGPD)	Durée d'utilisation du compte
Notifications push (alertes patrimoine, rappels)	Endpoint VAPID du navigateur, paramètres d'opt-in	Consentement (art. 6.1.a RGPD)	1 an après le dernier renouvellement de la subscription
Sécurité, prévention de la fraude, journalisation technique	IP (tronquée), date/heure, route appelée, identifiant de requête	Intérêt légitime (art. 6.1.f RGPD)	30 jours
Analytique d'usage (BetaTracker)	ID de session anonyme, événements UI agrégés	Consentement (art. 6.1.a RGPD) — opt-in via bannière	13 mois maximum
Capture d'erreurs (Sentry, le cas échéant)	Stack trace, identifiant de requête, route. Aucune PII (option `send_default_pii=False`)	Intérêt légitime (art. 6.1.f RGPD)	30 jours

3. Données non collectées

Patrimyn ne stocke jamais vos identifiants bancaires (login / mot de passe banque). L'authentification PSD2 se fait directement chez votre banque via Powens / Enable Banking.
Patrimyn ne stocke jamais de mot de passe en clair — Supabase gère le hashage.
Patrimyn ne stocke jamais les clés privées (seed phrases) de wallets crypto. Seules les adresses publiques sont enregistrées pour lecture des soldes on-chain.

4. Destinataires et sous-traitants

Vos données peuvent être transmises aux sous-traitants suivants, encadrés par un accord de traitement (DPA, art. 28 RGPD) :

Sous-traitant	Rôle	Localisation
Supabase Inc.	Authentification + stockage de la base de données	UE (eu-central-1, AWS)
Railway Corp.	Hébergement du serveur applicatif	UE (région européenne)
Powens SAS	Agrégation bancaire DSP2 — Agent AISP agréé ACPR n° 16958	UE (France)
Enable Banking Oy	Agrégation bancaire DSP2 — Agent AISP agréé Finanssivalvonta	UE (Finlande)
Yahoo Finance, CoinGecko, Moralis, Hyperliquid	Cours boursiers / on-chain — requêtes anonymes (sans PII)	États-Unis
Sentry (optionnel)	Monitoring d'erreurs serveur, sans PII	UE/US selon offre

Pour les sous-traitants situés hors de l'Union européenne (Yahoo Finance, CoinGecko, Moralis, Hyperliquid), les transferts sont fondés sur les clauses contractuelles types (CCT) de la Commission européenne, et limités à des données non identifiantes (tickers boursiers, adresses publiques de wallets).

5. Vos droits (articles 15 à 22 RGPD)

Vous disposez à tout moment des droits suivants :

Droit d'accès — obtenir une copie de toutes les données que nous détenons à votre sujet.
Droit de rectification — corriger toute donnée inexacte.
Droit à l'effacement — supprimer votre compte et toutes les données associées via le bouton « Supprimer mon compte » dans les paramètres, ou par email.
Droit à la portabilité — exporter vos données au format JSON / ZIP via le bouton « Exporter mes données » dans les paramètres (article 20 RGPD).
Droit d'opposition — refuser ou retirer votre consentement à tout moment (cookies, analytique, notifications). Le retrait n'affecte pas les traitements antérieurs.
Droit à la limitation — demander le gel temporaire d'un traitement en cas de contestation.
Droit de ne pas faire l'objet d'une décision automatisée — Patrimyn ne pratique aucune décision automatisée produisant d'effets juridiques sur l'utilisateur.

Pour exercer ces droits, contactez contact@patrimyn.com. Une réponse vous sera apportée sous un mois maximum.

Réclamation auprès d'une autorité de contrôle — Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données belge ou de la CNIL française.

6. Sécurité

Patrimyn met en œuvre des mesures techniques et organisationnelles raisonnables :

Connexions chiffrées TLS 1.2+ (HTTPS systématique en production).
Chiffrement au repos des secrets sensibles (clés API CEX) via Fernet (clé symétrique 32 octets, AES-128-CBC + HMAC-SHA256).
Authentification par jeton JWT à durée limitée (Supabase).
Limitations de débit (rate limiting) par IP et par utilisateur.
Protection contre les vulnérabilités web courantes (CSP, X-Frame-Options, HSTS, protection SSRF, etc.).
Suppression en cascade des données utilisateur lors de la fermeture de compte.

Détails complets dans la politique de sécurité.

7. Cookies et traceurs

Voir la politique de cookies dédiée.

8. Mineurs

Le service est réservé aux personnes âgées de 18 ans ou plus. Patrimyn ne collecte pas sciemment de données concernant des mineurs. En cas de signalement, les données concernées seront immédiatement supprimées.

9. Modifications de la présente politique

Cette politique peut être mise à jour pour refléter des évolutions légales ou techniques. La date de dernière modification est indiquée ci-dessous. Les utilisateurs seront notifiés par email pour les changements substantiels.

Dernière mise à jour : avril 2026